tl; dr na parte inferior.
O protocolo SMTP não tem a noção de destinatários CC ou BCC; esta é uma convenção realizada por clientes de correio. O servidor SMTP normalmente se preocupa apenas com informações e dados de roteamento. Esta é uma distinção importante, porque sem essa capacidade, o BCC não poderia existir. Como uma comunicação BCC legítima, considere a seguinte transcrição do cliente:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<anonymous@another-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Agora, neste caso, o Anonymous recebeu uma mensagem sobre esta reunião. No entanto, esta versão do email não foi roteada para Jane Doe; ela não sabe nada sobre o Anonymous ser notificado. Em contraste, Jane Doe receberá a mensagem com um corpo e cabeçalho diferentes:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<jane.doe@to-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Aqui, como o Anonymous estava no BCC, a mensagem enviada para Jane Doe não incluía a lista de destinatários do BCC. Devido à convenção BCC, o envelope de email pode não incluir destinatários que realmente receberam a mensagem e também pode incluir destinatários que não aparecem nos cabeçalhos da mensagem.
Como mencionado por @JonasWielicki , que eu também pretendia incluir, é que o MUA (Mail User Agent) normalmente é responsável por enviar os vários emails necessários para implementar o BCC. Os servidores de email não sabem nada sobre o BCC e, portanto, o MUA deve implementá-lo enviando vários emails com rotas de email diferentes especificadas nos cabeçalhos do envelope. Por esse motivo, os BCCs normalmente levam mais tempo para enviar do que os e-mails normais, porque diferentes corpos de mensagens devem ser construídos e enviados individualmente.
Isso também ajuda com algumas regras de conformidade de email. Por exemplo, um servidor de email pode ter regras configuradas para enviar automaticamente um servidor de arquivamento para Cco (todos os emails enviados a ele também são arquivados); nesse caso, o servidor de email talvez nem seja um destinatário real.
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<mail-archive@archive-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Aqui, o destinatário é outra parte que não é totalmente revelada a nenhum dos destinatários ou mesmo ao remetente. Esse é um recurso do protocolo, normalmente usado na retransmissão ou arquivamento de mensagens.
O que essa mensagem de spam fez foi tirar proveito desse comportamento. É uma brecha padrão que tecnicamente deve funcionar com qualquer servidor de email compatível. Obviamente, muitos servidores atualizados usam "extensões" como o DKIM para verificar se um email é autêntico, mas ainda existem muitos servidores de correio antigos que não se importam, simplesmente porque é tentador não consertar coisas que não estão quebradas.
Observe também como eu especifiquei um cabeçalho de data. Pode ser qualquer valor arbitrário (mas bem formatado); muitos clientes exibirão com prazer qualquer intervalo de datas legal, do passado distante ao futuro distante. Eu pessoalmente enviei um e-mail para mim mesmo anos atrás, que permanecerá no topo da minha caixa de correio por muito tempo após a minha expectativa de vida, bem como um e-mail que antecede minha conta de e-mail e meu próprio nascimento.
tl; dr
Portanto, em resumo, o remetente falsificou um email, o servidor de email de origem aceitou / retransmitiu, seu servidor de email aceitou e armazenou na sua caixa de entrada, e seu cliente exibiu fielmente os dados que estavam na sua caixa de entrada para você, tudo sem contornar qualquer segurança. A segurança de "envio" geralmente é muito menos restrita do que a segurança de "recebimento" nessa perspectiva, pois o POP3 quase sempre exige um nome de usuário e senha antes de você poder acessar uma caixa de correio (teoricamente, você pode contornar isso, mas não conheço nenhum legítimo serviços de correio que fazem).