・「送信元のアドレスは画面表示上、担当者のものと同じだった」
https://www.asahi.com/articles/ASKDN66QBKDNUTIL04Y.html [asahi.com]

・メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける [it.srad.jp]

今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通

Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね

Vendors affected by Mailsploit [google.com] の最新情報でも脆弱性修正がまだのメーラーが多数、Thunderbird は脆弱性を修正しないとする方針を撤回してベータ版では修正が終わったのは良いけど正式版はまだなので、まだ From 詐称による詐欺被害は続くかもしれません。

FIXED AS OF 11 DEC. 2017 (IN TB 58 BETA 2)

GOOD NEWS! Mozilla fixed the issue and will be available soon in Thunderbird. https://bugzilla.mozilla.org/show_bug.cgi?id=1423432 [mozilla.org] Original discussion was over email using PGP and resulted in a WON'T FIX. No bugzilla report was made.

MailsploitでFrom詐称どころかXSS/Code Injection発生のメーラーが多数、いまだに未パッチのメーラーが多い現状を考えると、PGPやS/MIME使うか、お互いGmailでも使ってた方が安全ですね