O SPF por si só não bloqueia totalmente o spam, porque, conforme você aponta, ele usa o domínio MAIL FROM para carregar as diretivas SPF. Como um invasor pode manipular MAIL FROM em seu benefício, ele pode usar o MAIL FROM em um domínio que eles controlam e falsificar seu domínio no cabeçalho From:.
Onde o SPF se torna realmente eficaz é quando acoplado ao DMARC.
O DMARC analisará uma mensagem e verificará se ela está autorizada usando o SPF ou o DKIM (é necessário apenas um). Depois que um desses mecanismos é aprovado, todos os domínios que passaram nas verificações são comparados com o domínio De :. Se qualquer um desses domínios e a correspondência De: domínio, eles estão em alinhamento e a mensagem é considerada autorizada pela perspectiva DMARC. Se o alinhamento falhar, a política do DMARC que você publica sobre o DNS é aplicada.
Você tem a opção de pedir que as mensagens com falha no DMARC sejam enviadas para um sistema de pastas de quarentena / spam ou até mesmo solicitar que essas mensagens sejam rejeitadas imediatamente.
O DMARC também permite solicitar que os destinatários enviem relatórios agregados para que você possa entender como seu e-mail está sendo processado em todo o planeta.
Gmail, Yahoo, Hotmail e muitas outras organizações já participam do DMARC.
O DMARC.org tem uma lista de recursos para ajudá-lo a saber mais sobre o DMARC .
Há também assistente de configuração do DMARC de Scott Kitterman
O DMARC não é uma bala de prata; Ele não bloqueará spam, onde o domínio De: não está sob seu controle. No entanto, impedir que invasores falsifiquem seu domínio é uma opção de alto valor em termos de forçar os invasores a usar outras estratégias mais abertas à filtragem inteligente em seu pipeline de spam.