Isso significa que o seu MTA não está configurado para rejeitar o correio com base na falha do SPF ou que apenas o faz com o registro _dmarc
adequado.
DMARC
tem a intenção de concluir SPF
registros para definir como tratá-los.
Observe que a validação e a assinatura do DKIM se revelariam uma medida de segurança ainda mais eficaz, embora gere um pouco de sobrecarga por todos os lados.