SPFに関して過去問(H28NW午後Ⅰ問1)では、「送信メールサーバの正当性(当該ドメインの真正のメールサーバであること)を、受信メールサーバ側で確認する方式」と述べられています。
※この過去問に、SPFに関する深い問題があります。お時間あるときにチャレンジしてください。

概要
SPF(Sender Policy Framework)とは、DNSのゾーンファイルにSPFレコードを追加し、メールサーバにてそのSPFレコードに含まれるIPアドレスを確認することで、ドメイン情報が詐称されていないかを判断します。Senderという言葉が含まれているように、送り主(Sender)側での設定が必要である。
 $ORIGIN viva-musen.net. 
  IN   MX   10   mail.xxxxxx.com.  ←メールサーバのFQDNを指定
   IN   TXT  "v=spf1 ip4:1.1.x.101  ~all" ←IPアドレスを指定
この(2行目)の意味であるが、@viva-musen.netのメールは、1.1.x.101のIPアドレスからしか来ないという意味だ。なので、@viva-musen.netのメールを受け取ったメールサーバは、viva-musen.netをDNSサーバに問い合わせ、TXTレコードから1.1.x.101というIPアドレスを知る。もし、そのメールが違うIPアドレスから来たら、嘘だと判断できる。

構文
最初のv は、バージョンを表す。v=spf1とは、SPFのバージョン1であることを指している。
それ以降はFWのルールと同じで、許可するもの、拒否するものを横に並べている。それだけだ。
たとえば、以下を見よう。
spf
+が許可、-が拒否
なので、この場合、1.1.x.101と1.1.x.102を許可し、それ以外のIPからは拒否する。
結構単純だ。
では、実際にGoogleを見てみよう。

SPFの実際の設定
みなさんも試していただきたい。ご自身のパソコンからnslookupを起動する。
C:\>nslookup
(中略)
> set type=txt ←txtレコードを指定
> google.co.jp ←google.co.jpのtxtを確認
(中略)
権限のない回答:
google.co.jp    text =
        "v=spf1 -all" ←SPFのレコード
-allなので、すべてNOだ。つまり、@google.co.jpというメールは一切来ないという意味。
そうだった。googleのメールはgmail.comだ。
では、gmail.comを見てみると、google.comに転送されていたので、google.comを確認する。 
> google.com
(中略)
権限のない回答:
google.com      text =
        "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
inludeしているのもあるが、216.73.93.70/31や216.73.93.72/31のIPアドレスでメールが来ることが分かる。

8412ebbb
 でも、構文が違いませんか?
× ip4:216.73.93.70/31
○ +ip4:216.73.93.70/31
× ~all
○ -all

そうだね。
+は省略できるので、どちらでもいい。省略する方が普通かもしれない。
~ と - は違いがある。
 ・ ~は、拒否しないでほしい
 ・ -は、拒否
~が拒否しないでほしいというのは、何かの状態により、TXTレコード以外からのメールが届く可能性があるかもしれないというメッセージだ。

参考までに、IPAは-allで制限している。sofbankなどの企業は~all

> set type=txt
> ipa.go.jp

サーバー: xxxx
権限のない回答:

ipa.go.jp       text = "v=spf1 mx ip4:192.218.88.1 ip4:192.218.88.4 ip4:192.218.88.231 ip4:202.176.10.23 ip4:202.229.63.234 ip4:202.229.63.238 ip4:202.229.63.243 ip4:210.168.45.67 ip4:133.163.199.192/28 -all"

> softbank.jp

サーバー: xxxx
権限のない回答:

softbank.jp     text = "v=spf1 a mx ip4:52.9.170.29 ip4:52.9.169.194 ip4:52.77.95.65 ip4:52.77.
95.163 ip4:52.68.123.180 ip4:52.192.84.201 ~all"

過去問事例1
H22SC春午後Ⅱ問1設問3(2)では、SPFを設定したTXTレコードの書き方について問われている。
なので、書き方も理解しておいたほうがいいだろう。
(2)本文中の下線③について,カタログWebサーバのドメイン名に対して, SPFを設定したTXTレコードを解答群から一つ選び,記号で答えよ。

解答群
ア catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.2 -all”
イ catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.4 -all”
ウ catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.5 -all”
エ catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.6 -all”
オ catalog.y-sha.co.jp. IN TXT "v=spfl -all"

過去問事例2
H26NW午後Ⅱ問1では、SPFによる認証処理の概要が記載されている
情報セキュリティスペシャリストSPF