Uns schickt immer jemand anonyme Emails mit üblen Texten. Als Absender ist angegeben ebi@es.de. Jetzt ist es ja nicht möglich eine Domain mit nur zwei Zeichen einzurichten, außerdem ist es auch noch ein KFZ-Kennzeichen, was auch nicht zulässig ist. Hat jemand eine Idee wie man so etwas (Absenderfälschung) fertig bringen kann, bzw. wie man den Absender doch noch herausbringen kann? Über einen Tip würde ich mich sehr freuen.

Der Inhalt einer Mail ist unabhängig von den Versand-Befehlen, die dem Mailtransport (SMTP) gegeben werden. In der Regel nimmt bzw. akzeptiert das System natürlich nur das, was in der Mail steht, aber prinzipiell ist das nicht nötig.
Das SMTP-System ist unter http://www.faqs.org/rfcs/rfc821.html beschrieben. Kurze Übersicht:

HELO <SP> <domain> <CRLF>
  MAIL <SP> FROM:<reverse-path> <CRLF>
  RCPT <SP> TO:<forward-path> <CRLF>
  DATA <CRLF>
  [Hier folgt das, was Du als Mail bekommst]

Wie Du siehst, kommen oben zwei Befehle, in denen steht, von wem eine Mail kommt und an wen sie geschickt wird. Die eigentlichen Daten kommen erst später, nach DATA.

Welchen Weg die Mail genommen hat, kannst Du (wahrscheinlich) über die Received:-Zeilen im Mailkopf rausfinden.

Gruß,
  soenk.e