Eu acho que você está faltando principalmente o 'alinhamento' que é necessário para obter um e-mail compatível com DMARC. É isso que diferencia o DMARC das técnicas existentes.
Alinhamento significa que o DMARC exige que você configure a autenticação (SPF / DKIM) usando o mesmo domínio * do domínio "De". Você mencionou o alinhamento entre o domínio SPF (Envelope From) e o domínio DKIM, mas isso não se aplica.
No seu exemplo, as mensagens não seriam compatíveis com DMARC, pois não há alinhamento no domínio @ example.com 'From' e no domínio @ mail-sender.com 'Return-Path'. Este exemplo geraria um "Pass" do SPF, no entanto um "Fail" do DMARC.
A declaração sobre o SPF & O DMARC é exatamente o objetivo do DMARC: garantir que a autenticação seja realmente feita usando o domínio 'De' em questão em vez do domínio @ mail-sender.com.
Isso ajuda você?
Atenciosamente,
Michiel
DMARC Analyzer