SPF проходит при отправке электронной почты внешнему получателю, но не работает при отправке внутреннему получателю

Нет,не следует добавлять сети RFC1918 в запись SPF. Вместо этого вам следует настроить сервер Exchange так, чтобы пропускал проверки SPF и разрешал ретрансляцию для ваших веб-серверов . Если вы доверяете своим веб-приложениям, вы можете просто разрешить анонимную ретрансляцию со своих веб-серверов.

Анонимная ретрансляция является общим требованием для многих предприятий, у которых есть внутренние веб-серверы, серверы баз данных, приложения для мониторинга или другие сетевые устройства, которые генерируют сообщения электронной почты, но не могут фактической отправки этих сообщений.

В Exchange Server вы можете создать выделенный соединитель получения в транспортная служба переднего плана на сервере почтовых ящиков, которая позволяет анонимная ретрансляция из определенного списка внутренних сетевых узлов.

В статье это описывается более подробно, но здесь приводится сводка команд командной консоли Exchange, используемых для разрешения анонимной ретрансляции с двух серверов ( 192.168.1.14 и 192.168.1.15 ):

New-ReceiveConnector -Name "Web Servers Relay" -TransportRole FrontendTransport ` 
    -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.1.14,192.168.1.15
Set-ReceiveConnector "Web Servers Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Web Servers Relay" `
| Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" `
    -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Если вы не хотите разрешать анонимную ретрансляцию, ваши веб-приложения должны будут использовать аутентифицированный SMTP, но, как ваше первоначальное предложение, было добавить эти серверы в вашу запись SPF , возможно, вам подойдет анонимный ретранслятор.