Falha no hardfail SPF e DKIM quando o destinatário tem o encaminhamento de e-mail

Eu configurei o SPF do hardfail para meu domínio e a assinatura de mensagens DKIM no meu servidor SMTP. Como esse é o único servidor SMTP que deve ser usado para enviar e-mails do meu domínio, não previ complicações.

No entanto, considere a seguinte situação: Enviei uma mensagem de email por meio do meu servidor SMTP para o e-mail da universidade do meu colega. O problema é que meu colega encaminha seu e-mail universitário para sua conta do GMail. Estes são os cabeçalhos da mensagem depois que ela alcança sua caixa de correio do GMail:

Received-SPF: fail (google.com: domain of [email protected] does not designate 192.168.128.100 as permitted sender) client-ip=192.168.128.100;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of [email protected] does not designate 192.168.128.100 as permitted sender) [email protected]; dkim=hardfail (test mode) [email protected]

(os cabeçalhos foram higienizados para proteger os domínios e os endereços IP das partes que não fazem parte do Google)

O GMail verifica o último servidor SMTP na cadeia de entrega em relação aos meus registros SPF e DKIM (com razão). Como o último servidor STMP na cadeia de entrega era o servidor da universidade e não o meu servidor, a verificação resulta em uma falha no SPF e no DKIM. Felizmente, o GMail não marcou a mensagem como spam, mas estou preocupado que isso possa causar um problema no futuro.

A minha implementação do SPF hardfail talvez seja demasiado rigorosa? Quaisquer outras recomendações ou problemas potenciais que eu deveria estar ciente? Ou talvez haja uma configuração mais ideal para o procedimento de encaminhamento de e-mail da universidade? Eu sei que o servidor de encaminhamento poderia alterar o remetente do envelope, mas vejo que está ficando confuso.