Você precisa ler o cabeçalho de e-mail de baixo para cima.
Received: campo (s) mostrará como o e-mail foi para o destino final, todos os servidores intermediários que o e-mail passou. O remetente real do email está no primeiro campo (% inferior) Received: .
O campo From: nem sempre pode ser confiável porque é possível forjá-lo em alguns servidores de envio mal configurados, de modo a revelar o que realmente foi usado no protocolo de comunicação no lugar de MAIL FROM: pode-se investigar o campo do cabeçalho: Received-SPF: que revelará o email do remetente real no subcampo: envelope-from=
( É claro que este campo estará disponível somente se o servidor receber cuidados para verificar SPF , que impede o forjamento de e-mail ).
Este campo Received-SPF: também indica o status de SPF que verifica se a verificação é aprovada, que a confirmação do e-mail foi enviada realmente por um servidor de e-mail que proprietário do domínio autorizado a enviar e-mails.
Se o servidor de um remetente se preocupa com seus usuários, também pode haver o campo DKIM: que é o sinal digital e mecanismo de integridade que garante que o email foi realmente enviado via servidor de email autorizado e a própria mensagem não foi falsificada. ( Funciona como HTTPS, mas usado apenas para proteger apenas a integridade do email original, portanto, se algum intermediário tentasse alterar algo no email, a criptografia de chave pública acionaria o erro )
Os campos acima são mais úteis para identificar o remetente real e garantir que o email não foi falsificado.