Das liegt insgesamt eher am Protokoll. Zum Versenden einer Email im Namen anderer benötigt man noch nicht mal Zugriff auf deren Email-Server, lediglich die Emailadresse. Das
SMTP Protokoll ist so alt, dass es mehr oder weniger ohne irgendwelche Sicherheitschecks arbeitet. Da kann man so nichts machen
...
...
Das ist schon klar. Nur falls die Mails doch über den eigenen Server versendet wurden, würde ich trotzdem die Kennwörter ändern.
EDIT: Er schreibt zwar, dass im Header eine kryptische Mailadresse drin stand (weshalb die Mail wohl von jemandem über einen eigenen Mailaccount gesendet wurde), aber Kennwort ändern ist sicherlich nicht die schlechteste Variante. Einfach nur um den Punkt auszuschließen.