Сам рассыльщик может быть вообще на стороне. Однако, он вполне может использовать какой-то серверный скрипт, где нарушена или отсутствует вовсе проверка исходных данных для отправки письма. Приведу пример.

Есть на сайте форма заказа или обратной связи или вроде того. Там есть поле вроде name="email", куда добропорядочный пользователь должен вбить свое мыло. Скрипт обработки берет эти данные как есть и использует для отправки подтверждающего письма в адрес пользователя, подставляя значение в поле "To" отправляемого письма. Вроде бы все нормально. Однако, смотрите, что будет, если сторонний рассыльщик передаст в качестве email вот такие данные: