Вам нужно прочитать заголовок письма снизу вверх.
Received:
Поле (поля) покажет вам путь, по которому электронная почта отправлялась в конечный пункт назначения, все промежуточные серверы, которые прошли электронную почту. Фактический отправитель электронной почты находится в первом (снизу) Received:
поле.
Поле From:
не всегда можно доверять, потому что можно подделать на некоторых плохо настроенных серверов - отправителей, так, чтобы показать, что действительно используется в протоколе связи на месте
MAIL FROM:
можно изучить поле заголовка в: Received-SPF:
что будет раскрывать электронную почту реального отправителя в подполе: envelope-from=
( Конечно, это поле будет доступно только в том случае, если на сервере обращаются за проверкой SPF, что предотвращает подделку писем ).
В этом поле Received-SPF:
также указывается статус проверки SPF, если она прошла проверку, подтверждающую, что электронное письмо действительно было отправлено с сервера электронной почты, который владелец домена уполномочил отправлять по электронной почте.
Если сервер отправителя заботится о своих пользователях, может также существовать DKIM:
поле, представляющее собой механизм цифровой подписи и целостности, который гарантирует, что электронная почта действительно была отправлена через авторизованный почтовый сервер, а само сообщение не было подделано. ( Он работает примерно так же, как HTTPS, но используется только для защиты целостности оригинальной электронной почты, поэтому, если какой-нибудь посредник попытается что-то изменить в электронной почте, криптография с открытым ключом вызовет ошибку )
Эти поля являются наиболее полезными для идентификации реального отправителя, а также для проверки того, что электронная почта не была подделана.