SMTP - один из старейших интернет протоколов, доживший до наших дней почти без изменений, и до сих пор повсеместно используемый.
Защиты от подделки отправителя в нем исторически не предусмотрено вообще. Отсюда все мировые проблемы со email спамом.
На практике придумано несколько механизмов защиты, от стандартов IETF до негласных соглашений, которым тем не менее все плюс-минус следуют. С другой стороны, все эти меры без зазрения совести можно назвать костылями.
Так, есть система репутации серверов и доменов отправителей (известные спам-листы вроде spamhaus).
Есть механизмы SPF и DKIM, (нормально они работают только в свзяке с DMARC, иначе много оговорок).
Есть определенные и нигде толком не стандартизированные правила, которые практически все используют (начиная со SpamAssassin): проверка существования домена-отправителя и MX записи, проверка обратной зоны адреса отправителя, проверка домена в EHLO и их разные комбинации. Механизм грейлистинга. И т.д.
Плюс бесконечные эвристики на основе содержания писем, истории переписки, статистики жалоб и пр.
Все это позволяет сейчас крупным почтовикам вроде Gmail весьма успешно фильтровать спам ( в т.ч. письма с поддельным адресом отправителя).
С другой стороны, если владелец домена-отправителя не озаботился никакой защитой, а злоумышленник умеет правильно настраивать почтовый агент, то привет.
То же самое, если получатель не настроил принимающий почтовый сервер.
