SPFに関して過去問(H28NW午後Ⅰ問1)では、「送信メールサーバの正当性(当該ドメインの真正のメールサーバであること)を、受信メールサーバ側で確認する方式」と述べられています。
※この過去問に、SPFに関する深い問題があります。お時間あるときにチャレンジしてください。

概要
SPF(Sender Policy Framework)とは、DNSのゾーンファイルにSPFレコードを追加し、メールサーバにてそのSPFレコードに含まれるIPアドレスを確認することで、ドメイン情報が詐称されていないかを判断します。Senderという言葉が含まれているように、送り主(Sender)側での設定が必要である。
 $ORIGIN viva-musen.net. 
  IN   MX   10   mail.xxxxxx.com.  ←メールサーバのFQDNを指定
   IN   TXT  "v=spf1 ip4:1.1.x.101  ~all" ←IPアドレスを指定
この(2行目)の意味であるが、@viva-musen.netのメールは、1.1.x.101のIPアドレスからしか来ないという意味だ。なので、@viva-musen.netのメールを受け取ったメールサーバは、viva-musen.netをDNSサーバに問い合わせ、TXTレコードから1.1.x.101というIPアドレスを知る。もし、そのメールが違うIPアドレスから来たら、嘘だと判断できる。

構文
最初のv は、バージョンを表す。v=spf1とは、SPFのバージョン1であることを指している。
それ以降はFWのルールと同じで、許可するもの、拒否するものを横に並べている。それだけだ。
たとえば、以下を見よう。
spf
+が許可、-が拒否
なので、この場合、1.1.x.101と1.1.x.102を許可し、それ以外のIPからは拒否する。
結構単純だ。
では、実際にGoogleを見てみよう。

SPFの実際の設定
みなさんも試していただきたい。ご自身のパソコンからnslookupを起動する。
C:\>nslookup
(中略)
> set type=txt ←txtレコードを指定
> google.co.jp ←google.co.jpのtxtを確認
(中略)
権限のない回答:
google.co.jp    text =
        "v=spf1 -all" ←SPFのレコード
-allなので、すべてNOだ。つまり、@google.co.jpというメールは一切来ないという意味。
そうだった。googleのメールはgmail.comだ。
では、gmail.comを見てみると、google.comに転送されていたので、google.comを確認する。 
> google.com
(中略)
権限のない回答:
google.com      text =
        "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
inludeしているのもあるが、216.73.93.70/31や216.73.93.72/31のIPアドレスでメールが来ることが分かる。
8412ebbb
 でも、構文が違いませんか?
× ip4:216.73.93.70/31
○ +ip4:216.73.93.70/31
× ~all
○ -all

そうだね。
+は省略できるので、どちらでもいい。省略する方が普通かもしれない。
~ と - は違いがある。
 ・ ~は、拒否しないでほしい
 ・ -は、拒否
~が拒否しないでほしいというのは、何かの状態により、TXTレコード以外からのメールが届く可能性があるかもしれないというメッセージだ。

過去問事例1
H22SC春午後Ⅱ問1設問3(2)では、SPFを設定したTXTレコードの書き方について問われている。
なので、書き方も理解しておいたほうがいいだろう。
(2)本文中の下線③について,カタログWebサーバのドメイン名に対して, SPFを設定したTXTレコードを解答群から一つ選び,記号で答えよ。

解答群
ア catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.2 -all”
イ catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.4 -all”
ウ catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.5 -all”
エ catalog.y-sha.co.jp. IN TXT “v=spf1 +ip4:x1.y1.z1.6 -all”
オ catalog.y-sha.co.jp. IN TXT "v=spfl -all"

過去問事例2
H26NW午後Ⅱ問1では、SPFによる認証処理の概要が記載されている
情報セキュリティスペシャリストSPF