Настройка SPF, DKIM, Reverse DNS для VPS, отправка электронной почты через SMTP-серверы Google Apps

Сегодня мы поняли, что все наши электронные письма отправляются на адреса электронной почты типа <username>@corporatedomain.com были отвергнуты. Я не знаю, кому принадлежит электронная почта corporatedomain.com. Я не думаю, что это должно иметь значение. В любом случае, ошибка, которую мы получали, была

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain example.com by mail.example.com. [yyy.yyy.yyy.230].

The error that the other server returned was:
550 5.7.1 Command rejected

• У нас есть аккаунт Google Apps для mydomain.com. DNS для mydomain.com имел запись SPF v=spf1 mx include:spf.mailjet.com -all.
• Мы используем SMTP-сервер Google Apps для отправки транзакционных писем с моим приложением. Мы используем учетную запись mailjet для рассылки массовых маркетинговых писем.
• Поскольку почта для этого домена обрабатывается Службами Google, все записи MX указывают на записи приложения Google по умолчанию.
• У моего VPS два публичных IP-адреса. На моем VPS не установлен SMTP-сервер. Я отправляю электронные письма из своего VPS ТОЛЬКО с помощью SMTP-сервера Google Apps.
• Блокировались только электронные письма, отправленные через SMTP-сервер Google App. Mailjet доставил нормально.

Учитывая приведенный выше шаблон использования и настройку среды VPS, я предположил, что SPF будет проверять правильно (записи MX указывают на Google, и я использую их SMTP-серверы для отправки электронной почты).

Погуглить ошибку действительно ни к чему не привело. В конце концов, я попытался нанести ковровую бомбу на проблему, включив все, что мог придумать, в SPF. И теперь это работает. Прохладно! Запись spf теперь гласит

v=spf1 include:_spf.google.com include:spf.mailjet.com ip4:xxx.xxx.xxx.143 ip4:xxx.xxx.xxx.144 mx ~all

Но я не уверен, ПОЧЕМУ это работает. Я действительно НЕ хочу делать trial & error чтобы найти минимальные настройки, которые работают для домена получателя. Для этих вещей должна быть спецификация, верно? В конце концов, все электронные письма были доставлены / доставляются всем пользователям (не с электронными письмами, принадлежащими corporatedomain.com).

У меня есть подозрение, что в текущей записи SPF ip4 механизмы, а также mx один не нужен. Документация Google рекомендует использовать include:_spf.google.com вместо того mx. Кроме того, этот заканчивается менее строгим ~all. Старый SPF закончился очень ограничивающим -all. Может ли кто-нибудь подтвердить, какой должна быть идеальная запись SPF для моего варианта использования?

Боковое примечание: теперь я настроил аутентификацию DKIM для mydomain.com. Не знаю, нужно ли мне настраивать обратный DNS. Я не думаю, что делаю, поскольку я не «отправляю» электронную почту, а SMTP-сервер Google Apps. Пожалуйста, поправьте меня, если я ошибаюсь.