-bV: include the CONFIGURE_FILE path if it contains a ':'

tidying

Cutthrough: fix race resulting in duplicate-delivery.  Bug 2273

tidying

Fix typo in readconf.c

Expansions: new ${lheader:<name>}.  Bug 2272

tidying

Docs: minor fixes

ARC: add $arc_oldest_pass variable, for verify

ARC: support $arc_domains also for verify fails

ARC: add $arc_domains variable, for verify pass

ARC: limit verify chain to 50-deep

Testsuite: syslog testcase

DKIM: enforce limit of 20 on received DKIM-Signature: headers.  Bug 2269

Improve OpenSSL/GnuTLS; enable DNSSEC for non-smarthost

Docs: clarify DKIM verification

TLS by default for example smarthost SMTP Transport

And _decent_ TLS at that, with verification.

Testsuite: output changes arising.

Broken-by: 0e8aed8aab

ACL: reword error message for ratelimit.  Bug 2267

Docs: rewrite description of 'leaky' ratelimit.  Bug 1298

Fix spec

Thanks to Mike Brudenell

Compile warning defaults for OpenBSD, at request of the port maintainer

tidying

Belated README.UPDATING notes for Exim 4.91

People skip versions and move past them later, so while it's too late
for 4.91, this will still help people moving to 4.92 from pre-4.91 in
future.

Note that none of these strictly needed to be documented here:
experimental features, features marked as deprecated for many many
years, etc.  But let's err on the side of caution and include "things
which will break if you try to upgrade without changing Local/Makefile".

Fix OpenSSL non-OCSP build

Fix merge artifacts

Testsuite: output changes arising

Broken-by: 777e3beace

Fix typo in arc.  Bug 2262

Enable weak/old stuff in OpenSSL

Configure OpenSSL with:

    enable-ssl3 enable-ssl3-method enable-weak-ssl-ciphers

Include explanation as to why.

Testsuite: syslog testcase

Merge branch '4.next'

Tidy logging code

Clear more globals between messages

Add client-ip info to iprev ${authres } line

ARC: add optional x= tag to signing

ARC: add optional t= tags to signing

Avoid doing logging in signal-handlers.  Bug 1007

Docs: clean for next release

Testsuite: tidyup after myslq testing

Logging: fix syslog logging for syslog_timestamp=no and log_selector +millisec
         also syslog_pid=no and log_selector +pid

Docs: typo

Logging: fix syslog logging for syslog_timestamp=no and log_selector +millisec

DKIM downgrade example again; this time debugged

As well as previous commit's `len_3` -> `length_3`, we were missing
braces around the expansion operator, resulting in trying to dereference
an unknown variable `$length_3`, and we were missing the outer braces
from the `or` expansion condition.

We really need a better way to test ACL expansion without a full harness. :(

This bug-fixed version is now running on my system.

Fix length expansion operator in DKIM downgrade example

DKIM: add support for the SubjectPublicKeyInfo wrapped form of pubkey

Docs: add known broken-version info for OpenSSL behavior

Mention MTA-STS in DANE context; nit fixes

Did an audit of text changed since commit 6aa6fc9c5 to look for issues
which stood out, fixed those.  Spelling mistakes, markup issues, minor
grammatical infelicities.

The public/private CA stuff in the DANE text might push people away from
public CAs, but the existence of MTA-STS means that one of those is
probably the best choice.  Mention what exim.org does, to provide
slightly firmer guidance without pressure.

List the `dkim_hash` values, `sha512` appears to be new since that text
was last touched.

Doc: website updates and so forth

I've added <https://downloads.exim.org/> as a new vhost which doesn't
reference FTP and loses the `/pub/exim` prefix.

Fixed various other outdated claims and documented Jeremy's PGP key as
the main key for releases, with mine (Phil's) and Heiko's as fallbacks.

Mention the `.xz` files.

Add `receive_time` to list of log_selector values

bugfix: heimdal interaction, check length

clang noted that taking the address of a struct member will never be 0,
so checking against 0 was wrong.  It was a `.length` member.  I've
compiled RC4 with this change and deployed it to my box and I can still
authenticate fine.

ARC: fix signing when DKIM-signing is also being done

The ordering of headers being signed was wrong when a message
being forwarded arrived with a dkim signature

DMARC: fix history file

Too many variables were being cleared between connections
Broken-by: c780096c29 4.91 RC2

Better(?!?) fallback for stat: Perl

We use Perl extensively in other scripts.

*sigh*

stat portability

I forgot how much I loathe basic stuff like "get the size of a file,
portably, in shell".  Bleh.

Added util/renew-opendmarc-tlds.sh script to renew PSL

OpenSSL: Revert the disabling of the session-cache.  Bug 2255

Session cacheing is never useful, as we use a new context for every TLS startup.
However, removing the support triggers odd behaviour from Outlook Express (only
when there is an IMAP server on the same machine as Exim): an initial connect
from the OE client fails, the immediate retry works.

ARC: fix verify to not evaluate the top AMS twice

Clear more globals between messages

Logging: fix DKIM precis received log line element.

Broken-by: 2c47372fad

compiler quietening

Add client-ip info to iprev ${authres } line

compiler quietening

Actually reap node2 process in redis cluster test

ARC: add optional x= tag to signing

local_scan: add note on Makefile requirement

ARC: add optional t= tags to signing

ARC: log signing-spec errors in mainlog only, not paniclog

ARC: enhance debug for signing; explicitly init signing context

Fix non-ARC build

ARC: add guard in verify against lack of the dkim-verify context
needed for body-hashing

ARC: cutthrough delivery may not be used with ARC signing

Cutthrough: enforce non-use in combination with DKIM signing or transport filter

Broken-by: 02b41d7106

Add ARC signing caveats

ARC: give more detail with "bad signing-spec" message

ARC: For signing, accept A-R header lacking ARC info as equivalent to "none"

ARC: add independent-source testcase.  Fix signatures by not line-terminating
last header line being hashed.

ARC: AS header should have no c= tag

ARC: on the smtp transport option take empty or forced-fail to disable signing

Avast: rework interface

Avast: implement pass_unscanned option

Avast: improve compliance with avast-protocol(5)

Treat scanner errors as malware. Defer on scanner tmpfail
only.

Testsuite: ignore config-optional -bP output

Testsuite: output changes arising

Docs: tidy the ChangeLog file

Merge branch 'dane_require_tls_ciphers'

New SMTP Transport option for simplified improved security for DANE.

Avoid doing logging in signal-handlers.  Bug 1007

Testsuite: avoid ipv6 use in dane_require_tls_ciphers testcases

Testsuite: avoid ipv6 use in dane_require_tls_ciphers testcases

DANE: smtp transport option dane_require_tls_ciphers

Testcases for dane_require_tls_ciphers

Implement dane_require_tls_ciphers (theoretically)

It compiles with OpenSSL, on Darwin (if restore Darwin OS).
It doesn't crash immediately, but more testing is needed from a place
where port 25 is not just blocked.

Document new dane_require_tls_ciphers

Haven't written the code yet, but writing the docs first helped me
affirm that this makes sense and feels clean.  Code in next commit.

ARC: log signing-spec errors in mainlog only, not paniclog

ARC: enhance debug for signing; explicitly init signing context

Fix non-ARC build

ARC: add guard in verify against lack of the dkim-verify context
needed for body-hashing

Cutthrough: for an onward finaldot timeout, generate an initator 450 in defer=pass mode

ARC: cutthrough delivery may not be used with ARC signing

Cutthrough: enforce non-use in combination with DKIM signing or transport filter

Broken-by: 02b41d7106

Add ARC signing caveats