Я поверхностно посмотрел на описание, и могу не точно описать, но:
Все базируется на асимметричной криптографии
1. Гугл(к примеру) считает hash от заголовка(to, from, cc etc.) и\или тела письма.
2. Шифрует хеш своим приватным ключом, затем отсылает письмо вместе с зашифрованным ключем
3. Принимающая сторона запрашивает публичный ключ у гугла и дешифрует сообщение, считает hash и сравнивает его с тем, что прилетел от гугла. Если они совпадают, то у проверяющей стороны есть 99% гарантия, что письмо прилетело от гугла. 1% спишем на то, что приватный ключ могут украсть.
Почему это нельзя подделать? Это гарантируется криптографической стойкостью используемых алгоритмов.
P.S. письма Навального читаете? :)
