<div>Agreed, for the scenarios we outlined TLS is comparable to SPF for Authentication.  SPF is easier, and it is more broadly adopted for the purposes of message authentication.  </div><div>True, shared IP situations will use a VPN to connect to the central MTA.</div>
<div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><i>Aside: Isn't a VPN using TLS under the covers?  It seems like the industry put some Duct Tape on the RFC's to accommodate the gap TLS auth covers.  It's a heavyweight solution that is widely deployed in those situations and is a pain to set up and maintain.   Any more thoughts I have on this is probably is out of scope for DMARC so I'll stop here.</i></div>
</blockquote><div><br></div><div>Ignoring the authentication part of TLS, does anyone see value in reporting on encryption policy a.k.a. Enforced TLS?  If so, where would you suggest such a feature live? (DMARC, something else...)</div>
<div><br></div><div><br></div><div><br></div><div><br></div>