SPF работает несколько иначе, чем вы пытаетесь описать.
Записи SPF не допускают домены; они позволяют почтовые серверы. Когда вы вставляете a:domain.comзапись SPF, это означает только «принимать почту с IP-адреса, найденного на domain.com/A». Если это действительно указывает на ваш исходящий SMTP-сервер, хорошо. (На больших сайтах это не так.)
include:domain.comработает аналогичным образом: вместо записей «A» он выполняет поиск записей «TXT» и импортирует политику SPF для domain.com. Но это все еще сводится к тому, чтобы «принимать почту с тех IP-адресов, которые SPF домена.com принял бы».
Таким образом, чтобы ответить на вопрос, a:или include:не будет включать поддоменов. Это не имеет смысла и фактически невозможно: для валидаторов нет возможности узнать, что данный IP-адрес существует где-то внутри домена.
Сами записи SPF находятся путем поиска домена отправителя в DNS. Например, если сообщение имеет root@subdomain.example.comадрес Envelope-From, то средства проверки SPF будут искать запись TXT по адресу subdomain.example.com- но они не будут искать родительский домен.
Другими словами, политика SPF, указанная в domain.com , не применяется к сообщениям, отправленным *@subdomain.example.com. Если вы хотите, чтобы оба домена были защищены с помощью SPF, вы должны либо скопировать, либо «включить» политику явно, либо использовать модификатор «redirect =».