Владимир Дубровин

Есть несколько вариантов:
1. Возможно нет TXT записи, но есть устаревшая записи типа SPF (RFC 7208 отменил использование SPF-записей, в RFC 4408 они были).
2. Некоторые получатели при отсутствии SPF используют т.н. best guess record, как если бы отправитель публиковал "v=spf1 a/24 mx/24 ptr ?all". Использование best guess не вошло в стандарт SPF и сейчас не рекомендуется.

~all это soft reject (нестрогий запрет принимать почту с других IP).
/22 это длина префикса CIDR.

У вас в envelope-from используется дефолтный адрес username@fe122.hc.ru. Для fe122.hc.ru не опубликовано SPF-записи

>host -tTXT fe122.hc.ru
fe122.hc.ru has no TXT record

Раньше Google при проверке SPF использовал best guess record (в данном случае имя домена совпадает с PTR-записью, поэтому SPF считался прошедшим), сейчас отказался от этого, т.к. такое поведение не совпадает со стандартами SPF и нарушает политики DMARC.

Используйте в envelope-from адрес своего домена
stackoverflow.com/questions/179014/how-to-change-e...
и опубликуйте для своего домена SPF.

Странное у вас письмо, интересно как вы его сформировали.
У вас фейлится не SPF, у вас фейлится DMARC для домена gmail.com. Фелится DMARC потому что письмо не подписано DKIM, хотя отправлено через веб-интерфейс GMail'а. А DKIM оно не подписано скорей всего потому, что From: сформирован с ошибкой.
From: "mygmail@gmail.com"
там не должно быть двойных кавычек. Или
From: mygmail@gmail.com
или
From: "My Name" <mygmail@gmail.com>

P.S. А SPF mydomain.com на это письмо вообще никак не влияет, т.е. SPF проверяется для домена gmail.com и вашего IP там, разумеется нет, он всегда будет фейлится на перенаправлении если вы адрес конверта перезаписывать не будете.

У вас опубликован DKIM-ключ для селектора mail (mail._domainkey) а письмо подписано с селектором dkim (s=dkim в DKIM-Signature). Насколько я понимаю, письмо формировалось вашим сервером и DKIM-подпись добавлял он, а не яндекс. Соответственно, или поправьте селектор в настройках своего почтового сервера с dkim на mail (подойдет только в том случае, если вы используете тот же ключ, что и Яндекс) или опубликуйте публичный ключ, который он использует в записи dkim._domainkey или используйте отправку через SMTP Яндекса с авторизацией, тогда письма будет подписывать он.

А что вы имеете ввиду под DKIM домена? Если публичный ключ - то их может быть несколько с разными селекторами, они публикуются как TXT-запись selector._domainkey.example.com.

Может быть вы имеете ввиду не DKIM, а DMARC-политику?

DMARC-SPF не проходит, потому что отправляющий сервер не попадает в SPF-политику

>host -tTXT namskidka.ru
namskidka.ru descriptive text "v=spf1 a mx include:spf.mandrillapp.com ?all"

добавьте include:spf.zoho.com

DMARC-DKIM не проходит, потому что у вас вообще нет DKIM-сигнатуры (RFC 4871), но есть устаревшая DomainKey-сигнатура (RFC 4870, в настоящее время не используется). Почему так - спросите у zoho.

1. Убедитесь что домены адресов из envelope-from существуют и совпадают с доменом в адресе из From: с точностью до организационного домена (это необходимо для DMARC), например в From: support@example.com, в envelope-from noreply@server1.example.com. Можно использовать один и тот же домен (example.com) в From: и envelope-from.
2. В SPF-записях для доменов из envelope-from (server1.example.com) пропишите адреса SMTP-серверов
3. Выберите селектор для рассылок, можно один общий, можно разные для разных серверов, например mail1. Для каждого селектора опубликуйте публичный DKIM-ключ, например mail1.example.org, чем генерировать особой разницы нет, можно использовать opendkim-genkey. Ключ можно использовать один и тот же для разных селекторов, можно разный, главное чтобы приватный ключ был в паре с публичным. Настройте подпись рассылок DKIM выбранного домена с выбранным селектором (домен из поля From, а не envelope-from).
4. Опубликуйте DMARC-политику none, предварительно убедившись что домен из From и envelope-from элайнятся (совпадают с точностью до принадлежащего вам домена), для домена из envelope-from проходит SPF, для домена из From: проходит DKIM.

1. Настроить SPF
domen.ru. IN TXT "v=spf1 a:smtp1.ru a:smtp.2.ru a:smtp3.ru ~all"
(если у провайдера SMTP-серверов есть готовые SPF-записи лучше включить их через include)
2. выбрать селектор DKIM, например mail1 (можно выбрать разные селекторы для разных SMTP, можно один общий)
3. опубликовать ключ(и) DKIM для выбранного селектора(ов)
mail1._domainkey.domen.ru. IN TXT ...
4. настроить подпись писем парным ключом для домена domen.ru с выбранными селекторами
5. Убедиться, что и в заголовке From: и в SMTP-конверте используется домен domen.ru. Если, например, в конверте будет подставляться обратный адрес типа blablabla@smtp1.ru то SPF будет проходить, но не будет проходить проверка DMARC через SPF, т.к. домен SPF не элайнится с доменом в From:. Отправить тестовое письмо, убедиться, что SPF и DKIM проходят именно для домена domen.ru.
6. Опубликовать DMARC
_dmarc.domen.ru. IN TXT "v=DMARC1;p=none;rua=mailto:dmarc-report@domen.ru;ruf=mailto:dmarc-report@domen.ru;fo=1;"
последить за приходящими репортами.
При необходимости, если все нормально, дальше можно перейти на ограничивающую политику DMARC (p=none заменить на p=reject).