Não será problema se você enviar e-mails do servidor principal / 11.11.11.111 que não estejam assinados com o DKIM, a menos que você tenha uma política DMARC definida. Tudo o que vai acontecer é que os e-mails não sejam assinados com o DKIM, o que não é tão importante se o SPF estiver configurado corretamente, o que não é o caso em seu exemplo.
O SPF é quase completamente inútil se a "falha física" não for designada ( ... -all
no final da entrada do registro SPF TXT). Hard fail informa ao recebimento de MTAs em todo o mundo que apenas hosts / ip designados têm permissão para enviar emails para domínio e nenhum outro (portanto, política de fail-fail-reject).
Para estabelecer e manter o SPF adequado, tente utilizar geradores on-line (por exemplo: SPF Wizard ) e, é claro, monitorar resultados - envie para ferramentas que confirmarão se o registro está correto ou não.