Ziggo gebruikt zijn eigen SPF records, maar niet strikt. Ze gebruiken een ~all en geen -all. Dat ~all was vroeger een softfail, maar kan i.c.m. DMARC als een hardfail gezien worden tegenwoordig.
Nu de truuk. Het gaat hierbij om de instelling van de domeinen van de afzenders.
Als deze een -all hebben en een DMARC record, dan zou dat eigenlijk geen invloed mogen hebben, maar het gebeurt dan toch dat de ontvangende server (waar jij naar forward, dat niet ziggo adres) de controle uit voert en dus ziet dat Ziggo niet gemachtigd is om mail te versturen uit naam van het afzender domein.
Feitelijk zou de DMARC techniek moeten zien dat als SPF en DKIM in orde is in de header dat het een forward is van het originele sender domain en toch door laten, maar dat gebeurt veelvuldig dus niet.
En dat heeft meestal te maken met een verbod wat al ingesteld is bij de afzender in SPF. Want als ofwel SPF ofwel DKIM een pass geeft bij een forward, zou het bericht aan moeten komen.
Leesvoer in het Engels:
https://postmarkapp.com/blog/forwarding-emails-dmarc-failure
Kortom, Ziggo is slechts de doorsturende partij, al dan niet verbod wordt bepaald bij de afzender dus je zult bij de hosters van de afzendende partij moeten zijn.
Ik ben bang dat Ziggo abuse je ook gaat zeggen dat je bij de afzender moet zijn.