Ricezione di un email che non avrei dovuto ricevere.

L'indirizzo che vedi nell'header può essere completamente diverso da quello che è usato come RCPT TO nel dialogo SMTP. Tra l'altro se usi BCC è anche normale che vedi un indirizzo nel To e non vedi altri destinatari, quindi non è che i server di posta possano fare molti controlli.

kRel
BCC: Blind Carbon Copy. In copia nascosta.
Comunque si, se hai ricevuto la mail significa che in RCPT TO c'è indubbiamente il tuo indirizzo. Bisogna verificare l'header del messaggio ma è sicuramente così

In sostanza il mittente, non potendo inviare una mail senza destinatario ha usato un indirizzo visibile to e inserito poi la lista di distribuzione in BCC.

kRel Per il Phishing e lo Spoofing, anche il "Bcc" fa parte del Social Engineering
Purtroppo anche Gmail non è immune al 100x100 a questo tattica, nonostante possa implementare il protocollo DMARC....

kRel Quindi vedo [pippo@aol.com](mailto:pippo@aol.com), ma c'è anche il mio indirizzo [pippo@gmail.com](mailto:pippo@gmail.com)?

Non è detto. Un client/server di posta "corretto" quando invia una mail usando SMTP, usa gli indirizzi che sono stati inseriti in to, cc, bcc - i primi due li scrive anche nell'header del messaggio di posta, gli indirizzi in bcc non sono invece scritti nell'header dei messaggi inviati (se no non sarebbero più bcc...)

Un software scritto per spammare è capace di spoofare i messaggi, e gli indirizzi a cui invia possono non avere nulla a che fare con l'header del messaggio, usa una lista di indirizzi separata alla quale inviare i messaggi di spam caricati.

Questo perché SMTP non fa alcun controllo se gli indirizzi che sono inviati tramite il comando RCPT TO corrispondono a quelli nell'header del messaggio inviato con il comando DATA. Sono specifiche di 40 anni fa quando chi usava Internet era una persona educata.