Es muy facil suplantar una cuenta de Email, de ahi que se utilizen temas de SIGN con programas PGP para poder validar de que de que el mail recibido procede del mail indicado...

si te han enviado un mail a ti, mira que server SMTP estan utilizando, y avisa al administrador de que no esta utilizando medidas de seguridad básicas anti-spam, ya que estan haciendo uso de su server para enviar correo no deseado...
Para que te hagas una idea de un sistema que tuve que instalar en su día para impedir lo que planteas: Almacenaba de la ip por intervalos pequeños de tiempo, una vez se habia leido el correo via pop3 = te has identificado mediante password al sistema...
Y sólo te permitia enviar con dicha cuenta si la ip origen coincidia con la autentificada via pop3...

Byez