O fato de você anunciar um registro SPF não obriga ninguém a honrá-lo. Cabe aos administradores de qualquer servidor de email qual email eles aceitam. Eu acho que eles são tolos se não verificarem os registros SPF e rejeitarem de acordo, mas cabe a eles . Eu conheço algumas pessoas como o DMARC, mas eu também acho uma idéia horrível, e não vou reconfigurar meu servidor de e-mail para aceitar / rejeitar com base no DMARC; sem dúvida, algumas pessoas sentem o mesmo sobre SPF.
O que eu acho que o SPF faz é permitir que você renuncie a qualquer responsabilidade adicional por e-mail que alegou ser de seu domínio, mas não foi. Qualquer administrador de e-mail que venha reclamar de que seu domínio está enviando spam quando não se incomodou em verificar se o registro SPF que você anunciou que teria dito a eles que o e-mail deve ser rejeitado pode ser enviado com uma pulga no ouvido.