Testsuite: tidying GnuTLS with TLS1.3

[exim.git] / test / runtest
diff --git a/test/runtest b/test/runtest

index 0021f3ecc3732bcb436188aabf4df662e04a039b..10ae833ffea1f16ae2ee7f611fb05824e0f00e3b 100755 (executable)
--- a/test/runtest
+++ b/test/runtest
@@ -460,7 +460,9 @@ RESET_AFTER_EXTRA_LINE_READ:
      {
      my($date1,$date2,$date3,$expired) = ($1,$2,$3,$4);
      $expired = '' if !defined $expired;
      {
      my($date1,$date2,$date3,$expired) = ($1,$2,$3,$4);
      $expired = '' if !defined $expired;
-    my($increment) = date_seconds($date3) - date_seconds($date2);
+
+    # Round the time-difference up to nearest even value
+    my($increment) = ((date_seconds($date3) - date_seconds($date2) + 1) >> 1) << 1;
  
      # We used to use globally unique replacement values, but timing
      # differences make this impossible. Just show the increment on the
  
      # We used to use globally unique replacement values, but timing
      # differences make this impossible. Just show the increment on the
@@ -474,6 +476,13 @@ RESET_AFTER_EXTRA_LINE_READ:
    # more_errno values in exim_dumpdb output which are times
    s/T:(\S+)\s-22\s(\S+)\s/T:$1 -22 xxxx /;
  
    # more_errno values in exim_dumpdb output which are times
    s/T:(\S+)\s-22\s(\S+)\s/T:$1 -22 xxxx /;
  
+  # port numbers in dumpdb output
+  s/T:([a-z.]+(:[0-9.]+)?):$parm_port_n /T:$1:PORT_N /;
+
+  # port numbers in stderr
+  s/^set_process_info: .*\]:\K$parm_port_d /PORT_D /;
+  s/^set_process_info: .*\]:\K$parm_port_s /PORT_S /;
+
  
    # ======== Dates and times ========
  
  
    # ======== Dates and times ========
  
@@ -485,10 +494,22 @@ RESET_AFTER_EXTRA_LINE_READ:
    # Date/time in header lines and SMTP responses
    s/[A-Z][a-z]{2},\s\d\d?\s[A-Z][a-z]{2}\s\d\d\d\d\s\d\d\:\d\d:\d\d\s[-+]\d{4}
      /Tue, 2 Mar 1999 09:44:33 +0000/gx;
    # Date/time in header lines and SMTP responses
    s/[A-Z][a-z]{2},\s\d\d?\s[A-Z][a-z]{2}\s\d\d\d\d\s\d\d\:\d\d:\d\d\s[-+]\d{4}
      /Tue, 2 Mar 1999 09:44:33 +0000/gx;
+  # and in a French locale
+  s/\S{4},\s\d\d?\s[^,]+\s\d\d\d\d\s\d\d\:\d\d:\d\d\s[-+]\d{4}
+    /dim., 10 f\xE9vr 2019 20:05:49 +0000/gx;
  
    # Date/time in logs and in one instance of a filter test
  
    # Date/time in logs and in one instance of a filter test
-  s/^\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d(\s[+-]\d\d\d\d)?/1999-03-02 09:44:33/gx;
+  s/^\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d(\s[+-]\d\d\d\d)?\s/1999-03-02 09:44:33 /gx;
+  s/^\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d\.\d{3}(\s[+-]\d\d\d\d)?\s/2017-07-30 18:51:05.712 /gx;
    s/^Logwrite\s"\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d/Logwrite "1999-03-02 09:44:33/gx;
    s/^Logwrite\s"\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d/Logwrite "1999-03-02 09:44:33/gx;
+  # Date/time in syslog test
+  s/^SYSLOG:\s\'\K\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d\s/2017-07-30 18:51:05 /gx;
+  s/^SYSLOG:\s\'\K\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d\.\d{3}\s/2017-07-30 18:51:05.712 /gx;
+  s/^SYSLOG:\s\'\K\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d\s[+-]\d\d\d\d\s/2017-07-30 18:51:05 +9999 /gx;
+  s/^SYSLOG:\s\'\K\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d\.\d{3}\s[+-]\d\d\d\d\s/2017-07-30 18:51:05.712 +9999 /gx;
+
+  s/((D|[RQD]T)=)\d+s/$1qqs/g;
+  s/((D|[RQD]T)=)\d\.\d{3}s/$1q.qqqs/g;
  
    # Date/time in message separators
    s/(?:[A-Z][a-z]{2}\s){2}\d\d\s\d\d:\d\d:\d\d\s\d\d\d\d
  
    # Date/time in message separators
    s/(?:[A-Z][a-z]{2}\s){2}\d\d\s\d\d:\d\d:\d\d\s\d\d\d\d
@@ -506,7 +527,7 @@ RESET_AFTER_EXTRA_LINE_READ:
      my($next) = $3 - $2;
      $_ = "  first failed=dddd last try=dddd next try=+$next $4\n";
      }
      my($next) = $3 - $2;
      $_ = "  first failed=dddd last try=dddd next try=+$next $4\n";
      }
-  s/^(\s*)now=\d+ first_failed=\d+ next_try=\d+ expired=(\d)/$1now=tttt first_failed=tttt next_try=tttt expired=$2/;
+  s/^(\s*)now=\d+ first_failed=\d+ next_try=\d+ expired=(\w)/$1now=tttt first_failed=tttt next_try=tttt expired=$2/;
    s/^(\s*)received_time=\d+ diff=\d+ timeout=(\d+)/$1received_time=tttt diff=tttt timeout=$2/;
  
    # Time to retry may vary
    s/^(\s*)received_time=\d+ diff=\d+ timeout=(\d+)/$1received_time=tttt diff=tttt timeout=$2/;
  
    # Time to retry may vary
@@ -517,9 +538,6 @@ RESET_AFTER_EXTRA_LINE_READ:
    # Date/time in exim -bV output
    s/\d\d-[A-Z][a-z]{2}-\d{4}\s\d\d:\d\d:\d\d/07-Mar-2000 12:21:52/g;
  
    # Date/time in exim -bV output
    s/\d\d-[A-Z][a-z]{2}-\d{4}\s\d\d:\d\d:\d\d/07-Mar-2000 12:21:52/g;
  
-  # Time on queue tolerance
-  s/(QT|D)=1s/$1=0s/;
-
    # Eximstats heading
    s/Exim\sstatistics\sfrom\s\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d\sto\s
      \d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d/Exim statistics from <time> to <time>/x;
    # Eximstats heading
    s/Exim\sstatistics\sfrom\s\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d\sto\s
      \d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d/Exim statistics from <time> to <time>/x;
@@ -532,30 +550,52 @@ RESET_AFTER_EXTRA_LINE_READ:
    # Test machines might have various different TLS library versions supporting
    # different protocols; can't rely upon TLS 1.2's AES256-GCM-SHA384, so we
    # treat the standard algorithms the same.
    # Test machines might have various different TLS library versions supporting
    # different protocols; can't rely upon TLS 1.2's AES256-GCM-SHA384, so we
    # treat the standard algorithms the same.
+  #
+  # TLSversion : KeyExchange? - Authentication/Signature - C_iph_er - MAC : ???
+  #
    # So far, have seen:
    #   TLSv1:AES128-GCM-SHA256:128
    #   TLSv1:AES256-SHA:256
    #   TLSv1.1:AES256-SHA:256
    #   TLSv1.2:AES256-GCM-SHA384:256
    #   TLSv1.2:DHE-RSA-AES256-SHA:256
    # So far, have seen:
    #   TLSv1:AES128-GCM-SHA256:128
    #   TLSv1:AES256-SHA:256
    #   TLSv1.1:AES256-SHA:256
    #   TLSv1.2:AES256-GCM-SHA384:256
    #   TLSv1.2:DHE-RSA-AES256-SHA:256
+  #   TLSv1.3:TLS_AES_256_GCM_SHA384:256
    #   TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128
    # We also need to handle the ciphersuite without the TLS part present, for
    # client-ssl's output.  We also see some older forced ciphersuites, but
    # negotiating TLS 1.2 instead of 1.0.
    # Mail headers (...), log-lines X=..., client-ssl output ...
    # (and \b doesn't match between ' ' and '(' )
    #   TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128
    # We also need to handle the ciphersuite without the TLS part present, for
    # client-ssl's output.  We also see some older forced ciphersuites, but
    # negotiating TLS 1.2 instead of 1.0.
    # Mail headers (...), log-lines X=..., client-ssl output ...
    # (and \b doesn't match between ' ' and '(' )
+  #
+  # Retain the authentication algorith field as we want to test that.
  
  
-  s/( (?: (?:\b|\s) [\(=] ) | \s )TLSv1\.[12]:/$1TLSv1:/xg;
-  s/\bAES128-GCM-SHA256:128\b/AES256-SHA:256/g;
-  s/\bAES128-GCM-SHA256\b/AES256-SHA/g;
-  s/\bAES256-GCM-SHA384\b/AES256-SHA/g;
-  s/\bDHE-RSA-AES256-SHA\b/AES256-SHA/g;
+  s/( (?: (?:\b|\s) [\(=] ) | \s )TLSv1(\.[123])?:/$1TLS1.x:/xg;
+  s/(?<!ke-)((EC)?DHE-)?(RSA|ECDSA)-AES(128|256)-(GCM-SHA(256|384)|SHA)(?!:)/ke-$3-AES256-SHAnnn/g;
+  s/(?<!ke-)((EC)?DHE-)?(RSA|ECDSA)-AES(128|256)-(GCM-SHA(256|384)|SHA):(128|256)/ke-$3-AES256-SHAnnn:xxx/g;
+
+  # OpenSSL TLSv1.3 - unsure what to do about the authentication-variant testcases now,
+  # as it seems the protocol no longer supports a user choice.  Replace the "TLS" field with "RSA".
+  # Also insert a key-exchange field for back-compat, even though 1.3 doesn't do that.
+  #
+  # TLSversion : "TLS" - C_iph_er - MAC : ???
+  #
+  s/TLS_AES(_256)?_GCM_SHA384(?!:)/ke-RSA-AES256-SHAnnn/g;
+  s/:TLS_AES(_256)?_GCM_SHA384:256/:ke-RSA-AES256-SHAnnn:xxx/g;
  
    # LibreSSL
  
    # LibreSSL
+  # TLSv1:AES256-GCM-SHA384:256
    # TLSv1:ECDHE-RSA-CHACHA20-POLY1305:256
    # TLSv1:ECDHE-RSA-CHACHA20-POLY1305:256
-  s/\bECDHE-RSA-CHACHA20-POLY1305\b/AES256-SHA/g;
+  #
+  # ECDHE-RSA-CHACHA20-POLY1305
+  # AES256-GCM-SHA384
+
+  s/(?<!-)(AES256-GCM-SHA384)/RSA-$1/;
+  s/(?<!ke-)((EC)?DHE-)?(RSA|ECDSA)-(AES256|CHACHA20)-(GCM-SHA384|POLY1305)(?!:)/ke-$3-AES256-SHAnnn/g;
+  s/(?<!ke-)((EC)?DHE-)?(RSA|ECDSA)-(AES256|CHACHA20)-(GCM-SHA384|POLY1305):256/ke-$3-AES256-SHAnnn:xxx/g;
  
    # GnuTLS have seen:
  
    # GnuTLS have seen:
+  #   TLS1.3:ECDHE_RSA_AES_256_GCM_SHA384:256
+  #
    #   TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256
    #   TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128
    #   TLS1.2:RSA_AES_256_CBC_SHA1:256 (canonical)
    #   TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256
    #   TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128
    #   TLS1.2:RSA_AES_256_CBC_SHA1:256 (canonical)
@@ -570,14 +610,15 @@ RESET_AFTER_EXTRA_LINE_READ:
    #   DHE-RSA-AES256-SHA256
    #   DHE-RSA-AES256-SHA
    # picking latter as canonical simply because regex easier that way.
    #   DHE-RSA-AES256-SHA256
    #   DHE-RSA-AES256-SHA
    # picking latter as canonical simply because regex easier that way.
-  s/\bDHE_RSA_AES_128_CBC_SHA1:128/RSA_AES_256_CBC_SHA1:256/g;
-  s/TLS1.[012]:((EC)?DHE_)?RSA_AES_(256|128)_(CBC|GCM)_SHA(1|256|384):(256|128)/TLS1.x:xxxxRSA_AES_256_CBC_SHAnnn:256/g;
-  s/\b(ECDHE-RSA-AES256-SHA|DHE-RSA-AES256-SHA256)\b/AES256-SHA/g;
+  s/\bDHE_RSA_AES_128_CBC_SHA1:128/RSA-AES256-SHA1:256/g;
+  s/TLS1.[0123]:((EC)?DHE_)?(RSA|ECDSA)_AES_(256|128)_(CBC|GCM)_SHA(1|256|384):(256|128)/TLS1.x:ke-$3-AES256-SHAnnn:xxx/g;
+  s/\b(ECDHE-(RSA|ECDSA)-AES256-SHA|DHE-RSA-AES256-SHA256)\b/ke-$2-AES256-SHAnnn/g;
  
    # GnuTLS library error message changes
    s/No certificate was found/The peer did not send any certificate/g;
  #(dodgy test?)  s/\(certificate verification failed\): invalid/\(gnutls_handshake\): The peer did not send any certificate./g;
    s/\(gnutls_priority_set\): No or insufficient priorities were set/\(gnutls_handshake\): Could not negotiate a supported cipher suite/g;
  
    # GnuTLS library error message changes
    s/No certificate was found/The peer did not send any certificate/g;
  #(dodgy test?)  s/\(certificate verification failed\): invalid/\(gnutls_handshake\): The peer did not send any certificate./g;
    s/\(gnutls_priority_set\): No or insufficient priorities were set/\(gnutls_handshake\): Could not negotiate a supported cipher suite/g;
+  s/\(gnutls_handshake\): \KNo supported cipher suites have been found.$/Could not negotiate a supported cipher suite./;
  
    # (this new one is a generic channel-read error, but the testsuite
    # only hits it in one place)
  
    # (this new one is a generic channel-read error, but the testsuite
    # only hits it in one place)
@@ -653,7 +694,7 @@ RESET_AFTER_EXTRA_LINE_READ:
  
    s/\bgid=\d+/gid=gggg/;
    s/\begid=\d+/egid=gggg/;
  
    s/\bgid=\d+/gid=gggg/;
    s/\begid=\d+/egid=gggg/;
-  s/\bpid=\d+/pid=pppp/;
+  s/\b(pid=|PID: )\d+/$1pppp/;
    s/\buid=\d+/uid=uuuu/;
    s/\beuid=\d+/euid=uuuu/;
    s/set_process_info:\s+\d+/set_process_info: pppp/;
    s/\buid=\d+/uid=uuuu/;
    s/\beuid=\d+/euid=uuuu/;
    s/set_process_info:\s+\d+/set_process_info: pppp/;
@@ -667,8 +708,12 @@ RESET_AFTER_EXTRA_LINE_READ:
    s"test-mail/temp\.\d+\."test-mail/temp.pppp.";
  
    # Optional pid in log lines
    s"test-mail/temp\.\d+\."test-mail/temp.pppp.";
  
    # Optional pid in log lines
-  s/^(\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d)(\s[+-]\d\d\d\d|)(\s\[\d+\])/
-    "$1$2 [" . new_value($3, "%s", \$next_pid) . "]"/gxe;
+  s/^(\d{4}-\d\d-\d\d\s\d\d:\d\d:\d\d)(\.\d{3}|)(\s[+-]\d{4}|)(\s\[\d+\])/
+    "$1$2$3 [" . new_value($4, "%s", \$next_pid) . "]"/gxe;
+
+  # Optional pid in syslog test lines
+  s/^(SYSLOG:\s\'([-0-9]{10}\s[:.0-9]{8,12}\s([-+]\d{4}\s)?|))(\[\d+\] )/
+    "$1\[" . new_value($4, "%s", \$next_pid) . "]"/gxe;
  
    # Detect a daemon stderr line with a pid and save the pid for subsequent
    # removal from following lines.
  
    # Detect a daemon stderr line with a pid and save the pid for subsequent
    # removal from following lines.
@@ -902,7 +947,9 @@ RESET_AFTER_EXTRA_LINE_READ:
      next if /^SSL info:/;
      next if /SSL verify error: depth=0 error=certificate not trusted/;
      s/SSL3_READ_BYTES/ssl3_read_bytes/i;
      next if /^SSL info:/;
      next if /SSL verify error: depth=0 error=certificate not trusted/;
      s/SSL3_READ_BYTES/ssl3_read_bytes/i;
-    s/^\d+:error:\d+(:SSL routines:ssl3_read_bytes:[^:]+:).*(:SSL alert number \d\d)$/pppp:error:dddddddd$1\[...\]$2/;
+    s/CONNECT_CR_FINISHED/ssl3_read_bytes/i;
+    s/^\d+:error:\d+(?:E\d+)?(:SSL routines:ssl3_read_bytes:[^:]+:).*(:SSL alert number \d\d)$/pppp:error:dddddddd$1\[...\]$2/;
+    s/^error:[^:]*:(SSL routines:ssl3_read_bytes:(tls|ssl)v\d+ alert)/error:dddddddd:$1/;
  
      # gnutls version variances
      next if /^Error in the pull function./;
  
      # gnutls version variances
      next if /^Error in the pull function./;
@@ -910,6 +957,16 @@ RESET_AFTER_EXTRA_LINE_READ:
      # optional IDN2 variant conversions.  Accept either IDN1 or IDN2
      s/conversion  strasse.de/conversion  xn--strae-oqa.de/;
      s/conversion: german.xn--strae-oqa.de/conversion: german.straße.de/;
      # optional IDN2 variant conversions.  Accept either IDN1 or IDN2
      s/conversion  strasse.de/conversion  xn--strae-oqa.de/;
      s/conversion: german.xn--strae-oqa.de/conversion: german.straße.de/;
+
+    # subsecond timstamp info in reported header-files
+    s/^(-received_time_usec \.)\d{6}$/$1uuuuuu/;
+
+    # Postgres server takes varible time to shut down; lives in various places
+    s/^waiting for server to shut down\.+ done$/waiting for server to shut down.... done/;
+    s/^\/.*postgres /POSTGRES /;
+
+    # ARC is not always supported by the build
+    next if /^arc_sign =/;
      }
  
    # ======== stderr ========
      }
  
    # ======== stderr ========
@@ -920,15 +977,19 @@ RESET_AFTER_EXTRA_LINE_READ:
  
      s/^Exim version .*/Exim version x.yz ..../;
  
  
      s/^Exim version .*/Exim version x.yz ..../;
  
-    # Debugging lines for Exim terminations
+    # Debugging lines for Exim terminations and process-generation
  
      s/(?<=^>>>>>>>>>>>>>>>> Exim pid=)\d+(?= terminating)/pppp/;
  
      s/(?<=^>>>>>>>>>>>>>>>> Exim pid=)\d+(?= terminating)/pppp/;
+    s/^(proxy-proc \w{5}-pid) \d+$/$1 pppp/;
  
      # IP address lookups use gethostbyname() when IPv6 is not supported,
      # and gethostbyname2() or getipnodebyname() when it is.
  
      s/\b(gethostbyname2?|\bgetipnodebyname)(\(af=inet\))?/get[host|ipnode]byname[2]/;
  
  
      # IP address lookups use gethostbyname() when IPv6 is not supported,
      # and gethostbyname2() or getipnodebyname() when it is.
  
      s/\b(gethostbyname2?|\bgetipnodebyname)(\(af=inet\))?/get[host|ipnode]byname[2]/;
  
+    # we don't care what TZ enviroment the testhost was running
+    next if /^Reset TZ to/;
+
      # drop gnutls version strings
      next if /GnuTLS compile-time version: \d+[\.\d]+$/;
      next if /GnuTLS runtime version: \d+[\.\d]+$/;
      # drop gnutls version strings
      next if /GnuTLS compile-time version: \d+[\.\d]+$/;
      next if /GnuTLS runtime version: \d+[\.\d]+$/;
@@ -986,7 +1047,7 @@ RESET_AFTER_EXTRA_LINE_READ:
      next if /name=localhost address=::1/;
  
      # drop pdkim debugging header
      next if /name=localhost address=::1/;
  
      # drop pdkim debugging header
-    next if /^PDKIM <<<<<<<<<<<<<<<<<<<<<<<<<<<<<+$/;
+    next if /^PDKIM( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<+|: no signatures)$/;
  
      # Various other IPv6 lines must be omitted too
  
  
      # Various other IPv6 lines must be omitted too
  
@@ -1029,12 +1090,14 @@ RESET_AFTER_EXTRA_LINE_READ:
      # Some DBM libraries seem to make DBM files on opening with O_RDWR without
      # O_CREAT; other's don't. In the latter case there is some debugging output
      # which is not present in the former. Skip the relevant lines (there are
      # Some DBM libraries seem to make DBM files on opening with O_RDWR without
      # O_CREAT; other's don't. In the latter case there is some debugging output
      # which is not present in the former. Skip the relevant lines (there are
-    # two of them).
+    # three of them).
  
  
-    if (/TESTSUITE\/spool\/db\/\S+ appears not to exist: trying to create/)
+    if (/returned from EXIM_DBOPEN: \(nil\)/)
        {
        {
-      $_ = <IN>;
-      next;
+      $_ .= <IN>;
+      s?\Q$parm_cwd\E?TESTSUITE?g;
+      if (/TESTSUITE\/spool\/db\/\S+ appears not to exist: trying to create/)
+       { $_ = <IN>; next; }
        }
  
      # Some tests turn on +expand debugging to check on expansions.
        }
  
      # Some tests turn on +expand debugging to check on expansions.
@@ -1055,15 +1118,26 @@ RESET_AFTER_EXTRA_LINE_READ:
  
      # Skip hosts_require_dane checks when the options
      # are unset, because dane ain't always there.
  
      # Skip hosts_require_dane checks when the options
      # are unset, because dane ain't always there.
-
      next if /in\shosts_require_dane\?\sno\s\(option\sunset\)/x;
  
      next if /in\shosts_require_dane\?\sno\s\(option\sunset\)/x;
  
+    # DISABLE_OCSP 
+    next if /in hosts_requ(est|ire)_ocsp\? (no|yes)/;
+
      # SUPPORT_PROXY
      next if /host in hosts_proxy\?/;
  
      # Experimental_International
      next if / in smtputf8_advertise_hosts\? no \(option unset\)/;
  
      # SUPPORT_PROXY
      next if /host in hosts_proxy\?/;
  
      # Experimental_International
      next if / in smtputf8_advertise_hosts\? no \(option unset\)/;
  
+    # Experimental_REQUIRETLS
+    next if / in tls_advertise_requiretls?\? no \(end of list\)/;
+
+    # TCP Fast Open
+    next if /^(ppppp )?setsockopt FASTOPEN: Network Error/;
+
+    # Experimental_PIPE_CONNECT
+    next if / in (pipelining_connect_advertise_hosts|hosts_pipe_connect)?\? no /;
+
      # Environment cleaning
      next if /\w+ in keep_environment\? (yes|no)/;
  
      # Environment cleaning
      next if /\w+ in keep_environment\? (yes|no)/;
  
@@ -1077,9 +1151,9 @@ RESET_AFTER_EXTRA_LINE_READ:
      if (s/(with \$received_protocol)\}\} \$\{if def:tls_cipher \{\(\$tls_cipher\)\n$/$1/)
        {
        $_ .= <IN>;
      if (s/(with \$received_protocol)\}\} \$\{if def:tls_cipher \{\(\$tls_cipher\)\n$/$1/)
        {
        $_ .= <IN>;
-      s/\s+\}\}(?=\(Exim )/\}\} /;
+      s/[\s╎]+\}\}(?=\(Exim )/\}\} /;
        }
        }
-    if (/^  condition: def:tls_cipher$/)
+    if (/^ ├──condition: def:tls_cipher$/)
        {
        <IN>; <IN>; <IN>; <IN>; <IN>; <IN>;
        <IN>; <IN>; <IN>; <IN>; <IN>; next;
        {
        <IN>; <IN>; <IN>; <IN>; <IN>; <IN>;
        <IN>; <IN>; <IN>; <IN>; <IN>; next;
@@ -1088,6 +1162,9 @@ RESET_AFTER_EXTRA_LINE_READ:
      # Not all platforms build with DKIM enabled
      next if /^PDKIM >> Body data for hash, canonicalized/;
  
      # Not all platforms build with DKIM enabled
      next if /^PDKIM >> Body data for hash, canonicalized/;
  
+    # Not all platforms have sendfile support
+    next if /^cannot use sendfile for body: no support$/;
+
      #  Parts of DKIM-specific debug output depend on the time/date
      next if /^date:\w+,\{SP\}/;
      next if /^PDKIM \[[^[]+\] (Header hash|b) computed:/;
      #  Parts of DKIM-specific debug output depend on the time/date
      next if /^date:\w+,\{SP\}/;
      next if /^PDKIM \[[^[]+\] (Header hash|b) computed:/;
@@ -1100,8 +1177,20 @@ RESET_AFTER_EXTRA_LINE_READ:
        s/Address family not supported by protocol family/Network Error/;
        s/Network is unreachable/Network Error/;
        }
        s/Address family not supported by protocol family/Network Error/;
        s/Network is unreachable/Network Error/;
        }
-
      next if /^(ppppp )?setsockopt FASTOPEN: Protocol not available$/;
      next if /^(ppppp )?setsockopt FASTOPEN: Protocol not available$/;
+    s/^(Connecting to .* \.\.\. sending) \d+ (nonTFO early-data)$/$1 dd $2/;
+
+    # Specific pointer values reported for DB operations change from run to run
+    s/^(\s*returned from EXIM_DBOPEN: )(0x)?[0-9a-f]+/${1}0xAAAAAAAA/;
+    s/^(\s*EXIM_DBCLOSE.)(0x)?[0-9a-f]+/${1}0xAAAAAAAA/;
+
+    # Platform-dependent output during MySQL startup
+    next if /PerconaFT file system space/;
+    next if /^Waiting for MySQL server to answer/;
+    next if /mysqladmin: CREATE DATABASE failed; .* database exists/;
+
+    # Not all builds include DMARC
+    next if /^DMARC: no (dmarc_tld_file|sender_host_address)$/ ;
  
      # When Exim is checking the size of directories for maildir, it uses
      # the check_dir_size() function to scan directories. Of course, the order
  
      # When Exim is checking the size of directories for maildir, it uses
      # the check_dir_size() function to scan directories. Of course, the order
@@ -1135,6 +1224,7 @@ RESET_AFTER_EXTRA_LINE_READ:
                  /^Support for:/ ||
                  /^Routers:/ ||
                  /^Transports:/ ||
                  /^Support for:/ ||
                  /^Routers:/ ||
                  /^Transports:/ ||
+                /^Malware:/ ||
                  /^log selectors =/ ||
                  /^cwd=/ ||
                  /^Fixed never_users:/ ||
                  /^log selectors =/ ||
                  /^cwd=/ ||
                  /^Fixed never_users:/ ||
@@ -1157,6 +1247,32 @@ RESET_AFTER_EXTRA_LINE_READ:
  
      # CHUNKING: exact sizes depend on hostnames in headers
      s/(=>.* K C="250- \d)\d+ (byte chunk, total \d)\d+/$1nn $2nn/;
  
      # CHUNKING: exact sizes depend on hostnames in headers
      s/(=>.* K C="250- \d)\d+ (byte chunk, total \d)\d+/$1nn $2nn/;
+
+    # openssl version variances
+    s/(TLS error on connection [^:]*: error:)[0-9A-F]{8}(:system library):(?:fopen|func\(4095\)):(No such file or directory)$/$1xxxxxxxx$2:fopen:$3/;
+    s/(DANE attempt failed.*error:)[0-9A-F]{8}(:SSL routines:)(ssl3_get_server_certificate|tls_process_server_certificate|CONNECT_CR_CERT)(?=:certificate verify failed$)/$1xxxxxxxx$2ssl3_get_server_certificate/;
+    s/(DKIM: validation error: )error:[0-9A-F]{8}:rsa routines:(?:(?i)int_rsa_verify|CRYPTO_internal):(?:bad signature|algorithm mismatch)$/$1Public key signature verification has failed./;
+
+    # DKIM timestamps
+    if ( /(DKIM: d=.*) t=([0-9]*) x=([0-9]*) / )
+      {
+      my ($prefix, $t_diff) = ($1, $3 - $2);
+      s/DKIM: d=.* t=[0-9]* x=[0-9]* /${prefix} t=T x=T+${t_diff} /;
+      }
+    }
+
+  # ======== mail ========
+
+  elsif ($is_mail)
+    {
+    # DKIM timestamps, and signatures depending thereon
+    if ( /^(\s+)t=([0-9]*); x=([0-9]*); b=[A-Za-z0-9+\/]+$/ )
+      {
+      my ($indent, $t_diff) = ($1, $3 - $2);
+      s/.*/${indent}t=T; x=T+${t_diff}; b=bbbb;/;
+      <IN>;
+      <IN>;
+      }
      }
  
    # ======== All files other than stderr ========
      }
  
    # ======== All files other than stderr ========
@@ -1486,6 +1602,11 @@ $munges =
      'gnutls_handshake' =>
      { 'mainlog' => 's/\(gnutls_handshake\): Error in the push function/\(gnutls_handshake\): A TLS packet with unexpected length was received/' },
  
      'gnutls_handshake' =>
      { 'mainlog' => 's/\(gnutls_handshake\): Error in the push function/\(gnutls_handshake\): A TLS packet with unexpected length was received/' },
  
+    'gnutls_bad_clientcert' =>
+    { 'mainlog' => 's/\(certificate verification failed\): certificate invalid/\(gnutls_handshake\): The peer did not send any certificate./',
+      'stdout'  => 's/Succeeded in starting TLS/A TLS fatal alert has been received.\nFailed to start TLS'
+    },
+
      'optional_events' =>
      { 'stdout' => '/event_action =/' },
  
      'optional_events' =>
      { 'stdout' => '/event_action =/' },
  
@@ -1505,7 +1626,15 @@ $munges =
      { 'stderr' => 's/(1[5-9]|23\d)\d\d msec/ssss msec/' },
  
      'tls_anycipher' =>
      { 'stderr' => 's/(1[5-9]|23\d)\d\d msec/ssss msec/' },
  
      'tls_anycipher' =>
-    { 'mainlog' => 's/ X=TLS\S+ / X=TLS_proto_and_cipher /' },
+    { 'mainlog'   => 's! X=TLS\S+ ! X=TLS_proto_and_cipher !;
+                     s! DN="C=! DN="/C=!;
+                     s! DN="[^,"]*\K,!/!;
+                     s! DN="[^,"]*\K,!/!;
+                     s! DN="[^,"]*\K,!/!;
+                    ',
+      'rejectlog' => 's/ X=TLS\S+ / X=TLS_proto_and_cipher /',
+      'mail'      => 's/ \(TLS[^)]*\)/ (TLS_proto_and_cipher)/',
+    },
  
      'debug_pid' =>
      { 'stderr' => 's/(^\s{0,4}|(?<=Process )|(?<=child ))\d{1,5}/ppppp/g' },
  
      'debug_pid' =>
      { 'stderr' => 's/(^\s{0,4}|(?<=Process )|(?<=child ))\d{1,5}/ppppp/g' },
@@ -1516,13 +1645,18 @@ $munges =
  
      'optional_config' =>
      { 'stdout' => '/^(
  
      'optional_config' =>
      { 'stdout' => '/^(
-                  dkim_(canon|domain|private_key|selector|sign_headers|strict)
+                  dkim_(canon|domain|private_key|selector|sign_headers|strict|hash|identity|timestamps)
                    |gnutls_require_(kx|mac|protocols)
                    |gnutls_require_(kx|mac|protocols)
+                 |hosts_pipe_connect
                    |hosts_(requ(est|ire)|try)_(dane|ocsp)
                    |hosts_(requ(est|ire)|try)_(dane|ocsp)
-                  |hosts_(avoid|nopass|require|verify_avoid)_tls
+                 |dane_require_tls_ciphers
+                  |hosts_(avoid|nopass|noproxy|require|verify_avoid)_tls
+                  |pipelining_connect_advertise_hosts
                    |socks_proxy
                    |tls_[^ ]*
                    |socks_proxy
                    |tls_[^ ]*
-                  )($|[ ]=)/x' },
+                 |utf8_downconvert
+                  )($|[ ]=)/x'
+    },
  
      'sys_bindir' =>
      { 'mainlog' => 's%/(usr/(local/)?)?bin/%SYSBINDIR/%' },
  
      'sys_bindir' =>
      { 'mainlog' => 's%/(usr/(local/)?)?bin/%SYSBINDIR/%' },
@@ -1538,6 +1672,12 @@ $munges =
  
      'timeout_errno' =>         # actual errno differs Solaris vs. Linux
      { 'mainlog' => 's/(host deferral .* errno) <\d+> /$1 <EEE> /' },
  
      'timeout_errno' =>         # actual errno differs Solaris vs. Linux
      { 'mainlog' => 's/(host deferral .* errno) <\d+> /$1 <EEE> /' },
+
+    'peer_terminated_conn' =>  # actual error differs FreedBSD vs. Linux
+    { 'stderr' => 's/^(  SMTP\()Connection reset by peer(\)<<)$/$1closed$2/' },
+
+    'perl_variants' =>         # result of hash-in-scalar-context changed from bucket-fill to keycount
+    { 'stdout' => 's%^> X/X$%> X%' },
    };
  
  
    };
  
  
@@ -2064,7 +2204,7 @@ elsif (/^millisleep\s+(.*)$/)
  
  
  # The "munge" command selects one of a hardwired set of test-result modifications
  
  
  # The "munge" command selects one of a hardwired set of test-result modifications
-# to be made before result compares are run agains the golden set.  This lets
+# to be made before result compares are run against the golden set.  This lets
  # us account for test-system dependent things which only affect a few, but known,
  # test-cases.
  # Currently only the last munge takes effect.
  # us account for test-system dependent things which only affect a few, but known,
  # test-cases.
  # Currently only the last munge takes effect.
@@ -2394,6 +2534,7 @@ elsif (/^background$/)
  
    $_ = <SCRIPT>; $lineno++;
    chomp;
  
    $_ = <SCRIPT>; $lineno++;
    chomp;
+  do_substitute($testno);
    $line = $_;
    if ($debug) { printf ">> daemon: $line >>test-stdout 2>>test-stderr\n"; }
  
    $line = $_;
    if ($debug) { printf ">> daemon: $line >>test-stdout 2>>test-stderr\n"; }
  
@@ -2536,7 +2677,7 @@ GetOptions(
      'valgrind' => \$valgrind,
      'range=s{2}'       => \my @range_wanted,
      'test=i@'          => \my @tests_wanted,
      'valgrind' => \$valgrind,
      'range=s{2}'       => \my @range_wanted,
      'test=i@'          => \my @tests_wanted,
-    'flavor|flavour=s' => $flavour,
+    'flavor|flavour=s' => \$flavour,
      'help'             => sub { pod2usage(-exit => 0) },
      'man'              => sub {
          pod2usage(
      'help'             => sub { pod2usage(-exit => 0) },
      'man'              => sub {
          pod2usage(
@@ -2714,7 +2855,7 @@ if (defined $parm_trusted_config_list)
    open(TCL, $parm_trusted_config_list) or die "Can't open $parm_trusted_config_list: $!\n";
    my $test_config = getcwd() . '/test-config';
    die "Can't find '$test_config' in TRUSTED_CONFIG_LIST $parm_trusted_config_list."
    open(TCL, $parm_trusted_config_list) or die "Can't open $parm_trusted_config_list: $!\n";
    my $test_config = getcwd() . '/test-config';
    die "Can't find '$test_config' in TRUSTED_CONFIG_LIST $parm_trusted_config_list."
-  if not grep { /^$test_config$/ } <TCL>;
+  if not grep { /^\Q$test_config\E$/ } <TCL>;
    }
  else
    {
    }
  else
    {
@@ -2728,6 +2869,9 @@ die "CONFIGURE_GROUP ($parm_configure_group) does not match the group invoking $
         if 0020 & (stat "$parm_cwd/test-config")[2]
         and $parm_configure_group != $);
  
         if 0020 & (stat "$parm_cwd/test-config")[2]
         and $parm_configure_group != $);
  
+die "aux-fixed file is world-writeable; best to strip them all, recursively\n"
+       if 0020 & (stat "aux-fixed/0037.f-1")[2];
+
  
  open(EXIMINFO, "$parm_exim -d-all+transport -bV -C $parm_cwd/test-config -DDIR=$parm_cwd |") ||
    die "** Cannot run $parm_exim: $!\n";
  
  open(EXIMINFO, "$parm_exim -d-all+transport -bV -C $parm_cwd/test-config -DDIR=$parm_cwd |") ||
    die "** Cannot run $parm_exim: $!\n";
@@ -2739,6 +2883,7 @@ while (<EXIMINFO>)
    my(@temp);
  
    if (/^(Exim|Library) version/) { print; }
    my(@temp);
  
    if (/^(Exim|Library) version/) { print; }
+  if (/Runtime: /) {print; }
  
    elsif (/^Size of off_t: (\d+)/)
      {
  
    elsif (/^Size of off_t: (\d+)/)
      {
@@ -2802,6 +2947,15 @@ while (<EXIMINFO>)
          }
        }
      }
          }
        }
      }
+
+  elsif (/^Malware: (.*)/)
+    {
+    print;
+    @temp = split /(\s+)/, $1;
+    push(@temp, ' ');
+    %parm_malware = @temp;
+    }
+
    }
  close(EXIMINFO);
  print "-" x 78, "\n";
    }
  close(EXIMINFO);
  print "-" x 78, "\n";
@@ -3112,6 +3266,12 @@ unless (defined $parm_eximgroup)
    die "** ABANDONING.\n";
    }
  
    die "** ABANDONING.\n";
    }
  
+if ($parm_caller_home eq $parm_cwd)
+  {
+  print "will confuse working dir with homedir; change homedir\n";
+  die "** ABANDONING.\n";
+  }
+
  print "You need to be in the Exim group to run these tests. Checking ...";
  
  if (`groups` =~ /\b\Q$parm_eximgroup\E\b/)
  print "You need to be in the Exim group to run these tests. Checking ...";
  
  if (`groups` =~ /\b\Q$parm_eximgroup\E\b/)
@@ -3241,6 +3401,12 @@ if ($parm_hostname =~ /[[:upper:]]/)
    print "\n*** Host name has upper case characters: this may cause problems ***\n\n";
    }
  
    print "\n*** Host name has upper case characters: this may cause problems ***\n\n";
    }
  
+if ($parm_hostname =~ /\.example\.com$/)
+  {
+  die "\n*** Host name ends in .example.com; this conflicts with the testsuite use of that domain.\n"
+       . "    Please change the host's name (or comment out this check, and fail several testcases)\n";
+  }
+
  
  
  ##################################################
  
  
  ##################################################
@@ -3294,7 +3460,6 @@ system("sudo cp eximdir/exim eximdir/exim_exim;" .
         "sudo chgrp $parm_eximgroup eximdir/exim_exim;" .
         "sudo chmod 06755 eximdir/exim_exim");
  
         "sudo chgrp $parm_eximgroup eximdir/exim_exim;" .
         "sudo chmod 06755 eximdir/exim_exim");
  
-
  ##################################################
  #     Make copies of utilities we might need     #
  ##################################################
  ##################################################
  #     Make copies of utilities we might need     #
  ##################################################
@@ -3337,6 +3502,15 @@ if (system("cp $parm_exim_dir/eximstats eximdir") != 0)
    tests_exit(-1, "Failed to make a copy of eximstats: $!");
    }
  
    tests_exit(-1, "Failed to make a copy of eximstats: $!");
    }
  
+# Collect some version information
+print '-' x 78, "\n";
+print "Perl version for runtest: $]\n";
+foreach (map { "./eximdir/$_" } qw(exigrep exinext eximstats)) {
+  # fold (or unfold?) multiline output into a one-liner
+  print join(', ', map { chomp; $_ } `$_ --version`), "\n";
+}
+print '-' x 78, "\n";
+
  
  ##################################################
  #    Check that the Exim user can access stuff   #
  
  ##################################################
  #    Check that the Exim user can access stuff   #
@@ -3458,6 +3632,36 @@ DIR: for (my $i = 0; $i < @test_dirs; $i++)
          {
          if (!defined $parm_transports{$1}) { $wantthis = 0; last; }
          }
          {
          if (!defined $parm_transports{$1}) { $wantthis = 0; last; }
          }
+      elsif (/^malware (.*)$/)
+        {
+        if (!defined $parm_malware{$1}) { $wantthis = 0; last; }
+        }
+      elsif (/^feature (.*)$/)
+        {
+       # move to a subroutine?
+       my $eximinfo = "$parm_exim -C $parm_cwd/test-config -DDIR=$parm_cwd -bP macro $1";
+
+       open (IN, "$parm_cwd/confs/0000") ||
+         tests_exit(-1, "Couldn't open $parm_cwd/confs/0000: $!\n");
+       open (OUT, ">test-config") ||
+         tests_exit(-1, "Couldn't open test-config: $!\n");
+       while (<IN>)
+         {
+         do_substitute($testno);
+         print OUT;
+         }
+       close(IN);
+       close(OUT);
+
+       system($eximinfo . " >/dev/null 2>&1");
+       if ($? != 0) {
+         unlink("$parm_cwd/test-config");
+         $wantthis = 0;
+         $_ = "feature $1";
+         last;
+       }
+       unlink("$parm_cwd/test-config");
+        }
        else
          {
          tests_exit(-1, "Unknown line in \"scripts/$testdir/REQUIRES\": \"$_\"");
        else
          {
          tests_exit(-1, "Unknown line in \"scripts/$testdir/REQUIRES\": \"$_\"");
@@ -3913,8 +4117,12 @@ foreach $test (@test_list)
         }
          if ($force_continue)
            {
         }
          if ($force_continue)
            {
-          print "\nstderr tail:\n";
+          print "\nstdout tail:\n";
+          print "==================>\n";
+          system("tail -20 test-stdout");
            print "===================\n";
            print "===================\n";
+          print "stderr tail:\n";
+          print "==================>\n";
            system("tail -20 test-stderr");
            print "===================\n";
            print "... continue forced\n";
            system("tail -20 test-stderr");
            print "===================\n";
            print "... continue forced\n";