... ¿o estoy argumentando una tecnología de autenticación que nunca se preparó para los servicios basados en la nube?
SPF no es realmente una tecnología de autenticación. No autentica quién está enviando el correo, sino solo los límites desde los cuales se pueden enviar las direcciones IP y, por lo tanto, intenta limitar el uso indebido de su dominio como el remitente declarado de spam y phishing.
Si me dieran companyx.amazonses.com, estaría un poco más interesado en incluir esto.
No hay ninguna razón para creer que esto sería más seguro solo porque el nombre de la empresa está incluido en el nombre de dominio. La pregunta real es qué direcciones IP están cubiertas por el SPF (es decir, pueden enviar correo para este dominio) y uno podría simplemente establecer que este "registro de la empresa" sea el mismo que el registro global de amazonaws.
Si utiliza la nube para enviar correo, generalmente lo hace para beneficiarse de sus ventajas, es decir, flexibilidad, escalabilidad, tolerancia a fallos, baja latencia debido al enrutamiento geográfico, etc. Sin embargo, para implementar estas ventajas puede ser necesario tener muchas direcciones IP y sea flexible en las tareas asignadas a qué dirección IP.
Esto significa que la dirección IP puede ser un ancla de confianza demasiado amplia cuando se utiliza la infraestructura de nube. En su lugar o además, debe confiar en restricciones específicas de IP en lugar de específicas del sistema. Esto se puede hacer usando DKIM donde el sistema de correo saliente firma el correo y el destinatario puede verificar que realmente haya sido firmado por el Sistema de correo perteneciente al remitente. Tanto DKIM como SPF se pueden combinar con DMARC para una mejor protección contra el uso indebido de su nombre de dominio para spam y phishing.
En resumen: no se queje de que SPF es insuficiente y no está diseñado para la nube. En su lugar, utilice DKIM y DMARC además de SPF.