tl; dr in fondo.
Il protocollo SMTP non ha la nozione di destinatari CC o BCC; questa è una convenzione tenuta dai client di posta. Il server SMTP in genere si preoccupa solo del routing di informazioni e dati. Questa è una distinzione importante, perché senza questa capacità, BCC non potrebbe esistere. Come comunicazione BCC legittima prendere in considerazione la seguente trascrizione del client:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<anonymous@another-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Ora, in questo caso, ad Anonymous è stato inviato un messaggio su questa riunione. Tuttavia, questa versione della posta non è stata indirizzata a Jane Doe; non sa nulla della notifica di Anonymous. Al contrario, a Jane Doe verrà inviato il messaggio con un corpo e un'intestazione diversi:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<jane.doe@to-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Qui, poiché Anonymous era nel BCC, il messaggio inviato a Jane Doe non includeva l'elenco dei destinatari del BCC. A causa della convenzione CCN, la busta e-mail potrebbe non includere i destinatari che hanno effettivamente ricevuto il messaggio e potrebbe anche includere destinatari che non compaiono nelle intestazioni dei messaggi.
Come menzionato da @JonasWielicki , che intendevo anche includere, è che il MUA (Mail User Agent) è in genere responsabile dell'invio delle e-mail multiple necessarie per implementare BCC. I server di posta elettronica non conoscono nulla di BCC, pertanto MUA deve implementare BCC inviando più e-mail con percorsi di posta elettronica diversi specificati nelle intestazioni delle buste. Per questo motivo, i BCC richiedono in genere più tempo per l'invio rispetto alle normali e-mail, poiché è necessario creare e inviare singoli corpi di messaggi diversi.
Questo aiuta anche con alcune regole di conformità della posta elettronica. Ad esempio, un server di posta può avere regole configurate per BCC automatico di un server di posta elettronica di archivio (anche tutte le e-mail inviate ad esso vengono archiviate), nel qual caso il server di posta potrebbe non essere nemmeno un destinatario reale.
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<mail-archive@archive-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Qui, il destinatario è un'altra parte che è completamente rivelata a nessuno dei destinatari o persino al mittente. Questa è una funzionalità del protocollo, generalmente utilizzata per l'inoltro o l'archiviazione dei messaggi.
Ciò che ha fatto questo messaggio di spam è sfruttare questo comportamento. È una scappatoia standard che tecnicamente dovrebbe funzionare con qualsiasi server di posta conforme. Ovviamente, molti server aggiornati usano "estensioni" come DKIM per verificare che una simile e-mail sia autentica, ma ci sono ancora molti vecchi server di posta là fuori a cui non importa, semplicemente perché si è tentati di non riparare cose che non si rompono.
Nota anche come ho specificato un'intestazione Date. Questo può essere qualsiasi valore arbitrario (ma ben formattato); molti clienti visualizzeranno felicemente qualsiasi intervallo di date legali dal lontano passato al lontano futuro. Ho personalmente inviato un'e-mail a me stesso anni fa che rimarrà in cima alla mia casella di posta a lungo dopo la mia aspettativa di vita, così come un'e-mail che precede il mio account e-mail e la mia nascita.
tl; dr
Quindi, in sintesi, il mittente ha falsificato un'e-mail, il server di posta di origine l'ha accettata / inoltrata, il tuo server di posta elettronica l'ha accettata e archiviata nella tua casella di posta e il tuo cliente ti ha mostrato fedelmente i dati che erano nella tua casella di posta, il tutto senza aggirare qualsiasi sicurezza. La "sicurezza" di invio è spesso molto meno limitata della "ricezione" di sicurezza in quella prospettiva, dal momento che POP3 richiede quasi sempre un nome utente e una password prima di poter accedere a una casella di posta (si potrebbe teoricamente aggirare questo, ma non conosco alcun legittimo servizi di posta che lo fanno).