Fleg má naprostou pravdu.
Jedna věc je ověřit si že legitimní mail přišel od legitimního usera (to problém není, protože tam se nikdo nesnaží nic zfalšovat), druhá věc je, že pokud chci podvrhnout e-mail a ztížit jeho dohledání (což je podstata drtivé většiny spamů, scamů a pod.), tak nebudu používat MUA, ale zařídím si to tak, že se ten můj mail ocitne rovnou na nějakém MTA (záměrně nepíšu jakém), a ten už zařídí doručení. Nebudu popisovat techniky, je jich několikero, od jednoduchých až po velmi sofistikované. A pokud doména odesilatele i příjemce nemá DKIM, je jakékoli pátrání v podstatě bezpředmětné.