DANE: move to mainline

[exim.git] / src / src / transports / smtp.c
diff --git a/src/src/transports/smtp.c b/src/src/transports/smtp.c

index fc2c0ea4dcbb2471d2292c2258659b358056cae1..38660f79718aeb867e9eae9c299c6a1d627be0a8 100644 (file)
--- a/src/src/transports/smtp.c
+++ b/src/src/transports/smtp.c
@@ -2,7 +2,7 @@
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
-/* Copyright (c) University of Cambridge 1995 - 2017 */
+/* Copyright (c) University of Cambridge 1995 - 2018 */
  /* See the file NOTICE for conditions of use and distribution. */
  
  #include "../exim.h"
  /* See the file NOTICE for conditions of use and distribution. */
  
  #include "../exim.h"
@@ -43,6 +43,10 @@ optionlist smtp_transport_options[] = {
        (void *)offsetof(smtp_transport_options_block, dkim.dkim_canon) },
    { "dkim_domain", opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, dkim.dkim_domain) },
        (void *)offsetof(smtp_transport_options_block, dkim.dkim_canon) },
    { "dkim_domain", opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, dkim.dkim_domain) },
+  { "dkim_hash", opt_stringptr,
+      (void *)offsetof(smtp_transport_options_block, dkim.dkim_hash) },
+  { "dkim_identity", opt_stringptr,
+      (void *)offsetof(smtp_transport_options_block, dkim.dkim_identity) },
    { "dkim_private_key", opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, dkim.dkim_private_key) },
    { "dkim_selector", opt_stringptr,
    { "dkim_private_key", opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, dkim.dkim_private_key) },
    { "dkim_selector", opt_stringptr,
@@ -101,7 +105,7 @@ optionlist smtp_transport_options[] = {
    { "hosts_require_auth",   opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_require_auth) },
  #ifdef SUPPORT_TLS
    { "hosts_require_auth",   opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_require_auth) },
  #ifdef SUPPORT_TLS
-# ifdef EXPERIMENTAL_DANE
+# ifdef SUPPORT_DANE
    { "hosts_require_dane",   opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_require_dane) },
  # endif
    { "hosts_require_dane",   opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_require_dane) },
  # endif
@@ -116,7 +120,7 @@ optionlist smtp_transport_options[] = {
        (void *)offsetof(smtp_transport_options_block, hosts_try_auth) },
    { "hosts_try_chunking",   opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_try_chunking) },
        (void *)offsetof(smtp_transport_options_block, hosts_try_auth) },
    { "hosts_try_chunking",   opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_try_chunking) },
-#if defined(SUPPORT_TLS) && defined(EXPERIMENTAL_DANE)
+#if defined(SUPPORT_TLS) && defined(SUPPORT_DANE)
    { "hosts_try_dane",       opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_try_dane) },
  #endif
    { "hosts_try_dane",       opt_stringptr,
        (void *)offsetof(smtp_transport_options_block, hosts_try_dane) },
  #endif
@@ -186,90 +190,104 @@ address can appear in the tables drtables.c. */
  int smtp_transport_options_count =
    sizeof(smtp_transport_options)/sizeof(optionlist);
  
  int smtp_transport_options_count =
    sizeof(smtp_transport_options)/sizeof(optionlist);
  
+
+#ifdef MACRO_PREDEF
+
+/* Dummy values */
+smtp_transport_options_block smtp_transport_option_defaults = {0};
+void smtp_transport_init(transport_instance *tblock) {}
+BOOL smtp_transport_entry(transport_instance *tblock, address_item *addr) {return FALSE;}
+void smtp_transport_closedown(transport_instance *tblock) {}
+
+#else   /*!MACRO_PREDEF*/
+
+
  /* Default private options block for the smtp transport. */
  
  smtp_transport_options_block smtp_transport_option_defaults = {
  /* Default private options block for the smtp transport. */
  
  smtp_transport_options_block smtp_transport_option_defaults = {
-  NULL,                /* hosts */
-  NULL,                /* fallback_hosts */
-  NULL,                /* hostlist */
-  NULL,                /* fallback_hostlist */
-  NULL,                /* authenticated_sender */
-  US"$primary_hostname", /* helo_data */
-  NULL,                /* interface */
-  NULL,                /* port */
-  US"smtp",            /* protocol */
-  NULL,                /* DSCP */
-  NULL,                /* serialize_hosts */
-  NULL,                /* hosts_try_auth */
-  NULL,                /* hosts_require_auth */
-  US"*",               /* hosts_try_chunking */
-#ifdef EXPERIMENTAL_DANE
-  NULL,                /* hosts_try_dane */
-  NULL,                /* hosts_require_dane */
+  .hosts =                     NULL,
+  .fallback_hosts =            NULL,
+  .hostlist =                  NULL,
+  .fallback_hostlist =         NULL,
+  .authenticated_sender =      NULL,
+  .helo_data =                 US"$primary_hostname",
+  .interface =                 NULL,
+  .port =                      NULL,
+  .protocol =                  US"smtp",
+  .dscp =                      NULL,
+  .serialize_hosts =           NULL,
+  .hosts_try_auth =            NULL,
+  .hosts_require_auth =                NULL,
+  .hosts_try_chunking =                US"*",
+#ifdef SUPPORT_DANE
+  .hosts_try_dane =            NULL,
+  .hosts_require_dane =                NULL,
  #endif
  #endif
-  NULL,                /* hosts_try_fastopen */
+  .hosts_try_fastopen =                NULL,
  #ifndef DISABLE_PRDR
  #ifndef DISABLE_PRDR
-  US"*",               /* hosts_try_prdr */
+  .hosts_try_prdr =            US"*",
  #endif
  #ifndef DISABLE_OCSP
  #endif
  #ifndef DISABLE_OCSP
-  US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
-  NULL,                /* hosts_require_ocsp */
+  .hosts_request_ocsp =                US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
+  .hosts_require_ocsp =                NULL,
  #endif
  #endif
-  NULL,                /* hosts_require_tls */
-  NULL,                /* hosts_avoid_tls */
-  NULL,                /* hosts_verify_avoid_tls */
-  NULL,                /* hosts_avoid_pipelining */
-  NULL,                /* hosts_avoid_esmtp */
+  .hosts_require_tls =         NULL,
+  .hosts_avoid_tls =           NULL,
+  .hosts_verify_avoid_tls =    NULL,
+  .hosts_avoid_pipelining =    NULL,
+  .hosts_avoid_esmtp =         NULL,
  #ifdef SUPPORT_TLS
  #ifdef SUPPORT_TLS
-  NULL,                /* hosts_nopass_tls */
-  US"*",              /* hosts_noproxy_tls */
+  .hosts_nopass_tls =          NULL,
+  .hosts_noproxy_tls =         US"*",
  #endif
  #endif
-  5*60,                /* command_timeout */
-  5*60,                /* connect_timeout; shorter system default overrides */
-  5*60,                /* data timeout */
-  10*60,               /* final timeout */
-  1024,                /* size_addition */
-  5,                   /* hosts_max_try */
-  50,                  /* hosts_max_try_hardlimit */
-  TRUE,                /* address_retry_include_sender */
-  FALSE,               /* allow_localhost */
-  FALSE,               /* authenticated_sender_force */
-  FALSE,               /* gethostbyname */
-  TRUE,                /* dns_qualify_single */
-  FALSE,               /* dns_search_parents */
-  { NULL, NULL },      /* dnssec_domains {request,require} */
-  TRUE,                /* delay_after_cutoff */
-  FALSE,               /* hosts_override */
-  FALSE,               /* hosts_randomize */
-  TRUE,                /* keepalive */
-  FALSE,               /* lmtp_ignore_quota */
-  NULL,                       /* expand_retry_include_ip_address */
-  TRUE                 /* retry_include_ip_address */
+  .command_timeout =           5*60,
+  .connect_timeout =           5*60,
+  .data_timeout =              5*60,
+  .final_timeout =             10*60,
+  .size_addition =             1024,
+  .hosts_max_try =             5,
+  .hosts_max_try_hardlimit =   50,
+  .address_retry_include_sender = TRUE,
+  .allow_localhost =           FALSE,
+  .authenticated_sender_force =        FALSE,
+  .gethostbyname =             FALSE,
+  .dns_qualify_single =                TRUE,
+  .dns_search_parents =                FALSE,
+  .dnssec = { .request=NULL, .require=NULL },
+  .delay_after_cutoff =                TRUE,
+  .hosts_override =            FALSE,
+  .hosts_randomize =           FALSE,
+  .keepalive =                 TRUE,
+  .lmtp_ignore_quota =         FALSE,
+  .expand_retry_include_ip_address =   NULL,
+  .retry_include_ip_address =  TRUE,
  #ifdef SUPPORT_SOCKS
  #ifdef SUPPORT_SOCKS
- ,NULL                 /* socks_proxy */
+  .socks_proxy =               NULL,
  #endif
  #ifdef SUPPORT_TLS
  #endif
  #ifdef SUPPORT_TLS
- ,NULL,                /* tls_certificate */
-  NULL,                /* tls_crl */
-  NULL,                /* tls_privatekey */
-  NULL,                /* tls_require_ciphers */
-  NULL,                /* tls_sni */
-  US"system",          /* tls_verify_certificates */
-  EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
-                       /* tls_dh_min_bits */
-  TRUE,                /* tls_tempfail_tryclear */
-  NULL,                /* tls_verify_hosts */
-  US"*",               /* tls_try_verify_hosts */
-  US"*"                /* tls_verify_cert_hostnames */
+  .tls_certificate =           NULL,
+  .tls_crl =                   NULL,
+  .tls_privatekey =            NULL,
+  .tls_require_ciphers =       NULL,
+  .tls_sni =                   NULL,
+  .tls_verify_certificates =   US"system",
+  .tls_dh_min_bits =           EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
+  .tls_tempfail_tryclear =     TRUE,
+  .tls_verify_hosts =          NULL,
+  .tls_try_verify_hosts =      US"*",
+  .tls_verify_cert_hostnames = US"*",
  #endif
  #ifndef DISABLE_DKIM
  #endif
  #ifndef DISABLE_DKIM
- , {NULL,              /* dkim_canon */
-    NULL,              /* dkim_domain */
-    NULL,              /* dkim_private_key */
-    NULL,              /* dkim_selector */
-    NULL,              /* dkim_sign_headers */
-    NULL,              /* dkim_strict */
-    FALSE}            /* dot_stuffed */
+ .dkim =
+   {.dkim_domain =             NULL,
+    .dkim_identity =           NULL,
+    .dkim_private_key =                NULL,
+    .dkim_selector =           NULL,
+    .dkim_canon =              NULL,
+    .dkim_sign_headers =       NULL,
+    .dkim_strict =             NULL,
+    .dkim_hash =               US"sha256",
+    .dot_stuffed =             FALSE},
  #endif
  };
  
  #endif
  };
  
@@ -605,34 +623,34 @@ return FALSE;
  /* This writes to the main log and to the message log.
  
  Arguments:
  /* This writes to the main log and to the message log.
  
  Arguments:
-  addr     the address item containing error information
    host     the current host
    host     the current host
+  detail  the current message (addr_item->message)
+  basic_errno the errno (addr_item->basic_errno)
  
  Returns:   nothing
  */
  
  static void
  
  Returns:   nothing
  */
  
  static void
-write_logs(address_item *addr, host_item *host)
+write_logs(const host_item *host, const uschar *suffix, int basic_errno)
  {
  {
-uschar * message = LOGGING(outgoing_port)
+
+
+uschar *message = LOGGING(outgoing_port)
    ? string_sprintf("H=%s [%s]:%d", host->name, host->address,
                     host->port == PORT_NONE ? 25 : host->port)
    : string_sprintf("H=%s [%s]", host->name, host->address);
  
    ? string_sprintf("H=%s [%s]:%d", host->name, host->address,
                     host->port == PORT_NONE ? 25 : host->port)
    : string_sprintf("H=%s [%s]", host->name, host->address);
  
-if (addr->message)
+if (suffix)
    {
    {
-  message = string_sprintf("%s: %s", message, addr->message);
-  if (addr->basic_errno > 0)
-    message = string_sprintf("%s: %s", message, strerror(addr->basic_errno));
-  log_write(0, LOG_MAIN, "%s", message);
-  deliver_msglog("%s %s\n", tod_stamp(tod_log), message);
+  message = string_sprintf("%s: %s", message, suffix);
+  if (basic_errno > 0)
+    message = string_sprintf("%s: %s", message, strerror(basic_errno));
    }
  else
    }
  else
-  {
-  const uschar * s = exim_errstr(addr->basic_errno);
-  log_write(0, LOG_MAIN, "%s %s", message, s);
-  deliver_msglog("%s %s %s\n", tod_stamp(tod_log), message, s);
-  }
+  message = string_sprintf("%s %s", message, exim_errstr(basic_errno));
+
+log_write(0, LOG_MAIN, "%s", message);
+deliver_msglog("%s %s\n", tod_stamp(tod_log), message);
  }
  
  static void
  }
  
  static void
@@ -1006,7 +1024,7 @@ if (is_esmtp && regex_match_and_setup(regex_AUTH, buffer, 0, -1))
      If one is found, attempt to authenticate by calling its client function.
      */
  
      If one is found, attempt to authenticate by calling its client function.
      */
  
-    for (au = auths; !smtp_authenticated && au != NULL; au = au->next)
+    for (au = auths; !smtp_authenticated && au; au = au->next)
        {
        uschar *p = names;
        if (!au->client ||
        {
        uschar *p = names;
        if (!au->client ||
@@ -1023,7 +1041,7 @@ if (is_esmtp && regex_match_and_setup(regex_AUTH, buffer, 0, -1))
  
        /* Loop to scan supported server mechanisms */
  
  
        /* Loop to scan supported server mechanisms */
  
-      while (*p != 0)
+      while (*p)
         {
         int rc;
         int len = Ustrlen(au->public_name);
         {
         int rc;
         int len = Ustrlen(au->public_name);
@@ -1172,7 +1190,7 @@ return FALSE;
  
  
  
  
  
  
-#ifdef EXPERIMENTAL_DANE
+#ifdef SUPPORT_DANE
  /* Lookup TLSA record for host/port.
  Return:  OK            success with dnssec; DANE mode
           DEFER         Do not use this host now, may retry later
  /* Lookup TLSA record for host/port.
  Return:  OK            success with dnssec; DANE mode
           DEFER         Do not use this host now, may retry later
@@ -1199,14 +1217,15 @@ DEBUG(D_transport)
  
  switch (rc)
    {
  
  switch (rc)
    {
-  case DNS_SUCCEED:
-    if (sec) return OK;
-
-    log_write(0, LOG_MAIN, "DANE error: TLSA lookup not DNSSEC");
-    /*FALLTHROUGH*/
    case DNS_AGAIN:
      return DEFER; /* just defer this TLS'd conn */
  
    case DNS_AGAIN:
      return DEFER; /* just defer this TLS'd conn */
  
+  case DNS_SUCCEED:
+    if (sec) return OK;
+    log_write(0, LOG_MAIN,
+      "DANE error: TLSA lookup for %s not DNSSEC", host->name);
+    /*FALLTRHOUGH*/
+
    case DNS_NODATA:     /* no TLSA RR for this lookup */
    case DNS_NOMATCH:    /* no records at all for this lookup */
      return dane_required ? FAIL : FAIL_FORCED;
    case DNS_NODATA:     /* no TLSA RR for this lookup */
    case DNS_NOMATCH:    /* no records at all for this lookup */
      return dane_required ? FAIL : FAIL_FORCED;
@@ -1304,44 +1323,44 @@ ehlo_response(uschar * buf, uschar checks)
  size_t bsize = Ustrlen(buf);
  
  #ifdef SUPPORT_TLS
  size_t bsize = Ustrlen(buf);
  
  #ifdef SUPPORT_TLS
-if (  checks & PEER_OFFERED_TLS
+if (  checks & OPTION_TLS
     && pcre_exec(regex_STARTTLS, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_STARTTLS, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_TLS;
+  checks &= ~OPTION_TLS;
  #endif
  
  #endif
  
-if (  checks & PEER_OFFERED_IGNQ
+if (  checks & OPTION_IGNQ
     && pcre_exec(regex_IGNOREQUOTA, NULL, CS buf, bsize, 0,
                 PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_IGNOREQUOTA, NULL, CS buf, bsize, 0,
                 PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_IGNQ;
+  checks &= ~OPTION_IGNQ;
  
  
-if (  checks & PEER_OFFERED_CHUNKING
+if (  checks & OPTION_CHUNKING
     && pcre_exec(regex_CHUNKING, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_CHUNKING, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_CHUNKING;
+  checks &= ~OPTION_CHUNKING;
  
  #ifndef DISABLE_PRDR
  
  #ifndef DISABLE_PRDR
-if (  checks & PEER_OFFERED_PRDR
+if (  checks & OPTION_PRDR
     && pcre_exec(regex_PRDR, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_PRDR, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_PRDR;
+  checks &= ~OPTION_PRDR;
  #endif
  
  #ifdef SUPPORT_I18N
  #endif
  
  #ifdef SUPPORT_I18N
-if (  checks & PEER_OFFERED_UTF8
+if (  checks & OPTION_UTF8
     && pcre_exec(regex_UTF8, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_UTF8, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_UTF8;
+  checks &= ~OPTION_UTF8;
  #endif
  
  #endif
  
-if (  checks & PEER_OFFERED_DSN
+if (  checks & OPTION_DSN
     && pcre_exec(regex_DSN, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_DSN, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_DSN;
+  checks &= ~OPTION_DSN;
  
  
-if (  checks & PEER_OFFERED_PIPE
+if (  checks & OPTION_PIPE
     && pcre_exec(regex_PIPELINING, NULL, CS buf, bsize, 0,
                 PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_PIPELINING, NULL, CS buf, bsize, 0,
                 PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_PIPE;
+  checks &= ~OPTION_PIPE;
  
  
-if (  checks & PEER_OFFERED_SIZE
+if (  checks & OPTION_SIZE
     && pcre_exec(regex_SIZE, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
     && pcre_exec(regex_SIZE, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
-  checks &= ~PEER_OFFERED_SIZE;
+  checks &= ~OPTION_SIZE;
  
  return checks;
  }
  
  return checks;
  }
@@ -1471,7 +1490,7 @@ Returns:          OK    - the connection was made and the delivery attempted;
  int
  smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
  {
  int
  smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
  {
-#if defined(SUPPORT_TLS) && defined(EXPERIMENTAL_DANE)
+#if defined(SUPPORT_TLS) && defined(SUPPORT_DANE)
  dns_answer tlsa_dnsa;
  #endif
  BOOL pass_message = FALSE;
  dns_answer tlsa_dnsa;
  #endif
  BOOL pass_message = FALSE;
@@ -1493,13 +1512,14 @@ sx->esmtp_sent = FALSE;
  sx->utf8_needed = FALSE;
  #endif
  sx->dsn_all_lasthop = TRUE;
  sx->utf8_needed = FALSE;
  #endif
  sx->dsn_all_lasthop = TRUE;
-#if defined(SUPPORT_TLS) && defined(EXPERIMENTAL_DANE)
+#if defined(SUPPORT_TLS) && defined(SUPPORT_DANE)
  sx->dane = FALSE;
  sx->dane_required = verify_check_given_host(&sx->ob->hosts_require_dane, sx->host) == OK;
  #endif
  
  if ((sx->max_rcpt = sx->tblock->max_addresses) == 0) sx->max_rcpt = 999999;
  sx->peer_offered = 0;
  sx->dane = FALSE;
  sx->dane_required = verify_check_given_host(&sx->ob->hosts_require_dane, sx->host) == OK;
  #endif
  
  if ((sx->max_rcpt = sx->tblock->max_addresses) == 0) sx->max_rcpt = 999999;
  sx->peer_offered = 0;
+sx->avoid_option = 0;
  sx->igquotstr = US"";
  if (!sx->helo_data) sx->helo_data = sx->ob->helo_data;
  #ifdef EXPERIMENTAL_DSN_INFO
  sx->igquotstr = US"";
  if (!sx->helo_data) sx->helo_data = sx->ob->helo_data;
  #ifdef EXPERIMENTAL_DSN_INFO
@@ -1566,7 +1586,7 @@ if (!continue_hostname)
  
    smtp_port_for_connect(sx->host, sx->port);
  
  
    smtp_port_for_connect(sx->host, sx->port);
  
-#if defined(SUPPORT_TLS) && defined(EXPERIMENTAL_DANE)
+#if defined(SUPPORT_TLS) && defined(SUPPORT_DANE)
      /* Do TLSA lookup for DANE */
      {
      tls_out.dane_verified = FALSE;
      /* Do TLSA lookup for DANE */
      {
      tls_out.dane_verified = FALSE;
@@ -1741,7 +1761,7 @@ goto SEND_QUIT;
  #ifdef SUPPORT_TLS
    if (sx->smtps)
      {
  #ifdef SUPPORT_TLS
    if (sx->smtps)
      {
-    smtp_peer_options |= PEER_OFFERED_TLS;
+    smtp_peer_options |= OPTION_TLS;
      suppress_tls = FALSE;
      sx->ob->tls_tempfail_tryclear = FALSE;
      smtp_command = US"SSL-on-connect";
      suppress_tls = FALSE;
      sx->ob->tls_tempfail_tryclear = FALSE;
      smtp_command = US"SSL-on-connect";
@@ -1801,23 +1821,23 @@ goto SEND_QUIT;
         errno = ERRNO_SMTPCLOSED;
         goto EHLOHELO_FAILED;
         }
         errno = ERRNO_SMTPCLOSED;
         goto EHLOHELO_FAILED;
         }
-      Ustrncpy(sx->buffer, rsp, sizeof(sx->buffer)/2);
+      memmove(sx->buffer, rsp, Ustrlen(rsp));
        goto RESPONSE_FAILED;
        }
      }
  
        goto RESPONSE_FAILED;
        }
      }
  
-  sx->peer_offered = smtp_peer_options = 0;
+  sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
  
    if (sx->esmtp || sx->lmtp)
      {
      sx->peer_offered = ehlo_response(sx->buffer,
  
    if (sx->esmtp || sx->lmtp)
      {
      sx->peer_offered = ehlo_response(sx->buffer,
-      PEER_OFFERED_TLS /* others checked later */
+      OPTION_TLS       /* others checked later */
        );
  
    /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
  
  #ifdef SUPPORT_TLS
        );
  
    /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
  
  #ifdef SUPPORT_TLS
-    smtp_peer_options |= sx->peer_offered & PEER_OFFERED_TLS;
+    smtp_peer_options |= sx->peer_offered & OPTION_TLS;
  #endif
      }
    }
  #endif
      }
    }
@@ -1859,7 +1879,7 @@ else
       )
      {
      sx->peer_offered = smtp_peer_options;
       )
      {
      sx->peer_offered = smtp_peer_options;
-    pipelining_active = !!(smtp_peer_options & PEER_OFFERED_PIPE);
+    pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
      HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
        continue_proxy_cipher ? "proxied" : "verify conn with");
      return OK;
      HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
        continue_proxy_cipher ? "proxied" : "verify conn with");
      return OK;
@@ -1876,7 +1896,7 @@ the client not be required to use TLS. If the response is bad, copy the buffer
  for error analysis. */
  
  #ifdef SUPPORT_TLS
  for error analysis. */
  
  #ifdef SUPPORT_TLS
-if (  smtp_peer_options & PEER_OFFERED_TLS
+if (  smtp_peer_options & OPTION_TLS
     && !suppress_tls
     && verify_check_given_host(&sx->ob->hosts_avoid_tls, sx->host) != OK
     && (  !sx->verify
     && !suppress_tls
     && verify_check_given_host(&sx->ob->hosts_avoid_tls, sx->host) != OK
     && (  !sx->verify
@@ -1916,7 +1936,7 @@ if (  smtp_peer_options & PEER_OFFERED_TLS
      address_item * addr;
      uschar * errstr;
      int rc = tls_client_start(sx->inblock.sock, sx->host, sx->addrlist, sx->tblock,
      address_item * addr;
      uschar * errstr;
      int rc = tls_client_start(sx->inblock.sock, sx->host, sx->addrlist, sx->tblock,
-# ifdef EXPERIMENTAL_DANE
+# ifdef SUPPORT_DANE
                              sx->dane ? &tlsa_dnsa : NULL,
  # endif
                              &errstr);
                              sx->dane ? &tlsa_dnsa : NULL,
  # endif
                              &errstr);
@@ -1927,7 +1947,7 @@ if (  smtp_peer_options & PEER_OFFERED_TLS
  
      if (rc != OK)
        {
  
      if (rc != OK)
        {
-# ifdef EXPERIMENTAL_DANE
+# ifdef SUPPORT_DANE
        if (sx->dane) log_write(0, LOG_MAIN,
           "DANE attempt failed; TLS connection to %s [%s]: %s",
           sx->host->name, sx->host->address, errstr);
        if (sx->dane) log_write(0, LOG_MAIN,
           "DANE attempt failed; TLS connection to %s [%s]: %s",
           sx->host->name, sx->host->address, errstr);
@@ -2014,7 +2034,7 @@ if (tls_out.active >= 0)
  have one. */
  
  else if (  sx->smtps
  have one. */
  
  else if (  sx->smtps
-# ifdef EXPERIMENTAL_DANE
+# ifdef SUPPORT_DANE
         || sx->dane
  # endif
         || verify_check_given_host(&sx->ob->hosts_require_tls, sx->host) == OK
         || sx->dane
  # endif
         || verify_check_given_host(&sx->ob->hosts_require_tls, sx->host) == OK
@@ -2022,7 +2042,7 @@ else if (  sx->smtps
    {
    errno = ERRNO_TLSREQUIRED;
    message = string_sprintf("a TLS session is required, but %s",
    {
    errno = ERRNO_TLSREQUIRED;
    message = string_sprintf("a TLS session is required, but %s",
-    smtp_peer_options & PEER_OFFERED_TLS
+    smtp_peer_options & OPTION_TLS
      ? "an attempt to start TLS failed" : "the server did not offer TLS support");
    goto TLS_FAILED;
    }
      ? "an attempt to start TLS failed" : "the server did not offer TLS support");
    goto TLS_FAILED;
    }
@@ -2043,60 +2063,60 @@ if (continue_hostname == NULL
      {
      sx->peer_offered = ehlo_response(sx->buffer,
         0 /* no TLS */
      {
      sx->peer_offered = ehlo_response(sx->buffer,
         0 /* no TLS */
-       | (sx->lmtp && sx->ob->lmtp_ignore_quota ? PEER_OFFERED_IGNQ : 0)
-       | PEER_OFFERED_CHUNKING
-       | PEER_OFFERED_PRDR
+       | (sx->lmtp && sx->ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
+       | OPTION_CHUNKING
+       | OPTION_PRDR
  #ifdef SUPPORT_I18N
  #ifdef SUPPORT_I18N
-       | (sx->addrlist->prop.utf8_msg ? PEER_OFFERED_UTF8 : 0)
+       | (sx->addrlist->prop.utf8_msg ? OPTION_UTF8 : 0)
           /*XXX if we hand peercaps on to continued-conn processes,
                 must not depend on this addr */
  #endif
           /*XXX if we hand peercaps on to continued-conn processes,
                 must not depend on this addr */
  #endif
-       | PEER_OFFERED_DSN
-       | PEER_OFFERED_PIPE
-       | (sx->ob->size_addition >= 0 ? PEER_OFFERED_SIZE : 0)
+       | OPTION_DSN
+       | OPTION_PIPE
+       | (sx->ob->size_addition >= 0 ? OPTION_SIZE : 0)
        );
  
      /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
      lmtp_ignore_quota option was set. */
  
        );
  
      /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
      lmtp_ignore_quota option was set. */
  
-    sx->igquotstr = sx->peer_offered & PEER_OFFERED_IGNQ ? US" IGNOREQUOTA" : US"";
+    sx->igquotstr = sx->peer_offered & OPTION_IGNQ ? US" IGNOREQUOTA" : US"";
  
      /* If the response to EHLO specified support for the SIZE parameter, note
      this, provided size_addition is non-negative. */
  
  
      /* If the response to EHLO specified support for the SIZE parameter, note
      this, provided size_addition is non-negative. */
  
-    smtp_peer_options |= sx->peer_offered & PEER_OFFERED_SIZE;
+    smtp_peer_options |= sx->peer_offered & OPTION_SIZE;
  
      /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
      the current host, esmtp will be false, so PIPELINING can never be used. If
      the current host matches hosts_avoid_pipelining, don't do it. */
  
  
      /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
      the current host, esmtp will be false, so PIPELINING can never be used. If
      the current host matches hosts_avoid_pipelining, don't do it. */
  
-    if (  sx->peer_offered & PEER_OFFERED_PIPE
+    if (  sx->peer_offered & OPTION_PIPE
         && verify_check_given_host(&sx->ob->hosts_avoid_pipelining, sx->host) != OK)
         && verify_check_given_host(&sx->ob->hosts_avoid_pipelining, sx->host) != OK)
-      smtp_peer_options |= PEER_OFFERED_PIPE;
+      smtp_peer_options |= OPTION_PIPE;
  
      DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
  
      DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
-      smtp_peer_options & PEER_OFFERED_PIPE ? "" : "not ");
+      smtp_peer_options & OPTION_PIPE ? "" : "not ");
  
  
-    if (  sx->peer_offered & PEER_OFFERED_CHUNKING
+    if (  sx->peer_offered & OPTION_CHUNKING
         && verify_check_given_host(&sx->ob->hosts_try_chunking, sx->host) != OK)
         && verify_check_given_host(&sx->ob->hosts_try_chunking, sx->host) != OK)
-      sx->peer_offered &= ~PEER_OFFERED_CHUNKING;
+      sx->peer_offered &= ~OPTION_CHUNKING;
  
  
-    if (sx->peer_offered & PEER_OFFERED_CHUNKING)
+    if (sx->peer_offered & OPTION_CHUNKING)
        {DEBUG(D_transport) debug_printf("CHUNKING usable\n");}
  
  #ifndef DISABLE_PRDR
        {DEBUG(D_transport) debug_printf("CHUNKING usable\n");}
  
  #ifndef DISABLE_PRDR
-    if (  sx->peer_offered & PEER_OFFERED_PRDR
+    if (  sx->peer_offered & OPTION_PRDR
         && verify_check_given_host(&sx->ob->hosts_try_prdr, sx->host) != OK)
         && verify_check_given_host(&sx->ob->hosts_try_prdr, sx->host) != OK)
-      sx->peer_offered &= ~PEER_OFFERED_PRDR;
+      sx->peer_offered &= ~OPTION_PRDR;
  
  
-    if (sx->peer_offered & PEER_OFFERED_PRDR)
+    if (sx->peer_offered & OPTION_PRDR)
        {DEBUG(D_transport) debug_printf("PRDR usable\n");}
  #endif
  
      /* Note if the server supports DSN */
        {DEBUG(D_transport) debug_printf("PRDR usable\n");}
  #endif
  
      /* Note if the server supports DSN */
-    smtp_peer_options |= sx->peer_offered & PEER_OFFERED_DSN;
+    smtp_peer_options |= sx->peer_offered & OPTION_DSN;
      DEBUG(D_transport) debug_printf("%susing DSN\n",
      DEBUG(D_transport) debug_printf("%susing DSN\n",
-                       sx->peer_offered & PEER_OFFERED_DSN ? "" : "not ");
+                       sx->peer_offered & OPTION_DSN ? "" : "not ");
  
      /* Note if the response to EHLO specifies support for the AUTH extension.
      If it has, check that this host is one we want to authenticate to, and do
  
      /* Note if the response to EHLO specifies support for the AUTH extension.
      If it has, check that this host is one we want to authenticate to, and do
@@ -2113,7 +2133,7 @@ if (continue_hostname == NULL
        }
      }
    }
        }
      }
    }
-pipelining_active = !!(smtp_peer_options & PEER_OFFERED_PIPE);
+pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
  
  /* The setting up of the SMTP call is now complete. Any subsequent errors are
  message-specific. */
  
  /* The setting up of the SMTP call is now complete. Any subsequent errors are
  message-specific. */
@@ -2131,7 +2151,7 @@ if (sx->addrlist->prop.utf8_msg)
    }
  
  /* If this is an international message we need the host to speak SMTPUTF8 */
    }
  
  /* If this is an international message we need the host to speak SMTPUTF8 */
-if (sx->utf8_needed && !(sx->peer_offered & PEER_OFFERED_UTF8))
+if (sx->utf8_needed && !(sx->peer_offered & OPTION_UTF8))
    {
    errno = ERRNO_UTF8_FWD;
    goto RESPONSE_FAILED;
    {
    errno = ERRNO_UTF8_FWD;
    goto RESPONSE_FAILED;
@@ -2157,11 +2177,6 @@ return OK;
      sx->send_quit = FALSE;
      goto FAILED;
  
      sx->send_quit = FALSE;
      goto FAILED;
  
-  /* This label is jumped to directly when a TLS negotiation has failed,
-  or was not done for a host for which it is required. Values will be set
-  in message and errno, and setting_up will always be true. Treat as
-  a temporary error. */
-
    EHLOHELO_FAILED:
      code = '4';
      message = string_sprintf("Remote host closed connection in response to %s"
    EHLOHELO_FAILED:
      code = '4';
      message = string_sprintf("Remote host closed connection in response to %s"
@@ -2169,6 +2184,11 @@ return OK;
      sx->send_quit = FALSE;
      goto FAILED;
  
      sx->send_quit = FALSE;
      goto FAILED;
  
+  /* This label is jumped to directly when a TLS negotiation has failed,
+  or was not done for a host for which it is required. Values will be set
+  in message and errno, and setting_up will always be true. Treat as
+  a temporary error. */
+
  #ifdef SUPPORT_TLS
    TLS_FAILED:
      code = '4';
  #ifdef SUPPORT_TLS
    TLS_FAILED:
      code = '4';
@@ -2258,14 +2278,15 @@ int address_count;
  
  *p = 0;
  
  
  *p = 0;
  
-/* If we know the receiving MTA supports the SIZE qualification,
+/* If we know the receiving MTA supports the SIZE qualification, and we know it,
  send it, adding something to the message size to allow for imprecision
  and things that get added en route. Exim keeps the number of lines
  in a message, so we can give an accurate value for the original message, but we
  need some additional to handle added headers. (Double "." characters don't get
  included in the count.) */
  
  send it, adding something to the message size to allow for imprecision
  and things that get added en route. Exim keeps the number of lines
  in a message, so we can give an accurate value for the original message, but we
  need some additional to handle added headers. (Double "." characters don't get
  included in the count.) */
  
-if (sx->peer_offered & PEER_OFFERED_SIZE)
+if (  message_size > 0
+   && sx->peer_offered & OPTION_SIZE && !(sx->avoid_option & OPTION_SIZE))
    {
  /*XXX problem here under spool_files_wireformat?
  Or just forget about lines?  Or inflate by a fixed proportion? */
    {
  /*XXX problem here under spool_files_wireformat?
  Or just forget about lines?  Or inflate by a fixed proportion? */
@@ -2279,7 +2300,7 @@ Or just forget about lines?  Or inflate by a fixed proportion? */
  request that */
  
  sx->prdr_active = FALSE;
  request that */
  
  sx->prdr_active = FALSE;
-if (sx->peer_offered & PEER_OFFERED_PRDR)
+if (sx->peer_offered & OPTION_PRDR)
    for (addr = addrlist; addr; addr = addr->next)
      if (addr->transport_return == PENDING_DEFER)
        {
    for (addr = addrlist; addr; addr = addr->next)
      if (addr->transport_return == PENDING_DEFER)
        {
@@ -2298,7 +2319,7 @@ if (sx->peer_offered & PEER_OFFERED_PRDR)
  /* If it supports internationalised messages, and this meesage need that,
  request it */
  
  /* If it supports internationalised messages, and this meesage need that,
  request it */
  
-if (  sx->peer_offered & PEER_OFFERED_UTF8
+if (  sx->peer_offered & OPTION_UTF8
     && addrlist->prop.utf8_msg
     && !addrlist->prop.utf8_downcvt
     )
     && addrlist->prop.utf8_msg
     && !addrlist->prop.utf8_downcvt
     )
@@ -2320,7 +2341,7 @@ for (sx->dsn_all_lasthop = TRUE, addr = addrlist, address_count = 0;
  
  /* Add any DSN flags to the mail command */
  
  
  /* Add any DSN flags to the mail command */
  
-if (sx->peer_offered & PEER_OFFERED_DSN && !sx->dsn_all_lasthop)
+if (sx->peer_offered & OPTION_DSN && !sx->dsn_all_lasthop)
    {
    if (dsn_ret == dsn_ret_hdrs)
      { Ustrcpy(p, " RET=HDRS"); p += 9; }
    {
    if (dsn_ret == dsn_ret_hdrs)
      { Ustrcpy(p, " RET=HDRS"); p += 9; }
@@ -2356,7 +2377,7 @@ uschar * p = sx->buffer;
  
  /* Add any DSN flags to the rcpt command */
  
  
  /* Add any DSN flags to the rcpt command */
  
-if (sx->peer_offered & PEER_OFFERED_DSN && !(addr->dsn_flags & rf_dsnlasthop))
+if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
    {
    if (addr->dsn_flags & rf_dsnflags)
      {
    {
    if (addr->dsn_flags & rf_dsnflags)
      {
@@ -2426,7 +2447,7 @@ sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
    the delivery log line. */
  
    if (  sx->addrlist->prop.utf8_msg
    the delivery log line. */
  
    if (  sx->addrlist->prop.utf8_msg
-     && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & PEER_OFFERED_UTF8))
+     && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & OPTION_UTF8))
       )
      {
      if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
       )
      {
      if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
@@ -2490,7 +2511,13 @@ for (addr = sx->first_addr, address_count = 0;
    BOOL no_flush;
    uschar * rcpt_addr;
  
    BOOL no_flush;
    uschar * rcpt_addr;
  
-  addr->dsn_aware = sx->peer_offered & PEER_OFFERED_DSN
+  if (tcp_out_fastopen && !tcp_out_fastopen_logged)
+    {
+    setflag(addr, af_tcp_fastopen_conn);
+    if (tcp_out_fastopen > 1) setflag(addr, af_tcp_fastopen);
+    }
+
+  addr->dsn_aware = sx->peer_offered & OPTION_DSN
      ? dsn_support_yes : dsn_support_no;
  
    address_count++;
      ? dsn_support_yes : dsn_support_no;
  
    address_count++;
@@ -2543,6 +2570,7 @@ for (addr = sx->first_addr, address_count = 0;
      }
    }      /* Loop for next address */
  
      }
    }      /* Loop for next address */
  
+tcp_out_fastopen_logged = TRUE;
  sx->next_addr = addr;
  return 0;
  }
  sx->next_addr = addr;
  return 0;
  }
@@ -2553,29 +2581,38 @@ return 0;
  * Proxy TLS connection for another transport process *
  ******************************************************/
  /*
  * Proxy TLS connection for another transport process *
  ******************************************************/
  /*
-Use the given buffer as a staging area, and select on both the given fd
-and the TLS'd client-fd for data to read (per the coding in ip_recv() and
-fd_ready() this is legitimate).  Do blocking full-size writes, and reads
-under a timeout.
+Close the unused end of the pipe, fork once more, then use the given buffer
+as a staging area, and select on both the given fd and the TLS'd client-fd for
+data to read (per the coding in ip_recv() and fd_ready() this is legitimate).
+Do blocking full-size writes, and reads under a timeout.  Once both input
+channels are closed, exit the process.
  
  Arguments:
    buf          space to use for buffering
    bufsiz       size of buffer
  
  Arguments:
    buf          space to use for buffering
    bufsiz       size of buffer
-  proxy_fd     comms to proxied process
+  pfd          pipe filedescriptor array; [0] is comms to proxied process
    timeout      per-read timeout, seconds
  */
  
  void
    timeout      per-read timeout, seconds
  */
  
  void
-smtp_proxy_tls(uschar * buf, size_t bsize, int proxy_fd, int timeout)
+smtp_proxy_tls(uschar * buf, size_t bsize, int * pfd, int timeout)
  {
  fd_set rfds, efds;
  {
  fd_set rfds, efds;
-int max_fd = MAX(proxy_fd, tls_out.active) + 1;
+int max_fd = MAX(pfd[0], tls_out.active) + 1;
  int rc, i, fd_bits, nbytes;
  
  int rc, i, fd_bits, nbytes;
  
+close(pfd[1]);
+if ((rc = fork()))
+  {
+  DEBUG(D_transport) debug_printf("proxy-proc final-pid %d\n", rc);
+  _exit(rc < 0 ? EXIT_FAILURE : EXIT_SUCCESS);
+  }
+
+if (running_in_test_harness) millisleep(100); /* let parent debug out */
  set_process_info("proxying TLS connection for continued transport");
  FD_ZERO(&rfds);
  FD_SET(tls_out.active, &rfds);
  set_process_info("proxying TLS connection for continued transport");
  FD_ZERO(&rfds);
  FD_SET(tls_out.active, &rfds);
-FD_SET(proxy_fd, &rfds);
+FD_SET(pfd[0], &rfds);
  
  for (fd_bits = 3; fd_bits; )
    {
  
  for (fd_bits = 3; fd_bits; )
    {
@@ -2597,17 +2634,17 @@ for (fd_bits = 3; fd_bits; )
      if (rc <= 0)
        {
        DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
      if (rc <= 0)
        {
        DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
-      return;
+      goto done;
        }
  
        }
  
-    if (FD_ISSET(tls_out.active, &efds) || FD_ISSET(proxy_fd, &efds))
+    if (FD_ISSET(tls_out.active, &efds) || FD_ISSET(pfd[0], &efds))
        {
        DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
        {
        DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
-       FD_ISSET(proxy_fd, &efds) ? "proxy" : "tls");
-      return;
+       FD_ISSET(pfd[0], &efds) ? "proxy" : "tls");
+      goto done;
        }
      }
        }
      }
-  while (rc < 0 || !(FD_ISSET(tls_out.active, &rfds) || FD_ISSET(proxy_fd, &rfds)));
+  while (rc < 0 || !(FD_ISSET(tls_out.active, &rfds) || FD_ISSET(pfd[0], &rfds)));
  
    /* handle inbound data */
    if (FD_ISSET(tls_out.active, &rfds))
  
    /* handle inbound data */
    if (FD_ISSET(tls_out.active, &rfds))
@@ -2615,20 +2652,20 @@ for (fd_bits = 3; fd_bits; )
        {
        fd_bits &= ~1;
        FD_CLR(tls_out.active, &rfds);
        {
        fd_bits &= ~1;
        FD_CLR(tls_out.active, &rfds);
-      shutdown(proxy_fd, SHUT_WR);
+      shutdown(pfd[0], SHUT_WR);
        timeout = 5;
        }
      else
        {
        for (nbytes = 0; rc - nbytes > 0; nbytes += i)
        timeout = 5;
        }
      else
        {
        for (nbytes = 0; rc - nbytes > 0; nbytes += i)
-       if ((i = write(proxy_fd, buf + nbytes, rc - nbytes)) < 0) return;
+       if ((i = write(pfd[0], buf + nbytes, rc - nbytes)) < 0) goto done;
        }
    else if (fd_bits & 1)
      FD_SET(tls_out.active, &rfds);
  
    /* handle outbound data */
        }
    else if (fd_bits & 1)
      FD_SET(tls_out.active, &rfds);
  
    /* handle outbound data */
-  if (FD_ISSET(proxy_fd, &rfds))
-    if ((rc = read(proxy_fd, buf, bsize)) <= 0)
+  if (FD_ISSET(pfd[0], &rfds))
+    if ((rc = read(pfd[0], buf, bsize)) <= 0)
        {
        fd_bits = 0;
        tls_close(FALSE, TRUE);
        {
        fd_bits = 0;
        tls_close(FALSE, TRUE);
@@ -2637,11 +2674,15 @@ for (fd_bits = 3; fd_bits; )
        {
        for (nbytes = 0; rc - nbytes > 0; nbytes += i)
         if ((i = tls_write(FALSE, buf + nbytes, rc - nbytes, FALSE)) < 0)
        {
        for (nbytes = 0; rc - nbytes > 0; nbytes += i)
         if ((i = tls_write(FALSE, buf + nbytes, rc - nbytes, FALSE)) < 0)
-         return;
+         goto done;
        }
    else if (fd_bits & 2)
        }
    else if (fd_bits & 2)
-    FD_SET(proxy_fd, &rfds);
+    FD_SET(pfd[0], &rfds);
    }
    }
+
+done:
+  if (running_in_test_harness) millisleep(100);        /* let logging complete */
+  exim_exit(0, US"TLS proxy");
  }
  #endif
  
  }
  #endif
  
@@ -2700,15 +2741,15 @@ address_item *addr;
  int yield = OK;
  int save_errno;
  int rc;
  int yield = OK;
  int save_errno;
  int rc;
-time_t start_delivery_time = time(NULL);
+struct timeval start_delivery_time;
  
  BOOL pass_message = FALSE;
  uschar *message = NULL;
  uschar new_message_id[MESSAGE_ID_LENGTH + 1];
  
  BOOL pass_message = FALSE;
  uschar *message = NULL;
  uschar new_message_id[MESSAGE_ID_LENGTH + 1];
-uschar *p;
  
  smtp_context sx;
  
  
  smtp_context sx;
  
+gettimeofday(&start_delivery_time, NULL);
  suppress_tls = suppress_tls;  /* stop compiler warning when no TLS support */
  *message_defer = FALSE;
  
  suppress_tls = suppress_tls;  /* stop compiler warning when no TLS support */
  *message_defer = FALSE;
  
@@ -2750,10 +2791,10 @@ if (tblock->filter_command)
    if (  transport_filter_argv
       && *transport_filter_argv
       && **transport_filter_argv
    if (  transport_filter_argv
       && *transport_filter_argv
       && **transport_filter_argv
-     && sx.peer_offered & PEER_OFFERED_CHUNKING
+     && sx.peer_offered & OPTION_CHUNKING
       )
      {
       )
      {
-    sx.peer_offered &= ~PEER_OFFERED_CHUNKING;
+    sx.peer_offered &= ~OPTION_CHUNKING;
      DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
      }
    }
      DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
      }
    }
@@ -2835,7 +2876,7 @@ are pipelining. The responses are all handled by sync_responses().
  If using CHUNKING, do not send a BDAT until we know how big a chunk we want
  to send is. */
  
  If using CHUNKING, do not send a BDAT until we know how big a chunk we want
  to send is. */
  
-if (  !(sx.peer_offered & PEER_OFFERED_CHUNKING)
+if (  !(sx.peer_offered & OPTION_CHUNKING)
     && (sx.ok || (pipelining_active && !mua_wrapper)))
    {
    int count = smtp_write_command(&sx.outblock, SCMD_FLUSH, "DATA\r\n");
     && (sx.ok || (pipelining_active && !mua_wrapper)))
    {
    int count = smtp_write_command(&sx.outblock, SCMD_FLUSH, "DATA\r\n");
@@ -2865,7 +2906,7 @@ for handling the SMTP dot-handling protocol, flagging to apply to headers as
  well as body. Set the appropriate timeout value to be used for each chunk.
  (Haven't been able to make it work using select() for writing yet.) */
  
  well as body. Set the appropriate timeout value to be used for each chunk.
  (Haven't been able to make it work using select() for writing yet.) */
  
-if (!(sx.peer_offered & PEER_OFFERED_CHUNKING) && !sx.ok)
+if (!(sx.peer_offered & OPTION_CHUNKING) && !sx.ok)
    {
    /* Save the first address of the next batch. */
    sx.first_addr = sx.next_addr;
    {
    /* Save the first address of the next batch. */
    sx.first_addr = sx.next_addr;
@@ -2875,7 +2916,7 @@ if (!(sx.peer_offered & PEER_OFFERED_CHUNKING) && !sx.ok)
  else
    {
    transport_ctx tctx = {
  else
    {
    transport_ctx tctx = {
-    sx.inblock.sock,
+    {sx.inblock.sock},
      tblock,
      addrlist,
      US".", US"..",    /* Escaping strings */
      tblock,
      addrlist,
      US".", US"..",    /* Escaping strings */
@@ -2892,7 +2933,7 @@ else
    of responses.  The callback needs a whole bunch of state so set up
    a transport-context structure to be passed around. */
  
    of responses.  The callback needs a whole bunch of state so set up
    a transport-context structure to be passed around. */
  
-  if (sx.peer_offered & PEER_OFFERED_CHUNKING)
+  if (sx.peer_offered & OPTION_CHUNKING)
      {
      tctx.check_string = tctx.escape_string = NULL;
      tctx.options |= topt_use_bdat;
      {
      tctx.check_string = tctx.escape_string = NULL;
      tctx.options |= topt_use_bdat;
@@ -2917,7 +2958,7 @@ else
    transport_write_timeout = sx.ob->data_timeout;
    smtp_command = US"sending data block";   /* For error messages */
    DEBUG(D_transport|D_v)
    transport_write_timeout = sx.ob->data_timeout;
    smtp_command = US"sending data block";   /* For error messages */
    DEBUG(D_transport|D_v)
-    if (sx.peer_offered & PEER_OFFERED_CHUNKING)
+    if (sx.peer_offered & OPTION_CHUNKING)
        debug_printf("         will write message using CHUNKING\n");
      else
        debug_printf("  SMTP>> writing message and terminating \".\"\n");
        debug_printf("         will write message using CHUNKING\n");
      else
        debug_printf("  SMTP>> writing message and terminating \".\"\n");
@@ -2952,7 +2993,7 @@ else
  
    smtp_command = US"end of data";
  
  
    smtp_command = US"end of data";
  
-  if (sx.peer_offered & PEER_OFFERED_CHUNKING && sx.cmd_count > 1)
+  if (sx.peer_offered & OPTION_CHUNKING && sx.cmd_count > 1)
      {
      /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
      switch(sync_responses(&sx, sx.cmd_count-1, 0))
      {
      /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
      switch(sync_responses(&sx, sx.cmd_count-1, 0))
@@ -3022,10 +3063,11 @@ else
    if (sx.ok)
      {
      int flag = '=';
    if (sx.ok)
      {
      int flag = '=';
-    int delivery_time = (int)(time(NULL) - start_delivery_time);
+    struct timeval delivery_time;
      int len;
      int len;
-    uschar *conf = NULL;
+    uschar * conf = NULL;
  
  
+    timesince(&delivery_time, &start_delivery_time);
      sx.send_rset = FALSE;
      pipelining_active = FALSE;
  
      sx.send_rset = FALSE;
      pipelining_active = FALSE;
  
@@ -3040,7 +3082,7 @@ else
        {
        const uschar *s = string_printing(sx.buffer);
        /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
        {
        const uschar *s = string_printing(sx.buffer);
        /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
-      conf = (s == sx.buffer)? (uschar *)string_copy(s) : US s;
+      conf = (s == sx.buffer)? US string_copy(s) : US s;
        }
  
      /* Process all transported addresses - for LMTP or PRDR, read a status for
        }
  
      /* Process all transported addresses - for LMTP or PRDR, read a status for
@@ -3100,14 +3142,15 @@ else
        actual host that was used. */
  
        addr->transport_return = OK;
        actual host that was used. */
  
        addr->transport_return = OK;
-      addr->more_errno = delivery_time;
+      addr->more_errno = delivery_time.tv_sec;
+      addr->delivery_usec = delivery_time.tv_usec;
        addr->host_used = host;
        addr->special_action = flag;
        addr->message = conf;
  #ifndef DISABLE_PRDR
        addr->host_used = host;
        addr->special_action = flag;
        addr->message = conf;
  #ifndef DISABLE_PRDR
-      if (sx.prdr_active) addr->flags |= af_prdr_used;
+      if (sx.prdr_active) setflag(addr, af_prdr_used);
  #endif
  #endif
-      if (sx.peer_offered & PEER_OFFERED_CHUNKING) addr->flags |= af_chunking_used;
+      if (sx.peer_offered & OPTION_CHUNKING) setflag(addr, af_chunking_used);
        flag = '-';
  
  #ifndef DISABLE_PRDR
        flag = '-';
  
  #ifndef DISABLE_PRDR
@@ -3278,8 +3321,9 @@ if (!sx.ok)
         set_rc = DEFER;
          if (save_errno > 0)
            message = US string_sprintf("%s: %s", message, strerror(save_errno));
         set_rc = DEFER;
          if (save_errno > 0)
            message = US string_sprintf("%s: %s", message, strerror(save_errno));
-        if (host->next != NULL) log_write(0, LOG_MAIN, "%s", message);
-       msglog_line(host, message);
+
+        write_logs(host, message, sx.first_addr ? sx.first_addr->basic_errno : 0);
+
          *message_defer = TRUE;
          }
        }
          *message_defer = TRUE;
          }
        }
@@ -3429,7 +3473,7 @@ if (sx.completed_addr && sx.ok && sx.send_quit)
           {
           /* Set up a pipe for proxying TLS for the new transport process */
  
           {
           /* Set up a pipe for proxying TLS for the new transport process */
  
-         smtp_peer_options |= PEER_OFFERED_TLS;
+         smtp_peer_options |= OPTION_TLS;
           if (sx.ok = (socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
             socket_fd = pfd[1];
           else
           if (sx.ok = (socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
             socket_fd = pfd[1];
           else
@@ -3456,7 +3500,8 @@ propagate it from the initial
         {
          sx.send_quit = FALSE;
  
         {
          sx.send_quit = FALSE;
  
-       /* If TLS is still active, we need to proxy it for the transport we
+       /* We have passed the client socket to a fresh transport process.
+       If TLS is still active, we need to proxy it for the transport we
         just passed the baton to.  Fork a child to to do it, and return to
         get logging done asap.  Which way to place the work makes assumptions
         about post-fork prioritisation which may not hold on all platforms. */
         just passed the baton to.  Fork a child to to do it, and return to
         get logging done asap.  Which way to place the work makes assumptions
         about post-fork prioritisation which may not hold on all platforms. */
@@ -3464,10 +3509,19 @@ propagate it from the initial
         if (tls_out.active >= 0)
           {
           int pid = fork();
         if (tls_out.active >= 0)
           {
           int pid = fork();
+         if (pid == 0)         /* child; fork again to disconnect totally */
+           {
+           if (running_in_test_harness) millisleep(100); /* let parent debug out */
+           /* does not return */
+           smtp_proxy_tls(sx.buffer, sizeof(sx.buffer), pfd,
+                           sx.ob->command_timeout);
+           }
+
           if (pid > 0)          /* parent */
             {
             DEBUG(D_transport) debug_printf("proxy-proc inter-pid %d\n", pid);
             close(pfd[0]);
           if (pid > 0)          /* parent */
             {
             DEBUG(D_transport) debug_printf("proxy-proc inter-pid %d\n", pid);
             close(pfd[0]);
+           /* tidy the inter-proc to disconn the proxy proc */
             waitpid(pid, NULL, 0);
             tls_close(FALSE, FALSE);
             (void)close(sx.inblock.sock);
             waitpid(pid, NULL, 0);
             tls_close(FALSE, FALSE);
             (void)close(sx.inblock.sock);
@@ -3475,17 +3529,7 @@ propagate it from the initial
             continue_hostname = NULL;
             return yield;
             }
             continue_hostname = NULL;
             return yield;
             }
-         else if (pid == 0)    /* child; fork again to disconnect totally */
-           {
-           close(pfd[1]);
-           if ((pid = fork()))
-             {
-             DEBUG(D_transport) debug_printf("proxy-prox final-pid %d\n", pid);
-             _exit(pid ? EXIT_FAILURE : EXIT_SUCCESS);
-             }
-           smtp_proxy_tls(sx.buffer, sizeof(sx.buffer), pfd[0], sx.ob->command_timeout);
-           exim_exit(0);
-           }
+         log_write(0, LOG_PANIC_DIE, "fork failed");
           }
  #endif
         }
           }
  #endif
         }
@@ -3689,7 +3733,7 @@ uschar *tid = string_sprintf("%s transport", tblock->name);
  smtp_transport_options_block *ob =
    (smtp_transport_options_block *)(tblock->options_block);
  host_item *hostlist = addrlist->host_list;
  smtp_transport_options_block *ob =
    (smtp_transport_options_block *)(tblock->options_block);
  host_item *hostlist = addrlist->host_list;
-host_item *host = NULL;
+host_item *host;
  
  DEBUG(D_transport)
    {
  
  DEBUG(D_transport)
    {
@@ -3700,7 +3744,7 @@ DEBUG(D_transport)
      {
      debug_printf("hostlist:\n");
      for (host = hostlist; host; host = host->next)
      {
      debug_printf("hostlist:\n");
      for (host = hostlist; host; host = host->next)
-      debug_printf("  %s:%d\n", host->name, host->port);
+      debug_printf("  '%s' IP %s port %d\n", host->name, host->address, host->port);
      }
    if (continue_hostname)
      debug_printf("already connected to %s [%s] (on fd %d)\n",
      }
    if (continue_hostname)
      debug_printf("already connected to %s [%s] (on fd %d)\n",
@@ -3881,7 +3925,9 @@ for (cutoff_retry = 0;
    {
    host_item *nexthost = NULL;
    int unexpired_hosts_tried = 0;
    {
    host_item *nexthost = NULL;
    int unexpired_hosts_tried = 0;
+  BOOL continue_host_tried = FALSE;
  
  
+retry_non_continued:
    for (host = hostlist;
            host
         && unexpired_hosts_tried < ob->hosts_max_try
    for (host = hostlist;
            host
         && unexpired_hosts_tried < ob->hosts_max_try
@@ -3946,7 +3992,7 @@ for (cutoff_retry = 0;
        /* Find by name if so configured, or if it's an IP address. We don't
        just copy the IP address, because we need the test-for-local to happen. */
  
        /* Find by name if so configured, or if it's an IP address. We don't
        just copy the IP address, because we need the test-for-local to happen. */
  
-      flags = HOST_FIND_BY_A;
+      flags = HOST_FIND_BY_A | HOST_FIND_BY_AAAA;
        if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
        if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
  
        if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
        if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
  
@@ -4014,14 +4060,16 @@ for (cutoff_retry = 0;
      result of the lookup. Set expired FALSE, to save the outer loop executing
      twice. */
  
      result of the lookup. Set expired FALSE, to save the outer loop executing
      twice. */
  
-    if (  continue_hostname
-       && (  Ustrcmp(continue_hostname, host->name) != 0
-          || Ustrcmp(continue_host_address, host->address) != 0
-       )  )
-      {
-      expired = FALSE;
-      continue;      /* With next host */
-      }
+    if (continue_hostname)
+      if (  Ustrcmp(continue_hostname, host->name) != 0
+         || Ustrcmp(continue_host_address, host->address) != 0
+        )
+       {
+       expired = FALSE;
+       continue;      /* With next host */
+       }
+      else
+       continue_host_tried = TRUE;
  
      /* Reset the default next host in case a multihomed host whose addresses
      are not looked up till just above added to the host list. */
  
      /* Reset the default next host in case a multihomed host whose addresses
      are not looked up till just above added to the host list. */
@@ -4146,7 +4194,7 @@ for (cutoff_retry = 0;
        {
        if (  !host->address
           || host->status != hstatus_unusable_expired
        {
        if (  !host->address
           || host->status != hstatus_unusable_expired
-        || host->last_try > received_time)
+        || host->last_try > received_time.tv_sec)
          continue;
        DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
            host->name, host->address, pistring);
          continue;
        DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
            host->name, host->address, pistring);
@@ -4287,7 +4335,7 @@ for (cutoff_retry = 0;
  
        if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
  
        if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
-        write_logs(first_addr, host);
+        write_logs(host, first_addr->message, first_addr->basic_errno);
  
  #ifndef DISABLE_EVENT
        if (rc == DEFER)
  
  #ifndef DISABLE_EVENT
        if (rc == DEFER)
@@ -4317,7 +4365,7 @@ for (cutoff_retry = 0;
          rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
            &message_defer, TRUE);
          if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
          rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
            &message_defer, TRUE);
          if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
-          write_logs(first_addr, host);
+          write_logs(host, first_addr->message, first_addr->basic_errno);
  # ifndef DISABLE_EVENT
          if (rc == DEFER)
            deferred_event_raise(first_addr, host);
  # ifndef DISABLE_EVENT
          if (rc == DEFER)
            deferred_event_raise(first_addr, host);
@@ -4466,7 +4514,7 @@ for (cutoff_retry = 0;
          for (last_rule = retry->rules;
               last_rule->next;
               last_rule = last_rule->next);
          for (last_rule = retry->rules;
               last_rule->next;
               last_rule = last_rule->next);
-        timedout = time(NULL) - received_time > last_rule->timeout;
+        timedout = time(NULL) - received_time.tv_sec > last_rule->timeout;
          }
        else timedout = TRUE;    /* No rule => timed out */
  
          }
        else timedout = TRUE;    /* No rule => timed out */
  
@@ -4479,6 +4527,32 @@ for (cutoff_retry = 0;
        }
      }   /* End of loop for trying multiple hosts. */
  
        }
      }   /* End of loop for trying multiple hosts. */
  
+  /* If we failed to find a matching host in the list, for an already-open
+  connection, just close it and start over with the list.  This can happen
+  for routing that changes from run to run, or big multi-IP sites with
+  round-robin DNS. */
+
+  if (continue_hostname && !continue_host_tried)
+    {
+    int fd = cutthrough.fd >= 0 ? cutthrough.fd : 0;
+
+    DEBUG(D_transport) debug_printf("no hosts match already-open connection\n");
+#ifdef SUPPORT_TLS
+    if (tls_out.active == fd)
+      {
+      (void) tls_write(FALSE, US"QUIT\r\n", 6, FALSE);
+      tls_close(FALSE, TRUE);
+      }
+    else
+#else
+      (void) write(fd, US"QUIT\r\n", 6);
+#endif
+    (void) close(fd);
+    cutthrough.fd = -1;
+    continue_hostname = NULL;
+    goto retry_non_continued;
+    }
+
    /* This is the end of the loop that repeats iff expired is TRUE and
    ob->delay_after_cutoff is FALSE. The second time round we will
    try those hosts that haven't been tried since the message arrived. */
    /* This is the end of the loop that repeats iff expired is TRUE and
    ob->delay_after_cutoff is FALSE. The second time round we will
    try those hosts that haven't been tried since the message arrived. */
@@ -4609,6 +4683,7 @@ DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
  return TRUE;   /* Each address has its status */
  }
  
  return TRUE;   /* Each address has its status */
  }
  
+#endif /*!MACRO_PREDEF*/
  /* vi: aw ai sw=2
  */
  /* End of transport/smtp.c */
  /* vi: aw ai sw=2
  */
  /* End of transport/smtp.c */