Lembre-se de que o correio SMTP foi projetado para ser semelhante ao correio comum. Você escreve uma mensagem, coloca-a em um envelope, escreve o endereço do destinatário no envelope), escreve o nome do remetente no envelope, entrega-o ao carteiro e sai (desculpe nenhum carimbo aqui). Mesmo se você escrever o remetente errado (propositadamente ou não), a mensagem chegará ao destinatário. O que está no envelope pode não revelar o verdadeiro remetente.
O SPF ajuda muito a identificar o remetente DOMAIN, mas não há garantias de 100%. O alvo do SPF era praticamente SPAM, em vez de consertar esse recurso SMTP. A idéia por trás do SPF é que um domínio dirá quais servidores SMTP são válidos e o destinatário terá um caminho (registro DNS) para verificar essas informações. O DKIM, por outro lado, garante a origem DOMAIN (não o usuário) assinando digitalmente o envelope / cabeçalho. Assinaturas digitais / certificados são o preço alto que você precisa pagar por isso. Você pode encontrar informações sobre como implementá-las no site Postfix
Claro que existem inúmeras outras coisas que podem dar errado no que precede, a menos que você use comunicações criptografadas (como um homem na intercepção do meio).