Они пользуются почтовым хостингм стороннего провайдера (популярный российский хостер). В SPF указано значение соответствующее почтовым серверам этого провайдера.
Злоумышленник может легко обойти проверку SFP, отправив письмо с хостинга этого провайдера. IP-адрес сервера отправителя в этом случае будет "легитимный" из этого списка.
Что касается DMARC к сожалению, это не панацея, по описанным в комментариях выше причинам.
А отсутствие DKIM (самого по себе, без DMARC) не спасет. Возможно несколько повлияет на скоринг, но жесткого реджекта в подавляющем большинстве случаев на стороне получателя не будет.
Что касается описанных в письме методов противодействия, их эффективности, квалификации их авторов, и вопроса как эта инструкция поможет, если злоумышленники переименуют файл или укажут другое имя отправителя... вы наверняка сами все понимаете.
