Bug 1495: Exiqgrep -C check configfile readability

Use enum for var_entry type

Fix build dependencies

"make distclean; make -j" was failing on config.h

Correct testuite doc

Fix testcase 0390 when testing an EXPERIMENTAL_TPDA compile

Insert a custom-munge for the new transport option.
This may be removed once the code goes mainline.

Fix testcase 0373

A readsocket expansion against a unix-domain socket which is
immediately closed.  This gave variable results does to the race of
the write into the client-end versus the close at the server end.
Insert under-testsuite delays to assure sequencing; the testcase
now specifically looks for a write into a closed peer.

Fix dkim for no-key case under SENDFILE compile.  Bug 934

Tested-by: <wbreyha@gmx.net>

Tidy coding style.  Bug 934

Use strict C89 variable declaration positioning

Preempt future testsuite integration of EXPERIMENTAL_DSN

Fix testcase for today's faster cpus

Testcase for udpsend

Initial set of warnings for the upcoming release

Fix testcase for 984702 - the buffer boundary was deliberately
being explored by the test

More care with time types

Fix udpsend and ip_connectedsocket().

The ip_connectedsocket() function's socket type support and error
reporting did not work properly.

Tidy up OpenSSL certificate signature & sig_algorithm extractor results.
Bug 1489

Compiler quietening

Ensure output buffer big enough for DSN additions to MAIL FROM.  Bug 1482

Fix tiny ChangeLog typo

Support service names for tls_on_connect_ports.  Bug 72

Fix doc for $sender_host_dnssec. Bug 1485

Fix no-ssl build

Fix delivery $host in client authenticator in verify/callout.  Bug 1476

Log warnings on presence of deperecated options

Fix dnssec dnsdb lookup in defer_never mode

Bug 1444: Fix \r\n handling writing spool file

Fix a bug which causes DKIM signatures to fail because what gets
  written to the spool file is different than what gets passed through
  the DKIM code.

Merge tag 'exim-4_82_1'

Fix Conflicts:
src/src/dmarc.c

SECURITY: DMARC uses From header untrusted data

CVE-2014-2957

To find the sending domain, expand_string() was used to directly parse
  the contents of the From header. This passes untrusted data directly
  into an internal function. Convert to use standard internal parsing
  functions.

Increase limit of smtp_confirmation logging from 100 to 256 chars.  Bug 1408

Errorcheck TLS library calls

Restrict certificate name checkin for wildcards.

On more recent OpenSSL library versions the builtin wildcard checking
can take a restriction option that we want, to disallow the more
complex possibilities of wildcarding.

Missing initialiser

Add OpenSSL version check

Add GnuTLS version check

Move OCSP out of EXPERIMENTAL

Compiler quietening.  Bug 907

Bug 1394: Document how to do per host conn limits

Since the max connections per host setting is computed and enforced
  in the master listening process before the fork, there is no easy
  way to get an accurate connection count once the Proxy Protocol
  negotiation has been done (i.e. in a child process, after the
  fork). Rather than try to use a shared mmap file using CAS in the
  children to manipulate it, we just advise of a crude version of
  max connections per IP be achieved by using ratelimit per_conn in
  the connect ACL.

Fix doc for dovecot authenticator.  Bugs 1448, 1483

RFC3461 support - MIME DSN messages.    Bug 118

Eliminate one foolish way to break the build

Add PRDR feature output in -bV

Support optional server certificate name checking.  Bug 1479
Enable EXPERIMENTAL_CERTNAMES to include.

Final tidyout of EXPERIMENTAL_PRDR

Use accessor functions for OpenSSL internal data

General tidying

Tidy certificate verification logic under OpenSSL

Extractors for certificate time fields support integer output modifier

Extractor for named RDN element types from a certificate DN field.

Updated changelog.

Accidentally included the fix for Bug 1119 in the same commit fixing
  Proxy Protocol version 2 to match the API change in May 2014.

Bug 1394: PPv2 header modifed

The HAProxy dev team adjusted the layout of the 16 byte header to allow
  it to be used for SSL connections.  Had to adjust PPv2 handling code
  and perl proxy emulation script.
Added link to this HAProxy commit in the documentation.

Fix cert fingerprint path to deny noncerts

certextract tidying

Add doc notes on verifying self-signing hosts

Update docs for suggested Ident and PRDR settings

Merge branch 'master' of ssh://git.exim.org/home/git/exim

Test suite normalize TLS 1.[12] to TLS1

Move PRDR out of EXPERIMENTAL

Merge branch 'master' of ssh://git.exim.org/home/git/exim

Provide better sprintf debug output for callers

Propagate dnssec status from dnslookup router through transport to tpda

Fix pair of buffer size errors.  Bug 1478

Reported-by: David Binderman

New expansion operator sha256 for certificates.  Bug 1170

More testcase serialization

Compiler quietening and testcase consistency
Fix an unterminated comment from 018058b

Remove extraneous debug

Make $tls_out_ocsp visible to TPDA (mostly testsuite)

Certificate-related routines only present when TLS is supported

Enable operator md5 and sha1 use on certificate variables.  Bug 1170

OCSP observability: variables $tls_{in,out}_ocsp
and smtp transport option hosts_request_ocsp

Refactor tls_client_init interface

Extractors for subject-alternate-name, ocsp-uri, crl-uri return list.  Bug 1358

Fix build with OpenSSL on earlier versions.

Centos 6.5 and earlier had a build fail with GENERAL_NAME etc. undefined.
Just include the file defining it even if it's a duplicate on later versions.

More debug output

Restore testsuite operation on earlier GnuTLS libraries

Typo

Restore testsuite operation on earlier GnuTLS libraries

Certificate variables and field-extractor expansions.  Bug 1358

Support dnssec in verify-callout use of smtp transport.
Use of dnslookup router support is already present.

Cancel in-progress or reject requeted cutthrough when fakereject.  Bug 1475

Merge branch 'master' of ssh://git.exim.org/home/git/exim

Bug 1454: Option -oMm for message reference

Includes docs and test suite

Add options dnssec_request_domains, dnssec_require_domains to the smtp transport

Note there are no testsuite cases included.

TODO in this area:
- dnssec during verify-callouts
- dnssec on the forward lookup of a verify=helo and verify=reverse_host_lookup

Support OCSP Stapling under GnuTLS.  Bug 1459
Requires GnuTLS version 3.1.3 or later.
Under EXPERIMENTAL_OCSP

Dnssec observability: add variable $lookup_dnssec_authenticated

Fix typo in markup.  Add .new/.wen.

Bug 609: Add -C option to exiqgrep

Option is a passthrough to the exim process that it spawns that
  generates the queue list.

Fixed Conflicts:
doc/doc-txt/ChangeLog

dnssec_strict, _lax, _never modifiers for dnsdb lookups

Lacking testsuite coverage

Bug 1453: Add SERVERS ldap server list override

Merge branch 'master' of git://git.exim.org/exim

Make --verbose propogate to html generation script

Merge remote-tracking branch 'github/pr/13'

(exiqgrep -a support)

exiqgrep: add -a to use all recipients (including delivered)

Updated GnuTLS error messages

Fix testcase "server missing/empty certificate file"

GnuTLS early versions (pre 3.0.0 ?) fail to send a reasonable
client-cert request when tls_verify_certificates is an empty file.
Since the test is for missing *server* certs (tls_certificate)
avoid this by pointing to a real (if non-verifying) cert in
tls_verify_certificates.

Fix DISABLE_DNSSEC build

Bad syntax possibly only affected some compilers.

Make testcase more robust vs. timing variations
by restricting operations and logging to fewer items of interest

Restore testsuite operation under gnuTLS 2.8.5

Update testsuite for gnuTLS 3.1.23

Add options dnssec_request_domains, dnssec_require_domains to the dnslookup router

Note there are no testsuite cases included.

TODO in this area:
- dnssec during verify-callouts
- dnssec during dnsdb expansions
- dnssec on the forward lookup of a verify=helo and verify=reverse_host_lookup
- observability of status of requested dnssec

Fix handling of $tls_cipher et.al. in (non-verify) transport.  Bug 1455

The split of these variables into _in and _out sets introduced by d9b231
in 4.82 was incomplete, leaving the deprecated legacy variables nonfunctional
during a transport and associated client authenticator.

Fix by repointing the legacy set to the outbound connection set at
transport startup (and do not clear out the inbound set at this
time, either).