Wildcard SPF

[Andre]

Moin,

 > Allerdings ist SPF alles andere als unumstritten...

Ja, sehe ich auch so. Schwachstellen im Design, wie hier die Erfahrung 
mit den Subdomains zeigt.

Hab hier noch einen Fall.

Ich verwalte die Domain und habe SPF, DKIM und DMARC ist eingerichtet, 
nennen wir sie hier example.com.

Der Kunde versendet vom google Mailserver und hat in seinem Thunderbird 
kunde at gmail.com als Benutzername und Absender mail at example.com eingerichtet.

Im SPF von example.com habe ich google-Mailserver inkludiert, sodass SPF 
nachweislich passt.

Die Mails von dem Kunden werden nicht signiert versendet.

Hier mein DMARC-Eintrag.

v=DMARC1; p=reject;

Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird diese 
von google mit folgender Begründung nicht angenommen:

-------------------------------
Action: failed
Status: 5.7.26
Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from example.com 
is not accepted due to
  550-5.7.26 domain's DMARC policy. Please contact the administrator of
  550-5.7.26 example.com domain if this was a legitimate mail. Please visit
-------------------------------

Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM stimmen, 
oder halt beide, damit die Prüfung durchgeht. In diesem Fall stimmt ja 
der SPF.

Warum wird die Mail trotzdem nicht angenommen?
Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?

--
LG
Andre