Раскрывают ли необработанные данные из электронного письма фактического создателя?

Вам нужно прочитать заголовок письма снизу вверх.
Received: Поле (поля) покажет вам путь, по которому электронная почта отправлялась в конечный пункт назначения, все промежуточные серверы, которые прошли электронную почту. Фактический отправитель электронной почты находится в первом (снизу) Received: поле.

поле From: не всегда можно доверять, потому что возможно подделать его на некоторых плохо настроенных отправляющих серверах, чтобы выявить, что действительно использовалось в протоколе связи вместо
MAIL FROM: можно исследовать поле заголовка: Received-SPF: это раскроет электронную почту реального отправителя в подполе: envelope-from=
(Конечно, это поле будет доступно только в том случае, если на сервере обращаются за проверкой SPF, что предотвращает подделку писем).
Это поле Received-SPF: также укажите статус проверки SPF, если она прошла проверку, подтверждающую, что электронное письмо действительно было отправлено с сервера электронной почты, который владелец домена уполномочил отправлять по электронной почте.

Если сервер отправителя заботится о своих пользователях, возможно, DKIM: поле, представляющее собой механизм цифровой подписи и целостности, гарантирующий, что электронная почта действительно была отправлена ​​через авторизованный почтовый сервер, а само сообщение не было подделано. (Он работает примерно так же, как HTTPS, но используется только для защиты целостности оригинальной электронной почты, поэтому, если какой-нибудь посредник попытается что-то изменить в электронной почте, криптография с открытым ключом вызовет ошибку)

Эти поля являются наиболее полезными для идентификации реального отправителя, а также для проверки того, что электронная почта не была подделана.