Según tengo entendido, SPF funciona enumerando los dominios de servidor SMTP permitidos en el registro DNS TXT del dominio que posee.
Entonces, si poseo example.com y deseo permitir que un servidor SMTP de terceros en smtpexample.com envíe correos electrónicos en nombre de mi dominio, agrego smtpexample.com al registro SPF, en el campo TXT de la entrada de DNS de mi servidor.
Debido a que el DNS se puede ver públicamente, cualquier persona puede ver mi entrada de SPF y deducir que estoy usando smtpexample.com para enviar correos electrónicos.
Si smtpexample.com fuera un proveedor de alojamiento compartido, ¿no podría registrarme para obtener una cuenta con ellos y enviar correos electrónicos que digan ser de [email protected] ?
¿Entonces los correos electrónicos se consideran legítimos, ya que provienen del servidor SMTP que figura en el registro SPF de example.com ?