Mensagem aparentemente válida processada por SRS está sendo rejeitada pelos servidores do Gmail

Tenho um servidor virtual privado com IP próprio e configurei SPF, DKIM, DMARC, SRS (com postsrsd) e todo esse jazz. Vamos chamá-lo domainut.com.

A maioria das coisas está funcionando, os e-mails estão sendo entregues no Gmail - na pasta de spam, porque o IP ainda não tem reputação, mas isso deve melhorar com o tempo.

Porém, ao fazer alguns testes acabei recebendo um e-mail de[e-mail protegido]que estava sendo redirecionado para[e-mail protegido]e também[e-mail protegido]

O servidor do Gmail reclamou:

(...) status=bounced (host gmail-smtp-in.l.google.com[108.177.127.27] said: 550-5.7.1 Unauthenticated email from microsoft.com is not accepted due to 550-5.7.1 domain's DMARC policy. Please contact the administrator of 550-5.7.1 microsoft.com domain if this was a legitimate mail. Please visit 550-5.7.1 https://support.google.com/mail/answer/2451690 to learn about the 550 5.7.1 DMARC initiative. s19-v6si278495edc.383 - gsmtp (in reply to end of DATA command))

No entanto, o SRS parece estar funcionando corretamente, como posso ver nos cabeçalhos dos e-mails:

Return-Path: <[email protected]> Delivered-To: <[email protected]> Received: from ... by ... for ... Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=xxx.xxx.xxx.xxx; helo=mail.domainut.com; [email protected]; [email protected]

Posso ter algum mal-entendido sobre o que o SRS deve fazer ou o que se espera que o Gmail faça com esse tipo de e-mail.

O que devo corrigir para encaminhar os e-mails enviados para o domíniout.com para[e-mail protegido]?

[Meta: Eu queria adicionar a tag SRS, visto que parece ser a questão chave desse problema, mas parece que ainda não existe]