Hay una posibilidad remota aún, no de demostrar su inocencia si no al menos de plantear la duda de la culpabilidad (sujeto siempre al criterio de los jueces, que ya sabemos que cada cual tiene un pie torcido y el otro una mano, o la oreja).
Si se conoce de forma verificada la marca y el modelo del router, todavía puedes buscar por la red algo como: "fallo de seguridad del router marcaTal modeloTal"... si encuentras fallas conocidas (y mejor si son reconocidas por el propio fabricante) sobre dicho modelo, siempre se puede alegar que por esa fecha ese router en particular tenía agujeros de seguridad, que el fabricante lo ha reconocido después y no dispuso solución antes del incidente.
Y como aclaración pertienente que un usuario no tiene ni puede tener responsabilidad más allá de su configuración y menos hacerse responsable de los fallos de seguridad del fabricante. Esto no sería distinto de un accidente de tráfico debido a un fallo de fábrica en los sistemas del vehículo, de los que de tanto en tanto se oye alguno.
Es una posibilidad remota, pero sé que cuando todo pende de un hilo, uno se agarra a un clavo ardiendo si está al alcance.
Y repondiendo a la pregutna inicial:
Buen dia, necesito conocer tecnicas para cambios de ip publica en el encabezado de un email a enviar. en resumen como envio un email y que en el encabezado viaje otra ip publica que no sea la mia.?. mas precisamente una ip publica conocida..simulando que el email fue enviado desde esa otra conexion... es esto posible?
Si que la hay... si el intruso tuvo acceso al correo electrónico de tu defendido, puede desde el mismo enviar un correo en su nombre, obviamente la IP será distinta si opera desde otra red, pero si ha logrado acceso a su correo a buen seguro tiene (tenía) un troyano instalado en su equipo y pudo desde ahí mismo acceder al correo y enviarlo desde su propia IP. (como dices que cambia el campo 'From', ni siquiera tuvo que acceder a su correo, pudo usar uno propio para sus fechorías. De todas maneras, incluso pudo haber un acceso al correo y falsificar el 'From', para hacer ocutar la intrusión en el propio equipo (falsificar el campo From en las cabeceras es algo frecuente por las empresas de Spam).
Todavía una posibilidad más remota, es que tu defendido utilizara una VPN durante aquellas fechas.
Algo importante es saber a que hora reza que se envió (o enviaron), si por casualidad estaba en el trabajo a esas horas (si trabajaba en tales fechas), la IP que debiera figurar sería la de la empresa... a tal efecto, podría ser acertado reunir otros correos de aquellas fechas enviados desde el trabajo donde muestren que en efecto, en el trabajo es otra IP y quedaría demostrar que ese día esas horas estaba en el trabajo ... por ejemplo, estaría bien otro correo que él mismo mandara a esa hora dese su empresa y que el margen horario no dé para llegar a casa...
Más gratificante sería que la empresa usara DKIM, para utilizar sus correos aunque como nació por aquellas fechas, dudo que si su empresa no fuera enfocada a la red, usaran la autenticación DKIM, aunque por aquellas fechas (2007, decías) si estaba activo por esas fechas SPF, pero nuevamente sería raro que una empresa no versada ni volcada en internet adoptase tales.
...y dado el tiempo transcurrido, supongo que será harto difícil conseguir correos adicionales del representado... sean enviados desde su casa o desde la empresa.
A falta de soluciones, te recomiendo emparaparte un poco del tema: Sender Policy Framework puede ayudarte a entender, clarificar y en su caso poner en duda si pudo ser enviado desde su IP o no. Es difícil aportar más.
https://tools.ietf.org/html/rfc4408https://tools.ietf.org/html/rfc4870