Os registros SPF são configurados para o domínio do email que está sendo enviado. Em seu exemplo, o "remetente" do email é [email protected], portanto, o registro SPF precisa estar no DNS do foo.com.
A idéia é que qualquer destinatário procure os registros DNS do remetente do email que recebeu para confirmar que está originando de um servidor de email aprovado. No seu caso, o destinatário procuraria o servidor de e-mail da bar.com para ver se é um servidor de correio de saída aprovado para foo.com.
Com base no endereço IPv6 listado, o registro SPF da foo.com seria:
v=spf1 include:_spf.google.com ip6:2607:f8b0:4001:c02::2ef ~all
O DKIM fornece um nível maior de resistência a SPAM, mas não é necessário em minha experiência.