いい機会なので勉強べんきょう。間違ってないといいな。DNSが絡むなら間違えていたDNSレコードのキャッシュが無効になるまで期待通り動かない可能性もあるのかな。
SPF: https://support.google.com/a/answer/33786?hl=ja
DNSのTXTレコードとして、そのドメインでのメールの送信元として承認するホスト名やIPアドレスを公開する。
DMARC: https://support.google.com/a/answer/2466580?hl=ja
DNSのTXTレコードとして、そのドメインからのメールがSPFやDKIMに合格しなかった場合に希望するメールの処理方法を公開する。
DKIM: https://support.google.com/a/answer/174124?hl=ja
送信するメールへのデジタル署名に用いる非対称鍵暗号鍵対を生成して、DNSのTXTレコードとして公開鍵を公開する。たぶん、デジタル署名は署名対象の情報と一緒にDKIM-Signatureという名前のメールヘッダに記して送信する。