Ou seja, adicionar INCLUDE_DMARC: false à seção env de mail-receiver.yml não parece resolver. Isso parece fazer com que os daemons opendkim e opendmarc não sejam executados (levando a um aviso nos logs), mas a verificação SPF ainda está sendo realizada.
Editado para adicionar:
Acho que consegui desativar as verificações SPF adicionando também a seguinte linha POSTCONF_ à seção env:
Consegui isso olhando o commit que introduziu as verificações DMARC, e vendo o que deveria acontecer quando INCLUDE_DMARC é falso.
Sei quase nada sobre como as imagens docker são construídas, mas tenho a impressão de que o sinalizador INCLUDE_DMARC é algo que deve ser definido por outra pessoa, em outro lugar, em outro momento — não algo que possa ser feito em mail-receiver.yml.
Encontrei a necessidade de abrir a porta 443 no ufw — caso contrário, recebo API Request Preparation Failed nos logs. Pensei que isso deveria ser mencionado porque as instruções de instalação padrão mencionam a ativação do ufw.
A porta 25 é mencionada em mail-receiver.yml e parece contornar o ufw.
Vamos remover completamente a rejeição rápida, pois o recurso original estava quebrado e causando problemas aos usuários, especificamente este tipo de coisa:
e também afeta e-mails encaminhados, pois o teste pré-entrega estava verificando o envelope-from e o envelope-to, enquanto o Discourse usa apenas os valores nos cabeçalhos.