DI COSA C'È BISOGNO?
1) di un browser puntato su http://samspade.org/t , che ha tutto il necessario per fare l'analisi
2) di una vaghissima infarinatura su come funziona la posta.

Tutto negli headers può essere falso. Non è difficile falsificare il mittente, né nessun altro campo. Gli unici campi affidabili - con eccezioni, vedi sotto - sono i campi Received:.
Tutto il resto possiamo fare a meno di considerarlo

I campi Received: sono aggiunti da ogni mailserver che maneggia la mail. Sono inseriti "al contrario", cioé aggiunti in cima (quelli più in alto sono i più recenti). Hanno un formato che varia da mailserver a mailserver, ma generalmente si presentano così:
Received: from indirizzo (altroindirizzo[IP]) by nomemailserver (numero di versione del software)

Il primo campo, quello identificato da indirizzo, è quello con cui chi consegna la posta al server "nomemailserver" si è presentato. Può essere - e normalmente è - falsificato. Il secondo, quello tra parentesi tonde [non sempre presente] è quello che effettivamente è il suo vero nome, come identificato da nomemailserver. Quello tra parentesi quadre è l'indirizzo IP da cui si è connesso chi consegna la mail.

Lo spammer può inserire linee Received: fasulle, ma può solo "aggiungerle in fondo" - non può né modificare quelle autentiche, né aggiungerle "in mezzo" a linee Received: autentiche. Ecco perché l'analisi degli headers si fa di solito a rovescio - dal server più recente al più antico - fino a raggiungere l'ultimo Received: o a trovare l'ultimo Received: autentico.