A levél küldője szerintem meg az, aki a protokol szerint küldő, azaz aki a "mail from:" után áll a protokollban - szóval erről ezen a ponton ne vitatkozzunk.
Egyébként az SPF Wiki - http://en.wikipedia.org/wiki/Sender_Policy_Framework#FAIL_and_forwarding - viszonylag hamar, az 1.2 pontban leírja a jelenséget, tehát nem egyedül én futok bele. Az alap probléma az, hogy az SPF rekord a használata során elvárja, hogy vagy minden MTA kezelje az SPF rekordot, vagy egyik se. Ez viszont a heterogén MTA-k miatt még hosszú-hosszú ideig csak vágyálom marad. Mert szép az, meg jó az, hogy az első MTA a továbbításkor vágja bele a Return-Path-ba a megfelelő értéket és miegymás, de ha az egy "buta" MTA, ami képes ugyan a továbbításra, de ilyesmit nem csinál, akkor ezen a ponton a hajamra kenhetem a dolgot. Illetve korrigálhatok ott, hogy white-listre teszem azt az MTA-t. Ezen a ponton a DKIM jobb, mert nem érzékeny arra, hogy a továbbítás során esetleg annyira buta MTA is jelen van a láncban, hogy már az EHLO-t sem érti.