Googleの予備のメールアドレスからメールを送ると、主メールアドレスも見られる。

Google for Educationを使っていて、これの予備のメールアドレスから送ったメールのヘッダーに、主メールアドレスが含まれている。（主メールアドレスのGmailの"別のアドレスやエイリアスからメールを送信する"というのを使った場合）
以上です。

所属している組織（の情報系の課）が、

予備のメールアドレス追加したから、外部とのやり取りで使ってね。学籍番号は個人情報だから、（学籍番号用いた）メインのメールアドレスは使わないようにね。（意訳）

と言っていたけれど、いやどう考えてもバレるだろ、と思ってちょっと調べたらやっぱり見れた。

Return-Path: <primary-account@target.example>

Authentication-Results: receiving-server.example;
    spf=pass smtp.mailfrom=primary-account@target.example;
    dmarc=pass header.from=target.example

From: "Target User" <alias-address@target.example>
To: rc-2166-m@15km.jp
Message-ID: <[REDACTED]@mail.gmail.com>

という感じのヘッダーになっていて、Fromは以外は大体主メールアドレスになっている。
まぁ、組織の手順通りに主メールアドレスのgmailに予備のメールアドレスを追加したから、共有されるのは当然なんだけれど。

ちなみに、途中で脆弱性を当たったら、そうでなくともSSOでない場合は見れる可能性がある（Uncovering Anyone’s True Google Workspace Email Address From An Alias）という話を見つけた。あとでちゃんと読む。

免責
(めちゃ適当調査なので、何も保証しない)
また、上のブログのGoogleの対応を見ても、今回の自分のいる組織みたいに誤った認識をしなければ、たいした問題でもなさそう。（今回の場合も、用途的に少なくとも実名は名乗るし、学籍番号ばれたところであんまり問題ない）
それよりも……とか言い出すと口が滑るのでこの辺にしておく。

それだけ。