Man kann es erkennen. Zuerst mal kann man erkennen, ob die Absenderadresse der Mail offensichtlich gefälscht ist: Man vergleicht die Felder From und Return-Path. Die sollten bei normaler Post eigentlich übereinstimmen; bei Mailinglists bin ich mir nicht sicher. Aber die sind hier ja eh nicht so verbreitet.

Wenn man sich die Nachrichten unter der X-Original-To-Zeile ansieht kann man auch Interessantes über die Mail erfahren, und zwar den Weg, den sie durch das Netz genommen hat:
Zuerst hat pd958940c.dip.t-dialin.net* die Mail an mx1.freenet.de gesendet. Von mx1.freenet.de wurde die Mail dann an mout1.freenet.de** weitergeleitet, von wo sie an mail-in-01.arcor-online.net ging. Von dort wurde die Mail dann vom User abgerufen.

Das klingt alles relativ normal; ich halte es für unwahrscheinlich, daß Katharina gejoe-jobt wurde.


* sieht nach einer privaten Hostmask eines T-Online-Users aus.
** "mout1" läßt vermuten, daß das Freenets erster (primärer?) Server für ausgehende Mail ist.