Tem um registro SPF válido, mas ainda pode falsificar meu e-mail

O fato de você anunciar um registro SPF não obriga ninguém a honrá-lo. Cabe aos administradores de qualquer servidor de email qual email eles aceitam. Eu acho que eles são tolos se não verificarem os registros SPF e rejeitarem de acordo, mas cabe a eles . Eu conheço algumas pessoas como o DMARC, mas eu também acho uma idéia horrível, e não vou reconfigurar meu servidor de e-mail para aceitar / rejeitar com base no DMARC; sem dúvida, algumas pessoas sentem o mesmo sobre SPF.

O que eu acho que o SPF faz é permitir que você renuncie a qualquer responsabilidade adicional por e-mail que alegou ser de seu domínio, mas não foi. Qualquer administrador de e-mail que venha reclamar de que seu domínio está enviando spam quando não se incomodou em verificar se o registro SPF que você anunciou que teria dito a eles que o e-mail deve ser rejeitado pode ser enviado com uma pulga no ouvido.

O SPF não pode evitar isso. Ele dá apenas uma indicação a outros servidores de que o e-mail é falsificado, mas a maioria usa isso apenas como um dos vários fatores para decidir se o e-mail deve ser bloqueado.

Sim, isso é normal. Qualquer pessoa pode falsificar qualquer endereço de e-mail, mas o SPF (Sender Policy Framework) fornece provedores de serviços de e-mail & clientes a capacidade de identificar melhor & sinalizar como spam ou, eventualmente, devolver mensagens inteiramente, se isso fizer parte de seu processo.