Testcases

[exim.git] / doc / doc-docbook / spec.xfpt
diff --git a/doc/doc-docbook/spec.xfpt b/doc/doc-docbook/spec.xfpt

index 4b9f53ed14073603c012951509783ef90b0abbae..abf69a00de0ff260b022cdacee696c3fb8706445 100644 (file)
--- a/doc/doc-docbook/spec.xfpt
+++ b/doc/doc-docbook/spec.xfpt
@@ -52,7 +52,7 @@
  .set I   "&nbsp;&nbsp;&nbsp;&nbsp;"
  
  .macro copyyear
  .set I   "&nbsp;&nbsp;&nbsp;&nbsp;"
  
  .macro copyyear
-2013
+2014
  .endmacro
  
  . /////////////////////////////////////////////////////////////////////////////
  .endmacro
  
  . /////////////////////////////////////////////////////////////////////////////
@@ -7040,6 +7040,18 @@ With sufficiently modern LDAP libraries, Exim supports forcing TLS over regular
  LDAP connections, rather than the SSL-on-connect &`ldaps`&.
  See the &%ldap_start_tls%& option.
  
  LDAP connections, rather than the SSL-on-connect &`ldaps`&.
  See the &%ldap_start_tls%& option.
  
+.new
+Starting with Exim 4.83, the initialization of LDAP with TLS is more tightly
+controlled. Every part of the TLS configuration can be configured by settings in
+&_exim.conf_&. Depending on the version of the client libraries installed on
+your system, some of the initialization may have required setting options in
+&_/etc/ldap.conf_& or &_~/.ldaprc_& to get TLS working with self-signed
+certificates. This revealed a nuance where the current UID that exim was
+running as could affect which config files it read. With Exim 4.83, these
+methods become optional, only taking effect if not specifically set in
+&_exim.conf_&.
+.wen
+
  
  .section "LDAP quoting" "SECID68"
  .cindex "LDAP" "quoting"
  
  .section "LDAP quoting" "SECID68"
  .cindex "LDAP" "quoting"
@@ -9169,6 +9181,44 @@ of <&'string2'&>, whichever is the shorter. Do not confuse &%length%& with
  &%strlen%&, which gives the length of a string.
  
  
  &%strlen%&, which gives the length of a string.
  
  
+.vitem "&*${listextract{*&<&'number'&>&*}&&&
+        {*&<&'string1'&>&*}{*&<&'string2'&>&*}{*&<&'string3'&>&*}}*&"
+.cindex "expansion" "extracting list elements by number"
+.cindex "&%listextract%&" "extract list elements by number"
+.cindex "list" "extracting elements by number"
+The <&'number'&> argument must consist entirely of decimal digits,
+apart from an optional leading minus,
+and leading and trailing white space (which is ignored).
+
+After expansion, <&'string1'&> is interpreted as a list, colon-separated by
+default, but the separator can be changed in the usual way.
+
+The first field of the list is numbered one.
+If the number is negative, the fields are
+counted from the end of the list, with the rightmost one numbered -1.
+The numbered element of the list is extracted and placed in &$value$&,
+then <&'string2'&> is expanded as the result.
+
+If the modulus of the
+number is zero or greater than the number of fields in the string,
+the result is the expansion of <&'string3'&>.
+
+For example:
+.code
+${listextract{2}{x:42:99}}
+.endd
+yields &"42"&, and
+.code
+${listextract{-3}{<, x,42,99,& Mailer,,/bin/bash}{result: $value}}
+.endd
+yields &"result: 99"&.
+
+If {<&'string3'&>} is omitted, an empty string is used for string3.
+If {<&'string2'&>} is also omitted, the value that was
+extracted is used.
+You can use &`fail`& instead of {<&'string3'&>} as in a string extract.
+
+
  .vitem "&*${lookup{*&<&'key'&>&*}&~*&<&'search&~type'&>&*&~&&&
          {*&<&'file'&>&*}&~{*&<&'string1'&>&*}&~{*&<&'string2'&>&*}}*&"
  This is the first of one of two different types of lookup item, which are both
  .vitem "&*${lookup{*&<&'key'&>&*}&~*&<&'search&~type'&>&*&~&&&
          {*&<&'file'&>&*}&~{*&<&'string1'&>&*}&~{*&<&'string2'&>&*}}*&"
  This is the first of one of two different types of lookup item, which are both
@@ -13640,6 +13690,9 @@ a very large time at the end of the list. For example:
  .code
  delay_warning = 2h:12h:99d
  .endd
  .code
  delay_warning = 2h:12h:99d
  .endd
+Note that the option is only evaluated at the time a delivery attempt fails,
+which depends on retry and queue-runner configuration.
+Typically retries will be configured more frequently than warning messages.
  
  .option delay_warning_condition main string&!! "see below"
  .vindex "&$domain$&"
  
  .option delay_warning_condition main string&!! "see below"
  .vindex "&$domain$&"
@@ -22965,6 +23018,14 @@ unknown state), opens a new one to the same host, and then tries the delivery
  in clear.
  
  
  in clear.
  
  
+.option tls_try_verify_hosts smtp "host list&!! unset
+.cindex "TLS" "server certificate verification"
+.cindex "certificate" "verification of server"
+For OpenSSL only, this option gives a list of hosts for which, on encrypted connections,
+certificate verification will be tried but need not succeed.
+The &%tls_verify_certificates%& option must also be set.
+
+
  .option tls_verify_certificates smtp string&!! unset
  .cindex "TLS" "server certificate verification"
  .cindex "certificate" "verification of server"
  .option tls_verify_certificates smtp string&!! unset
  .cindex "TLS" "server certificate verification"
  .cindex "certificate" "verification of server"
@@ -22979,6 +23040,20 @@ single file if you are using GnuTLS. The values of &$host$& and
  &$host_address$& are set to the name and address of the server during the
  expansion of this option. See chapter &<<CHAPTLS>>& for details of TLS.
  
  &$host_address$& are set to the name and address of the server during the
  expansion of this option. See chapter &<<CHAPTLS>>& for details of TLS.
  
+For back-compatability, or when GnuTLS is used,
+if neither tls_verify_hosts nor tls_try_verify_hosts are set
+and certificate verification fails the TLS connection is closed.
+
+
+.option tls_verify_hosts smtp "host list&!! unset
+.cindex "TLS" "server certificate verification"
+.cindex "certificate" "verification of server"
+For OpenSSL only, this option gives a list of hosts for which. on encrypted connections,
+certificate verification must succeed.
+The &%tls_verify_certificates%& option must also be set.
+If both this option and &%tls_try_verify_hosts%& are unset
+operation is as if this option selected all hosts.
+
  
  
  
  
  
  
@@ -25880,6 +25955,12 @@ for OpenSSL only (not GnuTLS), a directory, that contains a collection of
  expected server certificates. The client verifies the server's certificate
  against this collection, taking into account any revoked certificates that are
  in the list defined by &%tls_crl%&.
  expected server certificates. The client verifies the server's certificate
  against this collection, taking into account any revoked certificates that are
  in the list defined by &%tls_crl%&.
+Failure to verify fails the TLS connection unless either of the
+&%tls_verify_hosts%& or &%tls_try_verify_hosts%& options are set.
+
+The &%tls_verify_hosts%& and &%tls_try_verify_hosts%& options restrict
+certificate verification to the listed servers.  Verification either must
+or need not succeed respectively.
  
  If
  &%tls_require_ciphers%& is set on the &(smtp)& transport, it must contain a
  
  If
  &%tls_require_ciphers%& is set on the &(smtp)& transport, it must contain a
@@ -27239,7 +27320,12 @@ It is usable in the RCPT ACL and valid only for single-recipient mails forwarded
  from one SMTP connection to another.  If a recipient-verify callout connection is
  requested in the same ACL it is held open and used for the data, otherwise one is made
  after the ACL completes.
  from one SMTP connection to another.  If a recipient-verify callout connection is
  requested in the same ACL it is held open and used for the data, otherwise one is made
  after the ACL completes.
-Note that routers are used in verify mode.
+
+Note that routers are used in verify mode.  Note also that headers cannot be
+modified by any of the post-data ACLs (DATA, MIME and DKIM).
+Cutthrough delivery is not supported via transport-filters or when DKIM signing
+of outgoing messages is done, because it sends data to the ultimate destination
+before the entire message has been received from the source.
  
  Should the ultimate destination system positively accept or reject the mail,
  a corresponding indication is given to the source system and nothing is queued.
  
  Should the ultimate destination system positively accept or reject the mail,
  a corresponding indication is given to the source system and nothing is queued.
@@ -27493,12 +27579,15 @@ warn dnslists = sbl.spamhaus.org : \
       add_header = X-blacklisted-at: $dnslist_domain
  .endd
  The &%add_header%& modifier is permitted in the MAIL, RCPT, PREDATA, DATA,
       add_header = X-blacklisted-at: $dnslist_domain
  .endd
  The &%add_header%& modifier is permitted in the MAIL, RCPT, PREDATA, DATA,
-MIME, and non-SMTP ACLs (in other words, those that are concerned with
+MIME, DKIM, and non-SMTP ACLs (in other words, those that are concerned with
  receiving a message). The message must ultimately be accepted for
  &%add_header%& to have any significant effect. You can use &%add_header%& with
  any ACL verb, including &%deny%& (though this is potentially useful only in a
  RCPT ACL).
  
  receiving a message). The message must ultimately be accepted for
  &%add_header%& to have any significant effect. You can use &%add_header%& with
  any ACL verb, including &%deny%& (though this is potentially useful only in a
  RCPT ACL).
  
+Headers will not be added to the message if the modifier is used in
+DATA, MIME or DKIM ACLs for messages delivered by cutthrough routing.
+
  Leading and trailing newlines are removed from
  the data for the &%add_header%& modifier; if it then
  contains one or more newlines that
  Leading and trailing newlines are removed from
  the data for the &%add_header%& modifier; if it then
  contains one or more newlines that
@@ -27592,12 +27681,15 @@ warn   message        = Remove internal headers
         remove_header  = x-route-mail1 : x-route-mail2
  .endd
  The &%remove_header%& modifier is permitted in the MAIL, RCPT, PREDATA, DATA,
         remove_header  = x-route-mail1 : x-route-mail2
  .endd
  The &%remove_header%& modifier is permitted in the MAIL, RCPT, PREDATA, DATA,
-MIME, and non-SMTP ACLs (in other words, those that are concerned with
+MIME, DKIM, and non-SMTP ACLs (in other words, those that are concerned with
  receiving a message). The message must ultimately be accepted for
  &%remove_header%& to have any significant effect. You can use &%remove_header%&
  with any ACL verb, including &%deny%&, though this is really not useful for
  any verb that doesn't result in a delivered message.
  
  receiving a message). The message must ultimately be accepted for
  &%remove_header%& to have any significant effect. You can use &%remove_header%&
  with any ACL verb, including &%deny%&, though this is really not useful for
  any verb that doesn't result in a delivered message.
  
+Headers will not be removed to the message if the modifier is used in
+DATA, MIME or DKIM ACLs for messages delivered by cutthrough routing.
+
  More than one header can be removed at the same time by using a colon separated
  list of header names. The header matching is case insensitive. Wildcards are
  not permitted, nor is list expansion performed, so you cannot use hostlists to
  More than one header can be removed at the same time by using a colon separated
  list of header names. The header matching is case insensitive. Wildcards are
  not permitted, nor is list expansion performed, so you cannot use hostlists to
@@ -36285,7 +36377,9 @@ disabled by setting DISABLE_DKIM=yes in Local/Makefile.
  Exim's DKIM implementation allows to
  .olist
  Sign outgoing messages: This function is implemented in the SMTP transport.
  Exim's DKIM implementation allows to
  .olist
  Sign outgoing messages: This function is implemented in the SMTP transport.
-It can co-exist with all other Exim features, including transport filters.
+It can co-exist with all other Exim features
+(including transport filters)
+except cutthrough delivery.
  .next
  Verify signatures in incoming messages: This is implemented by an additional
  ACL (acl_smtp_dkim), which can be called several times per message, with
  .next
  Verify signatures in incoming messages: This is implemented by an additional
  ACL (acl_smtp_dkim), which can be called several times per message, with
@@ -36376,6 +36470,10 @@ used.
  Verification of DKIM signatures in incoming email is implemented via the
  &%acl_smtp_dkim%& ACL. By default, this ACL is called once for each
  syntactically(!) correct signature in the incoming message.
  Verification of DKIM signatures in incoming email is implemented via the
  &%acl_smtp_dkim%& ACL. By default, this ACL is called once for each
  syntactically(!) correct signature in the incoming message.
+A missing ACL definition defaults to accept.
+If any ACL call does not acccept, the message is not accepted.
+If a cutthrough delivery was in progress for the message it is
+summarily dropped (having wasted the transmission effort).
  
  To evaluate the signature in the ACL a large number of expansion variables
  containing the signature status and its details are set up during the
  
  To evaluate the signature in the ACL a large number of expansion variables
  containing the signature status and its details are set up during the