Received は、**まっとうなサーバであれば** prepend していくのが基本なので、一番先頭についている (いちばんユーザに近いところで付けられた) Received は信用できる、他は偽装される可能性はある
はず。
なので、まず先頭の Received の "by" (誰が受信したか) が信頼できることを確認して、そのヘッダの "from" (誰から受信したか) と次に出現する Received の "by" が一致していることを確認して、……というように信頼をチェーンさせていくのが一番疑り深い読み方なのかな?
もちろん、一致していたとて「本当にそのサーバを経由してきた (ということで両者間で合意できている) らしい」というところまでしかわからないので、そのサーバが悪意あるヘッダ改変をしているかどうかは別問題なんだけど