SPF с почтовым шлюзом: мне нужно поставить все мои почтовые серверы?

Невозможно сказать, потому что у вас нет контроля над тем, решит ли кто-нибудь принять вашу электронную почту. Они могут, а иногда и отклоняют вашу почту по причинам, которые нарушают RFC, а также по глупости.

Как сказал протей, запись, которую вы показали должен достаточно, чтобы подтвердить, что письмо пришло от вас; это, безусловно, удовлетворяет RFC 7208 как я понимаю. Но я знал, что некоторые крупные организации отклоняют электронную почту из-за серверов, через которые она проходит на выходе из сетей моих клиентов. Им не следовало проверять Received: from заголовки, отличные от того, который привел к окончательному соединению, но они были. В этом конкретном случае у одного из внутренних серверов было неквалифицированное имя хоста, и след, оставшийся в заголовках, заставил получателя отклонить его. Им было ужасно жаль, когда на это указали, но (как это удручающе распространено в наши дни) они передали свою электронную почту на аутсорсинг и не могли повлиять на это решение. В итоге нам пришлось настроить полный внутренний DNS, чтобы электронная почта могла проходить к ним.

Суть этой истории в том, что они могли так же легко решить применить тесты SPF ко всем реле до окончательной поставки. Вы не знаете, какой тупой трюк собирается устроить какой-нибудь идиот. Вы можете только соблюдать RFC (как и вы), надеяться на лучшее и иметь дело с худшими, когда они появятся.

Этого должно хватить. Любой сервер в Интернете будет видеть только ваш шлюз в качестве отправителя электронной почты и не будет заботиться о каких-либо внутренних серверах, с которых была отправлена ​​почта.