Почтовый сервер работает в рамках RFC 821 и на заголовки, которые к нему (этому RFC) никак не относятся, совершенно очевидно кладет.
Понятия "хозяин ящика" не существует. Ну, по крайней мере в RFC, относящихся к почте.
Защиты от спуфинга имен в почтовых рассылках не существует, за исключением проверки на валидность адреса назначения при приеме письма.
SPF может в некоторой степени подтвердить, что сервер отправителя - это на самом деле сервер отправителя. Но поле FROM: насколько я знаю вообще никем и никогда не проверяется, чем собственно пользуются всевозможные внутрикорпоративные оповещалки.
Ну и спамеры, конечно же :)