Embora o objetivo do SPF seja permitir que você autentique pseudoenticamente seu domínio, o problema é que, se você configurar seu registro com muita rigidez, até mesmo os emails legítimos falharão nas verificações de spf no recebimento.
Em suma, um registro SPF mal configurado é mais perigoso do que nenhum registro SPF.
O "primeiro passo seguro" é listar os servidores SMTP de saída que você conhece com + (positivo), e todo o restante como ? (neutro). O email recebido do seu servidor listado positivo passará - e, teoricamente, será ponderado para "não ser spam", e todos os outros emails endereçados "de" ao seu domínio darão de ombros com um resultado inconclusivo.
"Fail" é uma indicação de que a mensagem deve ser descartada, mas "softfail" é uma indicação de que o email é questionável - portanto, pode acabar no bucket de spam no lado do receptor, mas ainda assim chegar.
Como existem alguns métodos para enviar e-mails legitimamente de um servidor que você não controla, por exemplo servidores de listas de discussão, o uso de "falha" tende a ser evitado. O e-mail deve fluir.