¿Cómo reconoce el servidor SMTP el encabezado manipulado?
No lo hacen a menos que requieran autenticación. Con la autenticación se puede determinar si el usuario autenticado es el mismo que el remitente aclamado del correo.
SPF y DKIM no se utilizan en este caso. Estos solo se preocupan por falsificar la parte del dominio de la dirección de los remitentes y no se preocupan en absoluto por usuarios individuales. Por lo tanto, se pueden utilizar para averiguar si los correos electrónicos procedentes de fuera de la falsificación del nombre de dominio. Pero no se pueden usar para averiguar si los correos electrónicos falsificados son parte del usuario de la dirección de los remitentes.
Deseo conocer la mitigación de este problema.
La firma criptográfica del correo electrónico por parte del remitente es la única mitigación confiable de este problema. (Más bien, determinar que un remitente no es válido en función de su falta de firma criptográfica, cuando tiene motivos para esperar que esté allí, es la única mitigación confiable ...)
Lea otras preguntas en las etiquetas authentication email email-spoofing smtp