Tady je pojednání, proč SPF ne: http://david.woodhou.se/…not-spf.html
a víceméně se s tím dá souhlasit.
To co zde není uvedeno, je např. že Microsoftí SenderID (nebo jak se to jmenuje) používá podobný zápis jako SPF a v některé části specifikace koliduje s SPF. Je to popsáno někde na stránkkách spf.
Více se zamlouvá DKIM.
Hodně spamu ale chodí z úplně vymyšlených adres. Někde sem četl statistiku, kdy kolem 70% takto vymyšlených domén mělo SPF záznamy.
