No non è il sito originale.
Se e ripeto se riuscissero a modificare i tuoi dns o la tua cache locale, tu sul browser digiti paypal.com ma il tuo dns anzichè risolvere 64.4.250.36 come IP, risolve un altro (es 1.2.3.4), quindi il tuo sistema manda la richiesta a1.2.3.4 che ti risponderà con una pagina in tutto e per tutto simile a quella di Paypal.

Oppure, ma è più complicato, il tuo sistema manda la richiesta a 1.2.3.4 il quale fa da "proxy" verso il vero paypal quindi tu vedi il vero paypal MA tutto il traffico passa da 1.2.3.4 che ha quindi la possibilità di "leggere" i pacchetti in transito e modificarli. Quest'ultimo è il classico attacco MiM

Riguardo la possibilità di inviare una mail come se fossi paypal.com, non è affatto difficile! Per questo ti chiedevo gli header del messaggio, perchè anche se io riesco a inviare una mail che a te sembra provenire da paypal.com, negli header c'è scritto chiaramente che in realtà è transitato/partito da 1.2.3.4