<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Aug 21, 2021 at 10:51 PM Phillip Hallam-Baker <<a href="mailto:phill@hallambaker.com">phill@hallambaker.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div style="font-size:small">I have given much thought to this question but as Karl Marx said, the point is to change it. Comments inline and at the end.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 20, 2021 at 8:30 PM R Perlman <<a href="mailto:radiajpc@gmail.com" target="_blank">radiajpc@gmail.com</a>> wrote:<br></div></div></div></blockquote><div><br></div><div style="font-family:monospace,monospace" class="gmail_default">[...snip...]</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div style="box-sizing:border-box"><ul style="font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px">
        
<li style="margin-bottom:13px"><span style="font-size:11pt"><span style="line-height:115%"><span style="font-family:Calibri,sans-serif">Big companies do not want end-to-end encryption of email.  They want to have middleboxes be able to scan for phishing links and perhaps they are legally required to keep records of all email sent to or from company email addresses.</span></span></span></li></ul></div></div></div></blockquote><div><div style="font-size:small">Big companies do not want malware vectoring in. That is a slightly different concern. SMTP is worn out at this point. Middleboxes to scan spam are a kludge to deal with the fact that the protocol is default insecure. DKIM does not change that very much either. </div><div style="font-size:small"><br></div><div style="font-size:small">If you want to do end-to-end encryption, you have to deal with these issues and more. End to end means something very different in the enterprise context. If Alice sends an order to Bob by email and Bob falls under a bus, the corporation needs to read the email because the relationship is with them and not with Bob.</div></div></div></div></blockquote><div><br></div><div style="font-family:monospace,monospace" class="gmail_default">It's more than just malware coming <i>in</i>. They are also concerned about sensitive data being exfiltrated via email as well. That's why there is such a big push with DLP. Where I work now, the incident response team gets an alert from the DLP solution when even a single SSN is emailed externally. It was similar at my former employer as well.</div><div style="font-family:monospace,monospace" class="gmail_default"><br></div></div><div style="font-family:monospace,monospace" class="gmail_default">-kevin</div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Blog: <a href="https://off-the-wall-security.blogspot.com/" target="_blank">https://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall | OWASP ESAPI Project co-lead<br>NSA: All your crypto bit are belong to us.</div></div></div></div>