Das Problem ist eher, dass gar nicht der Mailserver des getürkten Absenders für das Versenden verantwortlich ist.
Ich habe da mal einen Bericht gelesen, dass man den Absender und Servernamen im Maildokument ändern kann.

Mailprovider verhindern das ja normalerweise, aber die Hacker haben ihre eigenen Mailprovider und schicken eben einfach Mails mit falschem Absender.

Da kann man leider gar nichts dagegen machen.
Nicht umsonst gibts ja auch solche Mails von der Deutschen Bank oder Telekom. Und ich denke, dass die ihre Mailserver da schon sicherer gestalten.

Ggf. kann man sich auch den Mailinhalt insgesamt ansehen und die Herkunft über die IP-Adresse genau ermitteln, da diese zur Verfolgung eigentlich eingebettet wird.