先理清楚你的核心矛盾：你用主域名example.com和SendGrid托管的子域名em1234.example.com发邮件时，Gmail的邮件头明确显示SPF、DKIM和DMARC都验证通过，但DMARC报告工具却提示100%SPF对齐失败，想知道除了修改aspf为宽松模式外，还有没有其他解决办法。

首先得搞懂SPF对齐的规则：DMARC的aspf参数专门控制SPF的对齐要求——

• aspf=s是严格对齐：要求SMTP协议中的MAIL FROM（也就是返回路径，你例子里的bounces+xxx@em1234.example.com）域名，和邮件头里的From域名（你的是example.com）完全一致；
• aspf=r是宽松对齐：允许MAIL FROM域名是From域名的子域名。

你现在的问题就出在aspf=s上：SendGrid发件时用的是子域名作为MAIL FROM，和主域名example.com不算“完全一致”，所以报告工具判定SPF对齐失败；而Gmail显示DMARC通过，是因为你的DKIM满足了对齐要求（adkim=r宽松模式，DKIM签名的域名和From域名匹配）——DMARC只要SPF或DKIM其中一个对齐通过，就会判定整体验证通过。

给你几个可行的解决方案：

• 方案一：修改DMARC的aspf为r（最简便）
  直接把_dmarc.example.com的TXT记录里的aspf=s改成aspf=r。这样em1234.example.com作为example.com的子域名，就能满足SPF宽松对齐的要求，报告里的SPF对齐失败问题会立刻消失。宽松对齐在绝大多数业务场景下都足够安全，不会带来额外风险。

• 方案二：配置SendGrid使用主域名作为MAIL FROM
  如果你坚持要保持aspf=s的严格对齐模式，可以在SendGrid后台设置自定义返回路径，把发件的MAIL FROM域名改成example.com。同时要确保主域名的DNS配置支持退回邮件处理（比如设置对应的MX或CNAME记录指向SendGrid的退回服务器）。这样MAIL FROM和邮件头的From都是example.com，严格对齐自然能通过。

• 方案三：调整邮件头的From为子域名
  如果你的业务场景允许，可以把发邮件时的From地址改成xxx@em1234.example.com，这样MAIL FROM和From都是同一个子域名，完全符合严格对齐的要求。但这个方案会改变邮件的发件人显示，可能影响品牌一致性，需要根据实际情况权衡。

总结一下：如果不想调整发件人展示，又想快速解决问题，修改aspf=r是最优选择；如果必须保持严格对齐规则，就优先考虑方案二配置SendGrid的返回路径。

备注：内容来源于stack exchange，提问作者tftd