Schau Dir den langen header der Email an und dann vergleich die "From:" Zeile mit der Angabe im header der Email. Du wirst dann schnell sehen ob der Absender im "From:" korrekt ist oder nicht. Auch siehst Du welchen Weg die Email gegangen ist und von wem diese wirklich kommt.
Ansonsten sollte ein anständiger Mailserver einen lookup machen ob denn auch alles passt was da so im header angegeben wird. Wird da "blafaselfoobar.com" angegeben und lässt sich dies nicht auflösen (IP) dann wird die Mail erst gar nicht angenommen.
Schau Dir mal diese phising mails an, wenn Du welche bekommst (banken). Da steht im From: immer ne schöne, Adresse deren Domain auch stimmt. Schaust Du Dir dann mal den kompletten header der Datei an, dann siehst Du schnell von wem die mail wirklich kommt, bzw. von welchem Server. Und das passt dann mit dem From keinesfalls mehr zusammen.
Ansonsten schau Dir tools wie nslookup, whois und dig an.