O v=spf1 a ~all e o v=spf1 ip4:IP_OF_A_RECORD ~all seriam entradas adequadas para um servidor de correio. No entanto, o ~all nega a maior parte do valor de ter um registro SPF. O uso de -all seria muito melhor e seria adequado para a entrada de um servidor de correio. Com raras exceções, nenhum outro servidor deve enviar e-mail em nome de um servidor de e-mail.
O mecanismo a pode invocar uma pesquisa de DNS extra, mas é provável que a pesquisa já tenha sido feita.
De acordo com a minha leitura da documentação, v=spf1 IP_OF_A_RECORD ~all está errado.
Para um domínio de envio, eu recomendaria v=spf1 mx -all . Observe que isso exige que todos os emails vinculados à Internet para o domínio sejam enviados por meio de seus servidores de troca de mensagens. Isso não deve ser um requisito oneroso.
Para quaisquer (sub) domínios que não devem enviar e-mail, eu recomendaria v=spf1 -all . Isso anunciará que esse domínio não deve ser usado em endereços de e-mail.
Você pode querer rever minhas recomendações sobre Como proteger sua reputação de e-mail com o SPF e ou o site OpenSPF .