tl; dr na dole.
Protokół SMTP nie ma pojęcia odbiorców CC lub BCC; jest to konwencja obsługiwana przez klientów pocztowych. Serwer SMTP zazwyczaj tylko dba o informacje o routingu i dane. Jest to ważne rozróżnienie, ponieważ bez tej możliwości BCC nie mógłby istnieć. Jako prawidłową komunikację BCC należy wziąć pod uwagę następujący zapis klienta:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<anonymous@another-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Teraz w tym przypadku Anonimowi wysłano wiadomość o tym spotkaniu. Jednak ta wersja poczty nie została skierowana do Jane Doe; nic nie wie o powiadomieniu Anonimowego. Natomiast Jane Doe zostanie wysłana wiadomość z innym ciałem i nagłówkiem:
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<jane.doe@to-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Ponieważ Anonim był w BCC, wiadomość wysłana do Jane Doe nie zawierała listy odbiorców BCC. Ze względu na konwencję BCC koperta wiadomości e-mail może nie obejmować odbiorców, którzy faktycznie otrzymali wiadomość, a także adresatów, którzy nie pojawiają się w nagłówkach wiadomości.
Jak wspomniała @JonasWielicki , co również chciałem załączyć, to MUA (Mail User Agent) zazwyczaj odpowiada za wysyłanie wielu e-maili wymaganych do wdrożenia BCC. Serwery e-mail nie wiedzą nic o BCC, dlatego MUA musi wdrożyć BCC, wysyłając wiele wiadomości e-mail z różnymi trasami e-mail określonymi w nagłówkach kopert. Z tego powodu BCC wysyłają zwykle więcej czasu niż zwykłe wiadomości e-mail, ponieważ różne treści wiadomości muszą być konstruowane i wysyłane indywidualnie.
Pomaga to również w przypadku niektórych zasad zgodności z pocztą e-mail. Na przykład serwer pocztowy może mieć skonfigurowane reguły do automatycznego BCC zarchiwizowanego serwera e-mail (wszystkie wysyłane do niego wiadomości e-mail są również archiwizowane), w którym to przypadku serwer pocztowy może nawet nie być prawdziwym odbiorcą.
HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<mail-archive@archive-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM
This is an important meeting notice. We'll meet tomorrow.
.
Tutaj odbiorca to inna strona, która jest całkowicie niejawna żadnemu z odbiorców, a nawet nadawcy. Jest to cecha protokołu, zwykle używana do przekazywania lub archiwizowania wiadomości.
Ta wiadomość spamowa wykorzystała to zachowanie. Jest to standardowa luka, która technicznie powinna działać z każdym zgodnym serwerem poczty. Oczywiście wiele zaktualizowanych serwerów używa „rozszerzeń”, takich jak DKIM, aby zweryfikować, czy taki e-mail jest autentyczny, ale wciąż istnieje wiele starych serwerów poczty, które nie dbają o to, po prostu dlatego, że kusi nie naprawiać rzeczy, które nie są zepsute.
Zwróć też uwagę, jak podałem nagłówek Date. Może to być dowolna (ale dobrze sformatowana) wartość; wielu klientów chętnie wyświetli dowolny legalny zakres dat od odległej przeszłości po daleką przyszłość. Wiele lat temu osobiście wysłałem do siebie wiadomość e-mail, która pozostanie na górze mojej skrzynki pocztowej długo po mojej oczekiwanej długości życia, a także wiadomość e-mail, która poprzedza moje konto e-mail i moje urodzenie.
tl; dr
Podsumowując, nadawca sfałszował wiadomość e-mail, serwer poczty przychodzącej ją zaakceptował / przekazał, serwer poczty e-mail zaakceptował ją i zapisał w skrzynce odbiorczej, a klient wiernie wyświetlił dane znajdujące się w skrzynce odbiorczej, wszystko bez obchodzenia jakiekolwiek bezpieczeństwo. W tej perspektywie bezpieczeństwo „wysyłania” jest często znacznie mniej ograniczone niż „odbieranie”, ponieważ POP3 prawie zawsze wymaga nazwy użytkownika i hasła, aby uzyskać dostęp do skrzynki pocztowej (teoretycznie można to obejść, ale nie znam żadnego uzasadnionego usługi pocztowe, które to robią).