Offensichtlich werden Accounts, deren Adressbücher kompromittiert wurden, zum Versand der Mails zu früher andernorts geharvesteten Adressen verwendet. Ein direkter Versand unter der korrekt zugeordneten Absenderdomain findet glücklicherweise nicht (oder nur mit statistisch minimaler Wahrscheinlichkeit) statt, also kann man echte Fakes mit DKIM/SPF/DMARC verhindern.
