Sub e exemplo devem ter registros SPF separados, incluir os servidores para os quais você envia e-mail FROM:
Eu sugeriria usar o mecanismo ip4:, não o A, MX ou PTR, salvar essas pesquisas de DNS para incluir: se você adicionar ESPs de terceiros mais tarde.
-all para rejeitar
Veja também o DMARC, pois ele terá uma taxa de sucesso maior de proteção contra falsificação com grandes provedores de caixa de correio.
O Gmail enviará e-mails do Gmail, mas em nome de [email protected], para que ele use o SPF para o Gmail e não para o exemplo.com