SPF-record. Внедрять или нет?

Приветствую all.

Продолжаю свой цикл «Идеи для Хабра». Напоминаю, что я администрирую сей сайт в низкоуровневом плане (сервера, ОС, даемоны и взаимодействие всего этого) и меня достаточно сильно интересует мнение моих коллег, имеющих практический опыт использования того, что указано в теме поста. Пока что идет все достаточно вяло, но несколько полезных сведений я уже почерпнул.

Предыдущие вопросы:

• FreeBSD и ZFS
• Географически распределённый MySQL

На сей раз вопрос крутится вокруг почтовой подсистемы. У нас практически вся почта MX-записями завёрнута на gmail.com. Это достаточно удобно и устраивает почти всех, если, конечно, абстрагироваться от вопросов о «большом брате». Но есть сервера, где в свою очередь крутятся наши сайты, многие из которых рассылают пользователям разные уведомления. С недавнего времени, все письма от некоторых из наших серверов идут к пользователям не напрямую, а через релей, на языке админов «smarthost»: это удобно, так как не надо тонко настраивать штатный sendmail, нужно просто вставить строчку и все. А настроить надо правильно только релей.

Итак, что мы имеем в итоге? Собственно, вся легитимная почта с домена habrahabr.ru идет нашим пользователям только с Гугля и с нашего релея. Т.е. есть хорошая возможность прописать в зоне SPF-запись с ссответствующими данными и с опцией "-all". У этой технологии есть масса плюсов и несколько минусов: один из минусов связывают с возможными проблемами при пересылке писем. Конечно, правильные MTA при пересылке должны изменять заголовки и т.д., но не у всех же все настроено так как нужно.

В связи с вышеизложенным, как вы думаете, стоит ли прописывать жёсткое "-all" или ограничиться только неуверенным "~all"?

P.S. Кстати, DKIM уже работает, релей успешно подписывает исходящую почту. Если ваши почтовые клиенты будут писать о недействительной подписи, дайте знать.