Move certificate name checking to mainline, default enabled

[exim.git] / doc / doc-txt / experimental-spec.txt
diff --git a/doc/doc-txt/experimental-spec.txt b/doc/doc-txt/experimental-spec.txt

index e7a0d06682e95e507edf0d8c376bb1b6788e9a65..4bcfecf048e72fdfbb4230e84563b898818d4414 100644 (file)
--- a/doc/doc-txt/experimental-spec.txt
+++ b/doc/doc-txt/experimental-spec.txt
@@ -759,11 +759,12 @@ b. Configure, somewhere before the DATA ACL, the control option to
  
  
  
  
  
  
-Transport post-delivery actions
+Event Actions
  --------------------------------------------------------------
  
  --------------------------------------------------------------
  
-An arbitrary per-transport string can be expanded upon various transport events
-and (for SMTP transports) a second string on deferrals caused by a host error.
+(Renamed from TPDA, Transport post-delivery actions)
+
+An arbitrary per-transport string can be expanded upon various transport events.
  Additionally a main-section configuration option can be expanded on some
  per-message events.
  This feature may be used, for example, to write exim internal log information
  Additionally a main-section configuration option can be expanded on some
  per-message events.
  This feature may be used, for example, to write exim internal log information
@@ -771,33 +772,33 @@ This feature may be used, for example, to write exim internal log information
  
  In order to use the feature, you must compile with
  
  
  In order to use the feature, you must compile with
  
-EXPERIMENTAL_TPDA=yes
+EXPERIMENTAL_EVENT=yes
  
  in your Local/Makefile
  
  and define one or both of
  
  in your Local/Makefile
  
  and define one or both of
-- the tpda_event_action option in the transport
-- the delivery_event_action
+- the event_action option in the transport
+- the event_action main option
  to be expanded when the event fires.
  
  to be expanded when the event fires.
  
-A new variable, $tpda_event, is set to the event type when the
+A new variable, $event_name, is set to the event type when the
  expansion is done.  The current list of events is:
  
  expansion is done.  The current list of events is:
  
-       msg:complete            main            per message
-       msg:delivery            transport       per recipient
-       msg:host:defer          transport       per attempt
-       msg:fail:delivery       main            per recipient
-       msg:fail:internal       main            per recipient
-       tcp:connect             transport       per connection
-       tcp:close               transport       per connection
-       tls:cert                transport       per certificate in verification chain
-       smtp:connect            transport       per connection
-
-The expansion is called for all event types, and should use the $tpda_event
+ msg:complete          after  main       per message
+ msg:delivery          after  transport  per recipient
+ msg:host:defer                after  transport  per attempt
+ msg:fail:delivery     after  main       per recipient
+ msg:fail:internal     after  main       per recipient
+ tcp:connect           before transport  per connection
+ tcp:close             after  transport  per connection
+ tls:cert              before both       per certificate in verification chain
+ smtp:connect          after  transport  per connection
+
+The expansion is called for all event types, and should use the $event_name
  value to decide when to act.  The variable data is a colon-separated
  list, describing an event tree.
  
  value to decide when to act.  The variable data is a colon-separated
  list, describing an event tree.
  
-There is an auxilary variable, $tpda_data, for which the
+There is an auxilary variable, $event_data, for which the
  content is event_dependent:
  
         msg:delivery            smtp confirmation mssage
  content is event_dependent:
  
         msg:delivery            smtp confirmation mssage
@@ -805,7 +806,7 @@ content is event_dependent:
         tls:cert                verification chain depth
         smtp:connect            smtp banner
  
         tls:cert                verification chain depth
         smtp:connect            smtp banner
  
-The msg:host:defer event populates one extra variable, $tpda_defer_errno.
+The msg:host:defer event populates one extra variable, $event_defer_errno.
  
  The following variables are likely to be useful depending on the event type:
  
  
  The following variables are likely to be useful depending on the event type:
  
@@ -815,12 +816,12 @@ The following variables are likely to be useful depending on the event type:
         tls_out_peercert
         lookup_dnssec_authenticated, tls_out_dane
         sending_ip_address, sending_port
         tls_out_peercert
         lookup_dnssec_authenticated, tls_out_dane
         sending_ip_address, sending_port
-       message_exim_id
+       message_exim_id, verify_mode
  
  
  An example might look like:
  
  
  
  An example might look like:
  
-tpda_event_action = ${if = {msg:delivery}{$tpda_event} \
+event_action = ${if eq {msg:delivery}{$event_name} \
  {${lookup pgsql {SELECT * FROM record_Delivery( \
      '${quote_pgsql:$sender_address_domain}',\
      '${quote_pgsql:${lc:$sender_address_local_part}}', \
  {${lookup pgsql {SELECT * FROM record_Delivery( \
      '${quote_pgsql:$sender_address_domain}',\
      '${quote_pgsql:${lc:$sender_address_local_part}}', \
@@ -831,12 +832,12 @@ tpda_event_action = ${if = {msg:delivery}{$tpda_event} \
      '${quote_pgsql:$message_exim_id}')}} \
  } {}}
  
      '${quote_pgsql:$message_exim_id}')}} \
  } {}}
  
-The string is expanded for each of the supported events and any
-side-effects will happen.  The result is then discarded.
+The string is expanded when each of the supported events occur
+and any side-effects of the expansion will happen.
  Note that for complex operations an ACL expansion can be used.
  
  
  Note that for complex operations an ACL expansion can be used.
  
  
-The expansion of the tpda_event_action option should normally
+The expansion of the event_action option should normally
  return an empty string.  Should it return anything else the
  following will be forced:
  
  return an empty string.  Should it return anything else the
  following will be forced:
  
@@ -848,8 +849,13 @@ following will be forced:
         tls:cert        refuse verification
         smtp:connect    close connection
  
         tls:cert        refuse verification
         smtp:connect    close connection
  
+No other use is made of the result string.
  
  
  
  
+Known issues:
+- the tls:cert event is only called for the cert chain elements
+  received over the wire, with GnuTLS.  OpenSSL gives the entire
+  chain including thse loaded locally.
  
  
  Redis Lookup
  
  
  Redis Lookup
@@ -1138,22 +1144,6 @@ the next hop does not support DSN.
  Adding it to a redirect router makes no difference.
  
  
  Adding it to a redirect router makes no difference.
  
  
-Certificate name checking
---------------------------------------------------------------
-The X509 certificates used for TLS are supposed be verified
-that they are owned by the expected host.  The coding of TLS
-support to date has not made these checks.
-
-If built with EXPERIMENTAL_CERTNAMES defined, code is
-included to do so, and a new smtp transport option
-"tls_verify_cert_hostname" supported which takes a list of
-names for which the checks must be made.  The host must
-also be in "tls_verify_hosts".
-
-Both Subject and Subject-Alternate-Name certificate fields
-are supported, as are wildcard certificates (limited to
-a single wildcard being the initial component of a 3-or-more
-component FQDN).
  
  
  DANE
  
  
  DANE
@@ -1277,12 +1267,13 @@ MX, A and TLSA records.
  
  A TLSA lookup will be done if either of the above options match
  and the host-lookup succeded using dnssec.
  
  A TLSA lookup will be done if either of the above options match
  and the host-lookup succeded using dnssec.
-If the TLSA lookup succeeds, a TLS connection will be required
-for the host.
+If a TLSA lookup is done and succeeds, a DANE-verified TLS connection
+will be required for the host.
  
  (TODO: specify when fallback happens vs. when the host is not used)
  
  
  (TODO: specify when fallback happens vs. when the host is not used)
  
-If dane is in use the following transport options are ignored:
+If DANE is requested and useable (see above) the following transport
+options are ignored:
    hosts_require_tls
    tls_verify_hosts
    tls_try_verify_hosts
    hosts_require_tls
    tls_verify_hosts
    tls_try_verify_hosts
@@ -1290,6 +1281,10 @@ If dane is in use the following transport options are ignored:
    tls_crl
    tls_verify_cert_hostnames
  
    tls_crl
    tls_verify_cert_hostnames
  
+If DANE is not usable, whether requested or not, and CA-anchored
+verification evaluation is wanted, the above variables should be set
+appropriately.
+
  Currently dnssec_request_domains must be active (need to think about that)
  and dnssec_require_domains is ignored.
  
  Currently dnssec_request_domains must be active (need to think about that)
  and dnssec_require_domains is ignored.
  
@@ -1298,7 +1293,7 @@ in the delivery log line will show as "CV=dane".
  
  There is a new variable $tls_out_dane which will have "yes" if
  verification succeeded using DANE and "no" otherwise (only useful
  
  There is a new variable $tls_out_dane which will have "yes" if
  verification succeeded using DANE and "no" otherwise (only useful
-in combination with EXPERIMENTAL_TPDA), and a new variable
+in combination with EXPERIMENTAL_EVENT), and a new variable
  $tls_out_tlsa_usage (detailed above).
  
  
  $tls_out_tlsa_usage (detailed above).