Die IP spielt keine wirkliche Rolle. Natürlich nutzt so jemand entweder gehackte Rechner, oder Proxies. Und wenn nicht, wechselt sein Internet-Anbieter die sowieso regelmässig. Wenn er wirklich so dumm gewesen wäre, sowas von zu Hause ohne Verschleierung zu machen, ist er kein Profi, sondern nur von diesen benutzt, und gehört eher mit zu den Opfern (gestern oder heute irgendwo in meinem IT-Newsfeed, weiß nicht mehr genau wo, eine Übersicht, wie in manchen - im Bericht hauptächlich asiatischen - Ländern Hunderttausende Menschen zu Cybercrime gezwungen werden).
Zum Versenden von Emails: die Mailserver sprechen im Übertragungsprotokoll echte Adressen an, und da gibt es auch zwei Verifizierungsebenen - was das Mailprogramm aber anzeigt, ist eben der Inhalt aus dem Header. Da steht im Zweifel "To: Hans" und "From: Fridolin" drin, und das Mailprogramm zeigt das dann an. Wobei mich wundert, dass GMX das nicht schon als Spam markiert hat aus eben diesem Grund.
Hier verwendet die/der Täter:in sicher ein Tool, das massenhaft Emails an gekaufte oder sonstwie besorgte Listen von Email-Adressen verschickt und niemanden "persönlich" angreift. Und wozu wirklich jemanden infizieren, wenn die Angst manchmal schon reicht und weniger Aufwand bedeutet? Mich würde eher die versuchte Erpressung als der gefälschte Absender ärgern
Passwort: der typische Angriffsvektor, um wirklich Accounts anzugreifen, wäre die Verwendung von Login-Daten von anderen, gehackten, Seiten - da viele Menschen Passwörter wiederverwenden, kann das gehackte Passwort von example.com ja auf auf GMX funktionieren. Daher zwei Punkte: niemals das gleiche Passwort auf zwei verschiedenen Seiten, und wo immer es geht (GMX gehört dazu) 2FA/MFA, idealerweise mit TOTP, nicht SMS.