Los correos van pasando por diversos servidores intermedios hasta llegar a nuestro buzón. Cada uno de esos servidores va incluyendo en el mensaje cabeceras "técnicas" que normalmente no se nos muestran, pero que se pueden ver si se hace click derecho sobre el correo, "Ver código fuente".
En primer lugar suele aparecer la cabecera "Return-Path", que en condiciones normales contiene el remitente que se le indicó al último de los servidores de correos por los que pasó el correo. Que esa cabecera no contenga una dirección de correo sino los caracteres "<>" (si no es una notificación de no entrega o similar, es decir, un correo generado por un servidor de correo para informar de algún problema) es bastante sospechoso.
Muchos de los correos que he recibido con un supuesto remitente como el que indicas (con cadenas así como aleatorias) traen ese Return-Path:<>. Con otros no hay esa suerte, porque parecen emitidos desde alguna cuenta hackeada (o creada específicamente para hacer la puñeta), que puede verse precisamente en el Return-Path.
Para mandar a "Correo no deseado" los correos que lleguen con "Return-Path" en blanco, basta con incluir entre las condiciones: "Cabecera", Nombre: Return-path, "Es exactamente" <>.
Estos días hay que estar muy alerta y no fiarse de nada. Recibo continuamente correos maliciosos con "De" del tipo "Google <soportecorreo.@telefonica.net", mi propio nombre mailto:hola@mail.movistar.es, y similares.
Conviene "Ver código fuente" del correo, localizar cualquier URL que pueda contener y confirmar que no lleva a sitios web desconocidos. hybrid-analysis.com es un sitio web muy bueno, a día de hoy gratuito, que analiza la maliciosidad de URL, entre otras cosas.
Un saludo
