Здравствуйте, kIlka, Вы писали:

I>Придумал использовать GNUтую библиотеку WINPCAP.
Помоему она не GNU, а BSD-like.

I>В полученном дампе вижу знакомые команды POP3: PASS, USER и т.д. Однако есть много мусора непонятного происхождения. Не могли бы вы пояснить процесс коннекта с EMAIL сервером на уровне TCP/IP. Возможно пересылается некоторая информация типа CRC?
У вас там наверно заголовки пакетов, да и, наверняка, ещё "левых" пакетов наперехватывали..

I>Короткая версия вопроса: почему мой дамп отличается от того, что видно в окошке при "telnet pop.mail.ru" и как добиться соответствия?
Потому что, используя WinPCAP вы работаете не c TCP/IP а с кадрами Ethernet. Добится соответствия можно путём фильтрации и обрезания заголовков.

I>Укажите хотя бы направление, куда копать.
Копай, Нео, копай — летать научишься (С) Шматрица
Может вам проще использовать перехват Winsock2 API? Поищите в гугле на тему Detours.