Возможна ли подмена заголовков электронного письма при настроенных SPF, DKIM, DMARC записях?

Microsoft скорей всего не смог реализовать нормальный DKIM/DMARC из-за того, что внутри Exchange у письма могут нормализоваться заголовки, что делает DKIM подпись невалидной, к этой проблеме делали много подходов, но она так и не ушла.
Остальные решения это всегда более-менее конструкторы, письмо может проходить через несколько узлов, его содержимое может меняться разными фильтрами/антивирусами/DLP, может быть какой-то трафик между филиалами или смежными почтовыми системами и тп - правильно внедрить SPF/DKIM/DMARC можно только зная полную конфигурацию

Возможна ли подмена заголовков электронного письма при настроенных SPF, DKIM, DMARC записях?

SPF и DKIM сами по себе не защищают от подделки адреса отправителя, который видит пользователь, нужен DMARC (а ему нужны SPF и DKIM).

Microsoft Exchange (который onpremise) не поддерживает DMARC совсем (и DKIM тоже).
В остальных онпремис-решениях, в т.ч. опенсорсных как правило необходимо дополнительно настраивать/включать реджект писем по DMARC, по умолчанию письма будут приниматься.

Антиспам типа Касперского тоже умеет DMARC, но жесткого реджекта по DMARC там так же нет по умолчанию, надо настраивать.

Отсюда, поскольку большая часть администраторов которые не специализируются на почте ничего не знают про DMARC - можно считать что в онпремис-решениях он отсутствует, хоть в устаревших, хоть не в устаревших.

Знаете ли вы какие-нибудь нормальные альтернативы yandex и mail и т. д. для своей корпоративной почты?

И в яндексе и в мейле к основному домену можно подключать дополнительные (синонимы) не заводя эти домены отдельно и не создавая дополнительных ящиков

Знаете ли вы какие-нибудь нормальные альтернативы yandex и mail и т. д. для своей корпоративной почты?

И в яндексе и в мейле тарификация идет по пользователям (ящикам), а не по адресам почты, можно задать синонимы доменов и синонимы емейлов пользователю, чтобы у одного пользователя было несколько адресов в одном и/или разных доменах.

Mail in box, обход NAT. Как сделать почтовый сервер доступным из вне?

В случае почты вам подойдет только NAT + VPN сервер на VPS и соответственно маппинг портов через NAT и маршрутизация внешнего SMTP трафика с/на 25й порт через VPN на телефоне, что не факт что в принципе возможно, зависит от того как собрано ядро. Потому что исходящий трафик тоже надо заворачивать в VPS, письмо отправленное с IP провайдерского NAT'а мало кто примет и проксированием не обойтись, потому что для почты надо знать внешний IP адрес клиента.

Кроме того, mail in a box это не почтовый сервер, а набор скриптов под убунту определенных версий, которые устанавливают разные опенсорсные компоненты из репозитория убунты, и начать придется с установки убунты правильных версий. Насколько это реально поднять в контейнере, например, опять же зависит от ядра. Ставит он Dovecot, postfix, nginx и много что еще, поэтому жрет оно не меньше чем любой другой сервер в аналогичной конфигурации.

Но если вы считаете что вы так съэкономите - то нет, сделать нормально работающая почту это существенно трудозатрадней, чем поднять сервер и добиться чтобы письма ходили.

Как настроить 3proxy в качестве DNS proxy?

127.0.0.1 11111 в tcppm в данном случае не имеют значения, можно написать любые ip/port, они будут перезаписаны правилами
parent 500 tcp 1.1.1.1 53
parent 500 tcp 8.8.8.8 53
(с вероятностью 50% каждое).
Убедись что используешь свежую версию и правильно указал тип/параметры прокси:

% sudo ./3proxy 123.tmp 
250128162800.225 10052 00000 - 127.0.0.1:10052 0.0.0.0:0 0 0 0 Accepting connections [47215/212152320]
250128162800.229 53 00000 - 192.168.3.2:53 0.0.0.0:0 0 0 0 Accepting connections [47215/212230144]
250128162803.258 53 00000 - 192.168.3.2:57638 127.0.0.1:10052 30 78 0 0001/amazon.com/54.239.28.85
250128162803.258 10052 00000 - 127.0.0.1:62669 x.x.x.x:yyyy 30 100 2 127.0.0.1

% dig @192.168.3.2 amazon.com

; <<>> DiG 9.10.6 <<>> @192.168.3.2 amazon.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18341
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;amazon.com.			IN	A

;; ANSWER SECTION:
amazon.com.		205	IN	A	54.239.28.85

;; Query time: 239 msec
;; SERVER: 192.168.3.2#53(192.168.3.2)
;; WHEN: Tue Jan 28 19:28:03 MSK 2025
;; MSG SIZE  rcvd: 44

% cat 123.tmp
log
allow *
parent 1000 socks5 x.x.x.x yyyy
parent 500 tcp 1.1.1.1 53
parent 500 tcp 8.8.8.8 53
tcppm -i127.0.0.1 10052 127.0.0.1 11111
flush
nserver 127.0.0.1:10052/tcp
nscache 65536
nscache6 65536
dnspr -i192.168.3.2 -p53

Как настроить простейшее селективное туннелирование для прокси?

return "HTTPS proxyhost:0000"; // Прокси-сервер и порт

вы уверены что у вас именно HTTPS прокси? HTTPS в данном случае означает не что у вас через прокси ходит HTTPS трафик, а то что между прокси и браузером у вас дополнительный TLS. Если у вас обычный прокси и через него ходит HTTPS трафик через запрос CONNECT, то это HTTP прокси

3proxy + Auth PASSTHRU на parent proxy?

А зачем две прокси, можно было ровно так же сделать parent 1000 http 1.2.3.4 65000 user1 *на первой прокси

Почему сравнение файлов по содержимому существенно медленнее для сетевых шар, чем для USB?

> обе программы читают файлы мелкими блоками по 250 кБ примерно, с флагом "без кэша"

при таком подходе вы сильно зависите от многих параметров, включая конкретные тайминги между операциями чтения, размеры дорожек, алгоритмы кеширования и размер кеша в самом диске и даже расположение файла по дорожкам, алгоритмов упреждающего чтения на диске и в системе (в частности установки флага SEQUENTIAL_READ).

суть примерно в следующем - когда приходит очередная команда чтения, то, насколько быстро вы сможете считать данные даже при последовательном чтении будет зависеть от текущего угла поворота диска (а при непоследовательном еще и от позиции головки). Если вам повезло, вы попадаете на нужный угол и начинаете считывать данные практически сразу, если не повезло - то придется ждать полного проворота диска и даже при последовательном чтении скорость падает в разы (разные дорожки имеют разный размер в зависимости от удаления от центра и на дорожку может приходиться несколько мегабайт, вместо чтения которых вы ждете проворота). Вполне может быть что на более мелком диске и при локальном подключении вы попадаете удачно, а на большом диске при подключении по сети ждете когда он провернется. При этом задержка при подключении по сети всегда будет выше (потому что расстояния больше) и вполне может быть что диск успевает провернуться на следующий сектор и вам приходится ждать полный оборот, когда при локальном подключении не успевает и вы считываете неприрывно. Эту проблему должно смягчать упреждающее чтение, но видимо как-то с ним не повезло.

Почему сравнение файлов по содержимому существенно медленнее для сетевых шар, чем для USB?

Какие диски вы используете при подключении по USB? Файлы сравниваете с одного диска или между двумя дисками?

Странное поведение у 3proxy, как исправить?

infirmitive, MSS не зависит от ОС, он зависит от типа подключения, ttl обычно и так 64 во всех Linux.

как фингерпринты обходить это отдельный вопрос

Ошибка при открытии браузера через proxychains, что делать?

krayneakkuraten, могу только сказать что надо починить tor чтобы оно заработало в текущей конфигурации proxychains.

P.S. Вряд ли dynamic_chain это то, что ты ожидаешь - если все прокси работают, то dynamic_chain сделает цепочку из всех прокси в списке, и работать это будет не очень

Ошибка при открытии браузера через proxychains, что делать?

krayneakkuraten, у вас в tor.service не запускается tor, запускается /bin/true - это вспомогательная утилитка которая ничего не делает, сразу завершается и возвращает status=0/SUCCESS

Пропишите в ExecStart путь к tor

Ошибка при открытии браузера через proxychains, что делать?

krayneakkuraten,

Main PID: 7273 (code=exited, status=0/SUCCESS) 
...
Aug 02 01:хх:хх kali systemd[1]: Finished tor.service

вы показываете статус что он не запущен (успешно завершен). Кроме этого у вас запускается не tor, а /bin/true
Process: 7273 ExecStart=/bin/true

Что-то у вас не то в tor.service

Ошибка при открытии браузера через proxychains, что делать?

У тебя tor не запущен судя по всему,

sudo systemctl enable tor.service
sudo systemctl start tor

Как перенаправить трафик в 3proxy с локального http на локальный socks?

grandtheft430,
parent 1000 socks 0.0.0.0 0
не имеет смысла, что именно ты хочешь получить этой командой? Что значит "трафик ходил по socks" - между чем и чем?

Почему почта от bk.ru не проходит graylist?

% host bk.ru 9.9.9.9
Using domain server:
Name: 9.9.9.9
Address: 9.9.9.9#53
Aliases: 

bk.ru has address 217.69.141.181
bk.ru has address 217.69.141.182
bk.ru mail is handled by 10 mxs.mail.ru.

Вы уверены что вы под рейтлимиты не попали?

Quad9, Google DNS и другие публичные резолверы предназначены для устройств конечных пользователей и имеют соотвествующие ограничения. Я бы крайней не рекомендовал использовать публичные резолверы для почтового сервера, они для этого не предназначены. Конечному пользователю вообще не требуется резолвить домен bk.ru. Для почтового сервера де-факто стандарт - собственный рекурсор.

Что за киберзащитники?

Ищите кто делает коннекты к центру управления, DNS-запросы с хостнеймом центра управления.

Что за киберзащитники?

AmanitaRubescens, нет. То что у вас работает очевидно не найдется в логах касперского, потому что оно работает.

EML может быть письмом через которое вам заслали дроппер, если пользователь запускал вложенный файл - но это совсем не факт.

Что за киберзащитники?

Вам не нужно знать Wireshark, по Wireshark просто видно что у вас бекдор, который лезет в центр управления yandisk [.] info, вам нужно как-то найти зараженную машину (или машины) и убить трояна, причем сделать это максимально быстро, потому что дальше может начаться свистопляска. И тут начинается самое интересное, потому что судя по вопросу вы такой сценарий ни разу не рассматривали и к нему не готовы.