起因

刚才收到一封邮件，长得是这个样子

伪造发件人发垃圾邮件的事情我见多了，但伪造我个人域名邮箱向我发垃圾邮件的还是第一次见到
（这个域名邮箱只用在了替代 qq 号展示和 base64 后放在个人网站上，所以只有这两种可能泄露）

经过

查询了 zhouxin5461.cn 这个域名的 TXT 记录，显示如下：
zhouxin5461.cn text = "v=spf1 include:spf1.dm.aliyun.com -all"

我的 TXT 记录如下：
[mydomain].com text = "v=spf1 include:spf.mail.qq.com ~all"

调查得知，SPF 记录记入~all表示接收方可以不严格拒绝 SPF 验证失败邮件的接收，但需要做出标记
QQ 邮箱……嗯，没有标记，也没有扔进垃圾邮件
尝试发了封伪造发件人的邮件，仍然正常接收且未作任何标记：

接下来我修改域名 TXT 记录为 -all 代表接收方应严格拒绝 SPF 验证失败邮件的接收，继续发送一封伪造发件人的邮件
QQ 邮箱终于做了标记，但按 SPF 规则要求，这封邮件应该直接被拒收才对？

结论

QQ 邮箱似乎未严格按照 SPF 记录对入信邮件进行处理？
虽然网页版上会对 -all 的伪造邮件进行提醒，但实际上应直接拒收才是。

（准备发出来时我心血来潮试了一下 Gmail，伪造的直接进了垃圾邮件箱，非伪造的正常接收了）