tl; dr внизу.
Протокол SMTP не має поняття одержувачів CC або BCC; це конвенція, яку проводять поштові клієнти. Сервер SMTP, як правило, піклується про інформацію та дані про маршрутизацію. Це важлива відмінність, оскільки без цієї можливості БКК не могла б існувати. В якості законного зв'язку BCC розглядайте наступну стенограму клієнта:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<anonymous@another-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Тепер у цьому випадку Анонім було надіслано повідомлення про цю зустріч. Однак ця версія пошти не була перенаправлена Джейн До; вона нічого не знає про повідомлення Анонімного. На відміну від Джейн Доу буде надіслано повідомлення з іншим текстом та заголовком:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<jane.doe@to-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Тут, оскільки Anonymous був у БЦК, повідомлення, яке було надіслано Джейн До, не включало список одержувачів BCC. Через конвенцію BCC конверт електронної пошти може не включати одержувачів, які фактично отримали повідомлення, а також можуть містити одержувачів, які не відображаються у заголовках повідомлень.
Як згадував @JonasWielicki , який я також мав на меті включити, це те, що MUA (поштовий агент користувача), як правило, відповідає за надсилання декількох електронних листів, необхідних для впровадження BCC. Сервери електронної пошти нічого не знають про BCC, і тому MUA повинен реалізувати BCC, надсилаючи кілька електронних листів з різними маршрутами електронної пошти, зазначеними в заголовках конвертів. З цієї причини надсилання BCC зазвичай займає більше часу, ніж звичайні електронні листи, оскільки різні органи повідомлень повинні створюватися та надсилатися окремо.
Це також допомагає дотримуватися деяких правил дотримання електронної пошти. Наприклад, поштовий сервер може мати правила, налаштовані для автоматичного BCC архіву сервера електронної пошти (усі електронні листи, що надсилаються на нього, також архівуються), в цьому випадку поштовий сервер може навіть не бути реальним одержувачем.
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<mail-archive@archive-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Тут одержувач - це ще одна сторона, яка повністю не розголошується жодному з одержувачів або навіть відправнику. Це особливість протоколу, зазвичай використовується при передачі або архівуванні повідомлень.
Це спам-повідомлення зробило скористатися такою поведінкою. Це стандартна лазівка, яка технічно повинна працювати з будь-яким сумісним поштовим сервером. Звичайно, багато оновлених серверів використовують такі "розширення", як DKIM, щоб перевірити, чи є такий електронний лист автентичним, але все ще є багато старих поштових серверів, які не хвилюються, просто тому, що це спокуса не виправляти речі, які не порушені.
Також зверніть увагу, як я вказав заголовок дати. Це може бути будь-яке довільне (але добре відформатоване) значення; багато клієнтів із задоволенням відображають будь-який законний діапазон дат від далекого минулого до далекого майбутнього. Я особисто надсилав собі електронний лист років тому, який залишатиметься у верхній частині моєї поштової скриньки довгий час після моєї тривалості життя, а також електронний лист, який передував моєму обліковому запису електронної пошти та моєму власному народженню.
тл; д-р
Отже, підсумовуючи повідомлення, відправник підробив електронний лист, поштовий сервер, що походить, прийняв / повторно відправив його, ваш сервер електронної пошти прийняв його і зберігав у вашій скриньці, а ваш клієнт вірно відображав дані, які були у вашій папці "Вхідні", все, не обходячи його. будь-яка безпека. Безпека "надсилання" часто набагато менш обмежена, ніж захист "отримання" в цій перспективі, оскільки POP3 майже завжди вимагає імені користувача та пароля, перш ніж ви зможете отримати доступ до поштової скриньки (теоретично ви могли це обійти, але я не знаю жодного законного поштові послуги, які роблять).