SPF для того и придуман, чтобы только добавленные (в т.ч. неявно добавленные) в SPF запись хосты могли отправлять почту от имени пользователя домена. Поверх SPF, наверное еще и DMARC есть. Везде, где есть и проверяется SPF и/или политика DMARC, Ваши сообщения с нарушением SPF не будут приняты почтовым сервером. А если будут приняты, то пометятся как спам. В этом случае Вы даже не узнаете, что они не прочитаны.

Поэтому здесь верное решение именно такое, как Вы уже применили. Но красивым его не назовешь. А красиво было бы не от имени пользователя SaaS письмо посылать, а по нажатию кнопки или ссылки в письме открывать на вашем веб сайте тикет, назначенный на пользователя SaaS. Т.е. чтобы вообще не было имейла отправителя saas_user@yandex.ru, а вместо этого у получателя была возможность с ним связаться через тикет.

И обратите внимание, кроме From и Reply-To, есть еще Return-Path. Возможно, Вам в Return-Path нужно указать свой адрес, а в From и Reply-To - saas_user@yandex.ru. Коммерческие сервисы рассылок так делают.