А вот как найти этот "исходный IP", если он не очевиден - вот это мне (нам) и было бы интересно узнать от Н.Н.Федотова и Urix'a, полагаю они знают больше, чем рассказывают.
Поверьте, ничего сложного в этом нет. Надо просто учитывать свойства протоколов и знать, как работает тот или иной сервис.
При соединении с сервером (демоном) входящей почты (smtpd), в структуре соединения всегда присутствует IP-адрес клиента. Это адрес потом smtpd записывает в log-файле в записи вида:
12 янфваря 2003 годв в 12:04:56 было осуществлено соединение с клиентом 192.168.0.1.
Инициируется соединение всегда клиентом. Поэтому в log-файле провайдера должна присутствовать запись о том, когда и кто (IP-адрес) соединился, кому просил передать сообщение и т.д. После загрузки сообщения в память, smtpd добавляет первой строкой в разделе заголовков письма сообщение о том, что сервер такой-то принял письмо от клиента такого-то в такое-то время. После этого сообщение отправляется дальше. Это обязательные реквизиты, регламентируемые стандартом.
Анонимайзеры обрезают всю транспортную информацию, поэтому они являются нарушителями RFC. Обычно, после анонимайзера, в заголовках остается только информация о том, что сообщение получено сервером провайдера. Отсюда легко сделать вывод о том, что это именно анонимайзер распространяет спам. Со всеми вытеккающими.
