Parece que você não pode fazer o DKIM agora (ou seria difícil para você), então é melhor evitar o SPF também.
Se você quiser entradas SPF no DNS, eu recomendo strongmente que você também tenha entradas DMARC e entradas DKIM.
Eis o porquê: muitas pessoas na Internet usam endereços encaminhados. Eles configuram [email protected], mas encaminham automaticamente para [email protected]. Se você tiver apenas SPF, ignorar os e-mails do seu servidor não poderá alcançá-los. Se você tivesse DKIM, o e-mail passaria.
O DMARC é um mecanismo de política para aceitar mensagens que falham no SPF se elas forem bem-sucedidas no DKIM, além de uma verificação se o endereço do remetente não for incompatível, além de verificações relacionadas aos subdomínios do seu domínio. Vagamente falando.
O DKIM é a parte mais difícil de toda essa configuração. Para e-mails enviados, você precisa inserir cabeçalhos em e-mails. Como parece que 1and1 não pode fazer isso (ainda), então você precisa configurar seu próprio exim / sendmail. Sem entrar muito em detalhes, acho que pode ser uma curva de aprendizado muito grande se você não estiver tentando se tornar um administrador de e-mail proficiente.