1. Действительно, имеет смысл сравнивать первую запись в поле Received с адресом почтового сервера отправителя. Несовпадение - признак "левого" письма.
И вы советуете пользователю, не знающему как посмотреть заголовки, идти выяснять, каким этот адрес должен быть в каждом конкретном случае?
Например, вот письмо от Алами (так, во всяком случае, оно выглядит), и вот его
Received: from relay140.msgfocus.com (relay140.msgfocus.com. [23.85.102.140])
by mx.google.com with ESMTPS id i44si15893607eew.307.2013.06.18.06.43.32
Подделка или нет? Аргументируйте свой ответ и расскажите, как узнали, чтобы каждый простой стокер, не обременный познаниями в сетевых протоколах, мог легко это повторить.
2. Подделать его реально в некоторых случаях, как вы говорите, "не путайте народ" и "учите матчасть". То, что заморачиваться скорее всего для такого фишинга никто не будет - это другое дело, но разговор был вообще о том, "в какое поле смотреть, чтобы наверняка узнать реальный е-мэйл отправителя?" и ответ вполне логичный: ни в какое. Чего вы так возбудились?
Такого протокола не существует в природе, это раз. Если бы "такое" было невозможно, SIDF и DKIM были бы нафиг никому не нужны, это два.
Сами-то поняли, что сказали? Впрочем, здесь вы правы)))
Вы невежественны и хамовиты. Идите в игнор.