メールヘッダーで注視する箇所

From：送信者のメールアドレス（偽装できるので信用しない）
to：受信者のメールアドレス（BCCだとundisclosed-recipientsになる）
Date：送信日（偽装できる）
Received：経由されたメールサーバー（複数ある場合もあり、下行が送信者に近い）
Reply-To：返信先のメールアドレス
Return-Path：送信エラー通知先のメールアドレス
Message-ID：メールのIDでユニークな値
X-Mailer：使われたメールソフト類
Received-SPF：送信ドメインの認証結果（pass以外信用性低い）
Authentication-Results：送信ドメインの認証結果（dkim=pass、spf=pass以外信用性低い）

Subject：メールの件名ですが、日本語だとエンコードされて読めないのが普通

 

Receivedには、IPアドレスが表示されているので（ドメイン名表記は偽造できるので信用しない）、

IPアドレスからWhois情報を調べれば、どこのメールサーバーから届いたものか判ります。

フィッシングメールは、海外から送信されたものが多いですが、

国内大手のレンタルサーバー経由も多いです。

国内だからと言っても信用できません。

有名企業なら独自ドメインとサーバーを使われていますので、レンタルサーバー会社名が表示される事は殆どありませんので、そのあたりで推測します。