Isso significa que o seu MTA não está configurado para rejeitar o correio com base na falha do SPF ou que apenas o faz com o registro _dmarc adequado.
DMARC tem a intenção de concluir SPF registros para definir como tratá-los.
Observe que a validação e a assinatura do DKIM se revelariam uma medida de segurança ainda mais eficaz, embora gere um pouco de sobrecarga por todos os lados.