Incredimail è un client di posta (una volta installava degli spyware, oggi non saprei).

Premesso che mascherare la vera origine di una email non è cosa complicatissima...

L'ultimo received che trovi negli header dovrebbe (condizionale d'obbligo) essere quello relativo al primo server smtp contattato da chi ha inviato l'email. In particolare l'indirizzo presente dopo il FROM (all'interno del received) dovrebbe essere il mittente. L'indirizzo dopo il BY è l'smtp.

Non ti resta che esaminare l'IP query whois (ad esempio su ripe.net) e vedere la nazionalità di provenienza. Se invece hai solo il nome di dominio prova con un nslookup ad individuarne l'ip.

Vedi anche se ti puo' essere d'aiuto questo:
http://mail.people.it/analisi.shtml

copiaci dentro solo gli header del messaggio.