Подмены там никакой нету, обычный протокол SMTP.
HELO emkei.cz
MAIL FROM: Pupkin <pupkin@mydomain.ru>
RCPT TO: Pupkin Vasya <vasya.pupkin@gmail.com>
Вот что в письме с того сайта:
Received: from emkei.cz ([2a01:5e0:36:5001::1491:8ce5])
by mx.google.com with ESMTP id e4si11314146bko.32.2013.12.27.10.45.08
for <vasya.pupkin@gmail.com>;
Fri, 27 Dec 2013 10:45:09 -0800 (PST)
Received-SPF: fail (google.com: domain of pupkin@mydomain.ru does not designate 2a01:5e0:36:5001::1491:8ce5 as permitted sender) client-ip=2a01:5e0:36:5001::1491:8ce5;
Authentication-Results: mx.google.com;
spf=hardfail (google.com: domain of pupkin@mydomain.ru does not designate 2a01:5e0:36:5001::1491:8ce5 as permitted sender) smtp.mail=pupkin@mydomain.ru
Received: by emkei.cz (Postfix, from userid 33)
id 1A25CD5BF7; Fri, 27 Dec 2013 19:45:08 +0100 (CET)
То есть gmail обнаружил, что согласно SPF письмо пришло с неправильного адреса (spf=hardfail), но всё равно его принял. Если для домена, от имени которого отправляется поддельное письмо, настроены SPF и/или DKIM и принимающий почтовый сервер настроен пожёстче, то письмо не пройдёт.
Простой
Сложный
