Merge branch '4.next'
[exim.git] / doc / doc-docbook / spec.xfpt
index 0915da3e67329db3b5b237cf5d71c02e91835304..540a9cbf80eaa28110287122b1a6cd3c3a25167a 100644 (file)
@@ -45,7 +45,7 @@
 . Update the Copyright year (only) when changing content.
 . /////////////////////////////////////////////////////////////////////////////
 
-.set previousversion "4.94"
+.set previousversion "4.95"
 .include ./local_params
 
 .set ACL "access control lists (ACLs)"
@@ -54,7 +54,7 @@
 .set drivernamemax "64"
 
 .macro copyyear
-2020
+2021
 .endmacro
 
 . /////////////////////////////////////////////////////////////////////////////
 </revision></revhistory>
 <copyright><year>
 .copyyear
-           </year><holder>University of Cambridge</holder></copyright>
+           </year><holder>The Exim Maintainers</holder></copyright>
 </bookinfo>
 .literal off
 
   <secondary>failure report</secondary>
   <see><emphasis>bounce message</emphasis></see>
 </indexterm>
+<indexterm role="concept">
+  <primary>de-tainting</primary>
+  <see><emphasis>tainting, de-tainting</emphasis></see>
+</indexterm>
+<indexterm role="concept">
+  <primary>detainting</primary>
+  <see><emphasis>tainting, de-tainting</emphasis></see>
+</indexterm>
 <indexterm role="concept">
   <primary>dialup</primary>
   <see><emphasis>intermittently connected hosts</emphasis></see>
@@ -1413,7 +1421,6 @@ check an address given in the SMTP EXPN command (see the &%expn%& option).
 .next
 If the &%domains%& option is set, the domain of the address must be in the set
 of domains that it defines.
-.new
 .cindex "tainted data" "de-tainting"
 A match verifies the variable &$domain$& (which carries tainted data)
 and assigns an untainted value to the &$domain_data$& variable.
@@ -1423,7 +1430,6 @@ refer to section &<<SECTdomainlist>>&.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
-.wen
 
 .next
 .vindex "&$local_part_prefix$&"
@@ -1434,7 +1440,6 @@ rather than the generic &%condition%& option.
 .cindex affix "router precondition"
 If the &%local_parts%& option is set, the local part of the address must be in
 the set of local parts that it defines.
-.new
 A match verifies the variable &$local_part$& (which carries tainted data)
 and assigns an untainted value to the &$local_part_data$& variable.
 Such an untainted value is often needed in the transport.
@@ -1443,7 +1448,6 @@ refer to section &<<SECTlocparlis>>&.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
-.wen
 
 If &%local_part_prefix%& or
 &%local_part_suffix%& is in use, the prefix or suffix is removed from the local
@@ -1484,7 +1488,6 @@ If the &%condition%& option is set, it is evaluated and tested. This option
 uses an expanded string to allow you to set up your own custom preconditions.
 Expanded strings are described in chapter &<<CHAPexpand>>&.
 
-.new
 Note that while using
 this option for address matching technically works,
 it does not set any de-tainted values.
@@ -1492,7 +1495,6 @@ Such values are often needed, either for router-specific options or
 for transport options.
 Using the &%domains%& and &%local_parts%& options is usually the most
 convenient way to obtain them.
-.wen
 .endlist
 
 
@@ -3944,7 +3946,6 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that a
 remote host supports the ESMTP &_CHUNKING_& extension.
 
-.new
 .vitem &%-MCL%&
 .oindex "&%-MCL%&"
 This option is not intended for use by external callers. It is used internally
@@ -3952,7 +3953,6 @@ by Exim in conjunction with the &%-MC%& option. It signifies that the server to
 which Exim is connected advertised limits on numbers of mails, recipients or
 recipient domains.
 The limits are given by the following three arguments.
-.wen
 
 .vitem &%-MCP%&
 .oindex "&%-MCP%&"
@@ -3960,14 +3960,12 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that the server to
 which Exim is connected supports pipelining.
 
-.new
 .vitem &%-MCp%&
 .oindex "&%-MCp%&"
 This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that the connection
 t a remote server is via a SOCKS proxy, using addresses and ports given by
 the following four arguments.
-.wen
 
 .vitem &%-MCQ%&&~<&'process&~id'&>&~<&'pipe&~fd'&>
 .oindex "&%-MCQ%&"
@@ -3978,12 +3976,10 @@ together with the file descriptor number of an open pipe. Closure of the pipe
 signals the final completion of the sequence of processes that are passing
 messages through the same SMTP connection.
 
-.new
 .vitem &%-MCq%&&~<&'recipient&~address'&>&~<&'size'&>
 .oindex "&%-MCq%&"
 This option is not intended for use by external callers. It is used internally
 by Exim to implement quota checking for local users.
-.wen
 
 .vitem &%-MCS%&
 .oindex "&%-MCS%&"
@@ -3998,7 +3994,6 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option, and passes on the fact that the
 host to which Exim is connected supports TLS encryption.
 
-.new
 .vitem &%-MCr%&&~<&'SNI'&> &&&
        &%-MCs%&&~<&'SNI'&>
 .oindex "&%-MCs%&"
@@ -4008,7 +4003,6 @@ by Exim in conjunction with the &%-MCt%& option, and passes on the fact that
 a TLS Server Name Indication was sent as part of the channel establishment.
 The argument gives the SNI string.
 The "r" variant indicates a DANE-verified connection.
-.wen
 
 .vitem &%-MCt%&&~<&'IP&~address'&>&~<&'port'&>&~<&'cipher'&>
 .oindex "&%-MCt%&"
@@ -4530,7 +4524,6 @@ of the syntax, and how it interacts with configuration file options, are given
 in chapter &<<CHAPinterfaces>>&. When &%-oX%& is used to start a daemon, no pid
 file is written unless &%-oP%& is also present to specify a pid filename.
 
-.new
 .vitem &%-oY%&
 .oindex &%-oY%&
 .cindex "daemon notifier socket"
@@ -4549,7 +4542,6 @@ fast ramp-up of queue runner processes
 .next
 obtaining a current queue size
 .endlist
-.wen
 
 .vitem &%-pd%&
 .oindex "&%-pd%&"
@@ -6777,7 +6769,6 @@ If the value of &$sender_host_address$& is 192.168.5.6, expansion of the
 first &%domains%& setting above generates the second setting, which therefore
 causes a second lookup to occur.
 
-.new
 The lookup type may optionally be followed by a comma
 and a comma-separated list of options.
 Each option is a &"name=value"& pair.
@@ -6787,7 +6778,6 @@ All lookups support the option &"cache=no_rd"&.
 If this is given then the cache that Exim manages for lookup results
 is not checked before doing the lookup.
 The result of the lookup is still written to the cache.
-.wen
 
 The rest of this chapter describes the different lookup types that are
 available. Any of them can be used in any part of the configuration where a
@@ -6970,11 +6960,9 @@ the implicit key is the host's IP address rather than its name (see section
 IPv4, in dotted-quad form. (Exim converts IPv4-mapped IPv6 addresses to this
 notation before executing the lookup.)
 
-.new
 One option is supported, "ret=full", to request the return of the entire line
 rather than omitting the key porttion.
 Note however that the key portion will have been de-quoted.
-.wen
 
 .next
 .cindex lookup json
@@ -6995,7 +6983,6 @@ is returned.
 For elements of type string, the returned value is de-quoted.
 
 
-.new
 .next
 .cindex LMDB
 .cindex lookup lmdb
@@ -7013,7 +7000,6 @@ To enable LMDB support in Exim set LOOKUP_LMDB=yes in &_Local/Makefile_&.
 
 You will need to separately create the LMDB database file,
 possibly using the &"mdb_load"& utility.
-.wen
 
 
 .next
@@ -7415,6 +7401,10 @@ lookups. However, because (apart from the daemon) Exim operates as a collection
 of independent, short-lived processes, this caching applies only within a
 single Exim process. There is no inter-process lookup caching facility.
 
+If an option &"cache=no_rd"& is used on the lookup then
+the cache is only written to, cached data is not used for the operation
+and a real lookup is done.
+
 For single-key lookups, Exim keeps the relevant files open in case there is
 another lookup that needs them. In some types of configuration this can lead to
 many files being kept open for messages with many recipients. To avoid hitting
@@ -8271,7 +8261,6 @@ SQLite is different to the other SQL lookups because a filename is required in
 addition to the SQL query. An SQLite database is a single file, and there is no
 daemon as in the other SQL databases.
 
-.new
 .oindex &%sqlite_dbfile%&
 There are two ways of
 specifying the file.
@@ -8281,7 +8270,6 @@ is to use an option appended, comma-separated, to the &"sqlite"&
 lookup type word.  The option is the word &"file"&, then an equals,
 then the filename.
 The filename in this case cannot contain whitespace or open-brace charachters.
-.wen
 
 A deprecated method is available, prefixing the query with the filename
 separated by white space.
@@ -8505,10 +8493,8 @@ will store a result in the &$host_data$& variable.
 A &%local_parts%& router option or &%local_parts%& ACL condition
 will store a result in the &$local_part_data$& variable.
 .vitem domains
-.new
 A &%domains%& router option or &%domains%& ACL condition
 will store a result in the &$domain_data$& variable.
-.wen
 .vitem senders
 A &%senders%& router option or &%senders%& ACL condition
 will store a result in the &$sender_data$& variable.
@@ -8812,12 +8798,10 @@ other statements in the same ACL.
 .cindex "tainted data" "de-tainting"
 The value will be untainted.
 
-.new
 &*Note*&: If the data result of the lookup (as opposed to the key)
 is empty, then this empty value is stored in &$domain_data$&.
 The option to return the key for the lookup, as the value,
 may be what is wanted.
-.wen
 
 
 .next
@@ -9604,11 +9588,10 @@ reasons,
 .cindex "tainted data" definition
 .cindex expansion "tainted data"
 and expansion of data deriving from the sender (&"tainted data"&)
-.new
 is not permitted (including acessing a file using a tainted name).
-.wen
+The main config option &%allow_insecure_tainted_data%& can be used as
+mitigation during uprades to more secure configurations.
 
-.new
 Common ways of obtaining untainted equivalents of variables with
 tainted values
 .cindex "tainted data" "de-tainting"
@@ -9617,7 +9600,6 @@ This database could be the filesystem structure,
 or the password file,
 or accessed via a DBMS.
 Specific methods are indexed under &"de-tainting"&.
-.wen
 
 
 
@@ -10330,7 +10312,6 @@ extracted is used.
 You can use &`fail`& instead of {<&'string3'&>} as in a string extract.
 
 
-.new
 .vitem &*${listquote{*&<&'separator'&>&*}{*&<&'string'&>&*}}*&
 .cindex quoting "for list"
 .cindex list quoting
@@ -10339,7 +10320,6 @@ in the given string.
 An empty string is replaced with a single space.
 This converts the string into a safe form for use as a list element,
 in a list using the given separator.
-.wen
 
 
 .vitem "&*${lookup&~{*&<&'key'&>&*}&~*&<&'search&~type'&>&*&~&&&
@@ -10780,10 +10760,8 @@ will sort an MX lookup into priority order.
 
 
 
-.new
 .vitem &*${srs_encode&~{*&<&'secret'&>&*}{*&<&'return&~path'&>&*}{*&<&'original&~domain'&>&*}}*&
 SRS encoding.  See SECT &<<SECTSRS>>& for details.
-.wen
 
 
 
@@ -11203,10 +11181,8 @@ If the optional type is given it must be one of "a", "d", "h" or "l"
 and selects address-, domain-, host- or localpart- lists to search among respectively.
 Otherwise all types are searched in an undefined order and the first
 matching list is returned.
-.new
 &*Note*&: Neither string-expansion of lists referenced by named-list syntax elements,
 nor expansion of lookup elements, is done by the &%listnamed%& operator.
-.wen
 
 
 .vitem &*${local_part:*&<&'string'&>&*}*&
@@ -11218,7 +11194,8 @@ empty.
 The parsing correctly handles SMTPUTF8 Unicode in the string.
 
 
-.vitem &*${mask:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*&
+.vitem &*${mask:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*& &&&
+       &*${mask_n:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*&
 .cindex "masked IP address"
 .cindex "IP address" "masking"
 .cindex "CIDR notation"
@@ -11232,8 +11209,14 @@ the result back to text, with mask appended. For example,
 .code
 ${mask:10.111.131.206/28}
 .endd
-returns the string &"10.111.131.192/28"&. Since this operation is expected to
-be mostly used for looking up masked addresses in files, the result for an IPv6
+returns the string &"10.111.131.192/28"&.
+
+Since this operation is expected to
+be mostly used for looking up masked addresses in files, the
+.new
+normal
+.wen
+result for an IPv6
 address uses dots to separate components instead of colons, because colon
 terminates a key string in lsearch files. So, for example,
 .code
@@ -11243,6 +11226,10 @@ returns the string
 .code
 3ffe.ffff.836f.0a00.000a.0800.2000.0000/99
 .endd
+.new
+If the optional form &*mask_n*& is used, IPv6 address result are instead
+returned in normailsed form, using colons and with zero-compression.
+.wen
 Letters in IPv6 addresses are always output in lower case.
 
 
@@ -11769,11 +11756,9 @@ condition is true if the named file (or directory) exists. The existence test
 is done by calling the &[stat()]& function. The use of the &%exists%& test in
 users' filter files may be locked out by the system administrator.
 
-.new
 &*Note:*& Testing a path using this condition is not a sufficient way of
 de-tainting it.
 Consider using a dsearch lookup.
-.wen
 
 .vitem &*first_delivery*&
 .cindex "delivery" "first"
@@ -11860,10 +11845,8 @@ case-independent.
 Case and collation order are defined per the system C locale.
 
 
-.new
 .vitem &*inbound_srs&~{*&<&'local&~part'&>&*}{*&<&'secret'&>&*}*&
 SRS decode.  See SECT &<<SECTSRS>>& for details.
-.wen
 
 
 .vitem &*inlist&~{*&<&'string1'&>&*}{*&<&'string2'&>&*}*& &&&
@@ -12322,8 +12305,8 @@ this variable has the number of arguments.
 .vitem &$acl_verify_message$&
 .vindex "&$acl_verify_message$&"
 After an address verification has failed, this variable contains the failure
-message. It retains its value for use in subsequent modifiers. The message can
-be preserved by coding like this:
+message. It retains its value for use in subsequent modifiers of the verb.
+The message can be preserved by coding like this:
 .code
 warn !verify = sender
      set acl_m0 = $acl_verify_message
@@ -12331,6 +12314,7 @@ warn !verify = sender
 You can use &$acl_verify_message$& during the expansion of the &%message%& or
 &%log_message%& modifiers, to include information about the verification
 failure.
+&*Note*&: The variable is cleared at the end of processing the ACL verb.
 
 .vitem &$address_data$&
 .vindex "&$address_data$&"
@@ -12634,14 +12618,12 @@ Often &$domain_data$& is usable in this role.
 .vitem &$domain_data$&
 .vindex "&$domain_data$&"
 When the &%domains%& condition on a router
-.new
 or an ACL
 matches a domain
 against a list, the match value is copied to &$domain_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
-.wen
 
 If the router routes the
 address to a transport, the value is available in that transport. If the
@@ -12789,13 +12771,11 @@ option in the &(appendfile)& transport. The variable contains the inode number
 of the temporary file which is about to be renamed. It can be used to construct
 a unique name for the file.
 
-.vitem &$interface_address$&
+.vitem &$interface_address$& &&&
+       &$interface_port$&
 .vindex "&$interface_address$&"
-This is an obsolete name for &$received_ip_address$&.
-
-.vitem &$interface_port$&
 .vindex "&$interface_port$&"
-This is an obsolete name for &$received_port$&.
+These are obsolete names for &$received_ip_address$& and &$received_port$&.
 
 .vitem &$item$&
 .vindex "&$item$&"
@@ -12884,12 +12864,10 @@ to process local parts in a case-dependent manner in a router, you can set the
 .vindex "&$local_part_data$&"
 When the &%local_parts%& condition on a router or ACL
 matches a local part list
-.new
 the match value is copied to &$local_part_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
-.wen
 
 The &%check_local_user%& router option also sets this variable.
 
@@ -12985,7 +12963,7 @@ when the ACL &%malware%& condition is true (see section &<<SECTscanvirus>>&).
 This variable contains the number of bytes in the longest line that was
 received as part of the message, not counting the line termination
 character(s).
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &$message_age$&
 .cindex "message" "age of"
@@ -13029,7 +13007,7 @@ separates the body from the header. Newlines are included in the count. See
 also &$message_size$&, &$body_linecount$&, and &$body_zerocount$&.
 
 If the spool file is wireformat
-(see the &%spool_files_wireformat%& main option)
+(see the &%spool_wireformat%& main option)
 the CRLF line-terminators are included in the count.
 
 .vitem &$message_exim_id$&
@@ -13082,7 +13060,7 @@ deny condition = \
 In the MAIL and RCPT ACLs, the value is zero because at that stage the
 message has not yet been received.
 
-This variable is not valid if the &%spool_files_wireformat%& option is used.
+This variable is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &$message_size$&
 .cindex "size" "of message"
@@ -13102,7 +13080,22 @@ While running a per message ACL (mail/rcpt/predata), &$message_size$&
 contains the size supplied on the MAIL command, or -1 if no size was given. The
 value may not, of course, be truthful.
 
-.vitem &$mime_$&&'xxx'&
+.vitem &$mime_anomaly_level$& &&&
+       &$mime_anomaly_text$& &&&
+       &$mime_boundary$& &&&
+       &$mime_charset$& &&&
+       &$mime_content_description$& &&&
+       &$mime_content_disposition$& &&&
+       &$mime_content_id$& &&&
+       &$mime_content_size$& &&&
+       &$mime_content_transfer_encoding$& &&&
+       &$mime_content_type$& &&&
+       &$mime_decoded_filename$& &&&
+       &$mime_filename$& &&&
+       &$mime_is_coverletter$& &&&
+       &$mime_is_multipart$& &&&
+       &$mime_is_rfc822$& &&&
+       &$mime_part_count$&
 A number of variables whose names start with &$mime$& are
 available when Exim is compiled with the content-scanning extension. For
 details, see section &<<SECTscanmimepart>>&.
@@ -13215,18 +13208,10 @@ For details see chapter &<<SECTproxyInbound>>&.
 This variable is set to &"yes"& if PRDR was requested by the client for the
 current message, otherwise &"no"&.
 
-.vitem &$prvscheck_address$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
-which is described in sections &<<SECTexpansionitems>>& and
-&<<SECTverifyPRVS>>&.
-
-.vitem &$prvscheck_keynum$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
-which is described in sections &<<SECTexpansionitems>>& and
-&<<SECTverifyPRVS>>&.
-
-.vitem &$prvscheck_result$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
+.vitem &$prvscheck_address$& &&&
+       &$prvscheck_keynum$& &&&
+       &$prvscheck_result$&
+These variables are used in conjunction with the &%prvscheck%& expansion item,
 which is described in sections &<<SECTexpansionitems>>& and
 &<<SECTverifyPRVS>>&.
 
@@ -13295,11 +13280,13 @@ variable contains that address when the &'Received:'& header line is being
 built. The value is copied after recipient rewriting has happened, but before
 the &[local_scan()]& function is run.
 
-.vitem &$received_ip_address$&
+.vitem &$received_ip_address$& &&&
+       &$received_port$&
 .vindex "&$received_ip_address$&"
-As soon as an Exim server starts processing an incoming TCP/IP connection, this
-variable is set to the address of the local IP interface, and &$received_port$&
-is set to the local port number. (The remote IP address and port are in
+.vindex "&$received_port$&"
+As soon as an Exim server starts processing an incoming TCP/IP connection, these
+variables are set to the address and port on the local IP interface.
+(The remote IP address and port are in
 &$sender_host_address$& and &$sender_host_port$&.) When testing with &%-bh%&,
 the port value is -1 unless it has been set using the &%-oMi%& command line
 option.
@@ -13312,10 +13299,6 @@ messages that are received, thus making these variables available at delivery
 time.
 For outbound connections see &$sending_ip_address$&.
 
-.vitem &$received_port$&
-.vindex "&$received_port$&"
-See &$received_ip_address$&.
-
 .vitem &$received_protocol$&
 .vindex "&$received_protocol$&"
 When a message is being processed, this variable contains the name of the
@@ -13958,14 +13941,12 @@ If certificate verification fails it may refer to a failing chain element
 which is not the leaf.
 
 
-.new
 .vitem &$tls_in_resumption$& &&&
        &$tls_out_resumption$&
 .vindex &$tls_in_resumption$&
 .vindex &$tls_out_resumption$&
 .cindex TLS resumption
 Observability for TLS session resumption.  See &<<SECTresumption>>& for details.
-.wen
 
 
 .vitem &$tls_in_sni$&
@@ -14151,9 +14132,7 @@ taint mode of the Perl interpreter. You are encouraged to set this
 option to a true value. To avoid breaking existing installations, it
 defaults to false.
 
-.new
 &*Note*&: This is entirely separate from Exim's tainted-data tracking.
-.wen
 
 
 .section "Calling Perl subroutines" "SECID86"
@@ -14590,6 +14569,7 @@ listed in more than one group.
 .section "Miscellaneous" "SECID96"
 .table2
 .row &%add_environment%&             "environment variables"
+.row &%allow_insecure_tainted_data%& "turn taint errors into warnings"
 .row &%bi_command%&                  "to run for &%-bi%& command line option"
 .row &%debug_store%&                 "do extra internal checks"
 .row &%disable_ipv6%&                "do no IPv6 processing"
@@ -14714,7 +14694,7 @@ listed in more than one group.
 .row &%notifier_socket%&             "override compiled-in value"
 .row &%pid_file_path%&               "override compiled-in value"
 .row &%queue_run_max%&               "maximum simultaneous queue runners"
-.row &%smtp_backlog_monitor%&        "level to log listen baclog"
+.row &%smtp_backlog_monitor%&        "level to log listen backlog"
 .endtable
 
 
@@ -14815,8 +14795,10 @@ listed in more than one group.
 .table2
 .row &%gnutls_compat_mode%&          "use GnuTLS compatibility mode"
 .row &%gnutls_allow_auto_pkcs11%&    "allow GnuTLS to autoload PKCS11 modules"
+.row &%hosts_require_alpn%&          "mandatory ALPN"
 .row &%openssl_options%&             "adjust OpenSSL compatibility options"
 .row &%tls_advertise_hosts%&         "advertise TLS to these hosts"
+.row &%tls_alpn%&                   "acceptable protocol names"
 .row &%tls_certificate%&             "location of server certificate"
 .row &%tls_crl%&                     "certificate revocation list"
 .row &%tls_dh_max_bits%&             "clamp D-H bit count suggestion"
@@ -15201,6 +15183,16 @@ domains (defined in the named domain list &%local_domains%& in the default
 configuration). This &"magic string"& matches the domain literal form of all
 the local host's IP addresses.
 
+.option allow_insecure_tainted_data main boolean false
+.cindex "de-tainting"
+.oindex "allow_insecure_tainted_data"
+The handling of tainted data may break older (pre 4.94) configurations.
+Setting this option to "true" turns taint errors (which result in a temporary
+message rejection) into warnings. This option is meant as mitigation only
+and deprecated already today. Future releases of Exim may ignore it.
+The &%taint%& log selector can be used to suppress even the warnings.
+
+
 
 .option allow_mx_to_ip main boolean false
 .cindex "MX record" "pointing to IP address"
@@ -16305,6 +16297,18 @@ hosts_connection_nolog = :
 If the &%smtp_connection%& log selector is not set, this option has no effect.
 
 
+.option hosts_require_alpn main "host list&!!" unset
+.cindex ALPN "require negotiation in server"
+.cindex TLS ALPN
+.cindex TLS "Application Layer Protocol Names"
+If the TLS library supports ALPN
+then a successful negotiation of ALPN will be required for any client
+matching the list, for TLS to be used.
+See also the &%tls_alpn%& option.
+
+&*Note*&: prevention of fallback to in-clear connection is not
+managed by this option, and should be done separately.
+
 
 .option hosts_proxy main "host list&!!" unset
 .cindex proxy "proxy protocol"
@@ -16842,14 +16846,11 @@ The option is expanded before use.
 If the platform supports Linux-style abstract socket names, the result
 is used with a nul byte prefixed.
 Otherwise,
-.new "if nonempty,"
 it should be a full path name and use a directory accessible
 to Exim.
 
-.new
 If this option is set as empty,
 or the command line &%-oY%& option is used, or
-.wen
 the command line uses a &%-oX%& option and does not use &%-oP%&,
 then a notifier socket is not created.
 
@@ -17047,9 +17048,7 @@ When used, the pipelining saves on roundtrip times.
 
 See also the &%hosts_pipe_connect%& smtp transport option.
 
-.new
 The SMTP service extension keyword advertised is &"PIPE_CONNECT"&.
-.wen
 
 
 .option prdr_enable main boolean false
@@ -17130,12 +17129,10 @@ admin user unless &%prod_requires_admin%& is set false. See also
 &%queue_list_requires_admin%& and &%commandline_checks_require_admin%&.
 
 
-.new
 .option proxy_protocol_timeout main time 3s
 .cindex proxy "proxy protocol"
 This option sets the timeout for proxy protocol negotiation.
 For details see section &<<SECTproxyInbound>>&.
-.wen
 
 
 .option qualify_domain main string "see below"
@@ -17173,7 +17170,6 @@ domains that do not match are processed. All other deliveries wait until the
 next queue run. See also &%hold_domains%& and &%queue_smtp_domains%&.
 
 
-.new
 .option queue_fast_ramp main boolean false
 .cindex "queue runner" "two phase"
 .cindex "queue" "double scanning"
@@ -17181,7 +17177,6 @@ If set to true, two-phase queue runs, initiated using &%-qq%& on the
 command line, may start parallel delivery processes during their first
 phase.  This will be done when a threshold number of messages have been
 routed for a single host.
-.wen
 
 
 .option queue_list_requires_admin main boolean true
@@ -17621,11 +17616,9 @@ results in the transfer of a message. After the limit is reached, a 421
 response is given to subsequent MAIL commands. This limit is a safety
 precaution against a client that goes mad (incidents of this type have been
 seen).
-.new
 The option is expanded after the HELO or EHLO is received
 and may depend on values available at that time.
 An empty or zero value after expansion removes the limit.
-.wen
 
 
 .option smtp_accept_max_per_host main string&!! unset
@@ -18331,7 +18324,18 @@ using the &%tls_certificate%& option.  If TLS support for incoming connections
 is not required the &%tls_advertise_hosts%& option should be set empty.
 
 
-.option tls_certificate main string list&!! unset
+.option tls_alpn main "string list&!!" "smtp : esmtp"
+.cindex TLS "Application Layer Protocol Names"
+.cindex TLS ALPN
+.cindex ALPN "set acceptable names for server"
+If this option is set,
+the TLS library supports ALPN,
+and the client offers either more than
+ALPN name or a name which does not match the list,
+the TLS connection is declined.
+
+
+.option tls_certificate main "string list&!!" unset
 .cindex "TLS" "server certificate; location of"
 .cindex "certificate" "server, location of"
 The value of this option is expanded, and must then be a list of absolute paths to
@@ -18361,11 +18365,9 @@ Server Name Indication extension, then this option and others documented in
 &<<SECTtlssni>>& will be re-expanded.
 
 If this option is unset or empty a self-signed certificate will be
-.new
 used.
 Under Linux this is generated at daemon startup; on other platforms it will be
 generated fresh for every connection.
-.wen
 
 .option tls_crl main string&!! unset
 .cindex "TLS" "server certificate revocation list"
@@ -18542,7 +18544,7 @@ further details, see section &<<SECTsupobssmt>>&.
 
 
 
-.option tls_privatekey main string list&!! unset
+.option tls_privatekey main "string list&!!" unset
 .cindex "TLS" "server private key; location of"
 The value of this option is expanded, and must then be a list of absolute paths to
 files which contains the server's private keys.
@@ -18576,12 +18578,10 @@ preference order of the available ciphers. Details are given in sections
 &<<SECTreqciphssl>>& and &<<SECTreqciphgnu>>&.
 
 
-.new
 .option tls_resumption_hosts main "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to offer the TLS resumption feature.
 See &<<SECTresumption>>& for details.
-.wen
 
 
 .option tls_try_verify_hosts main "host list&!!" unset
@@ -18813,11 +18813,9 @@ which the preconditions are tested. The order of expansion of the options that
 provide data for a transport is: &%errors_to%&, &%headers_add%&,
 &%headers_remove%&, &%transport%&.
 
-.new
 The name of a router is limited to be &drivernamemax; ASCII characters long;
 prior to Exim 4.95 names would be silently truncated at this length, but now
 it is enforced.
-.wen
 
 
 .option address_data routers string&!! unset
@@ -19809,10 +19807,8 @@ Values containing a list-separator should have them doubled.
 When a router runs, the strings are evaluated in order,
 to create variables which are added to the set associated with
 the address.
-.new
 This is done immediately after all the preconditions, before the
 evaluation of the &%address_data%& option.
-.wen
 The variable is set with the expansion of the value.
 The variables can be used by the router options
 (not including any preconditions)
@@ -22361,11 +22357,9 @@ and &$original_domain$& is never set.
 .scindex IIDgenoptra1 "generic options" "transport"
 .scindex IIDgenoptra2 "options" "generic; for transports"
 .scindex IIDgenoptra3 "transport" "generic options for"
-.new
 The name of a transport is limited to be &drivernamemax; ASCII characters long;
 prior to Exim 4.95 names would be silently truncated at this length, but now
 it is enforced.
-.wen
 
 The following generic options apply to all transports:
 
@@ -22436,6 +22430,12 @@ header, Exim has a configuration option (&%envelope_to_remove%&) which requests
 its removal from incoming messages, so that delivered messages can safely be
 resent to other recipients.
 
+&*Note:*& If used on a transport handling multiple recipients
+(the smtp transport unless &%rcpt_max%& is 1, the appendfile, pipe or lmtp
+transport if &%batch_max%& is greater than 1)
+then information about Bcc recipients will be leaked.
+Doing so is generally not advised.
+
 
 .option event_action transports string&!! unset
 .cindex events
@@ -23194,10 +23194,8 @@ directories defined by the &%directory%& option. In the case of maildir
 delivery, it applies to the top level directory, not the maildir directories
 beneath.
 
-.new
 The option must be set to one of the words &"anywhere"&, &"inhome"&, or
 &"belowhome"&, or to an absolute path.
-.wen
 
 In the second and third cases, a home directory must have been
 set for the transport, and the file or directory being created must
@@ -23210,7 +23208,6 @@ are generated from users' &_.forward_& files. These are usually handled
 by an &(appendfile)& transport called &%address_file%&. See also
 &%file_must_exist%&.
 
-.new
 In the fourth case,
 the value given for this option must be an absolute path for an
 existing directory.
@@ -23220,7 +23217,6 @@ checking is done in "belowhome" mode.
 .cindex "tainted data" "de-tainting"
 If "belowhome" checking is used, the file or directory path
 becomes de-tainted.
-.wen
 
 
 .option directory appendfile string&!! unset
@@ -23234,10 +23230,8 @@ appended to a single mailbox file. A number of different formats are provided
 (see &%maildir_format%& and &%mailstore_format%&), and see section
 &<<SECTopdir>>& for further details of this form of delivery.
 
-.new
 The result of expansion must not be tainted, unless the &%create_file%& option
 specifies a path.
-.wen
 
 
 .option directory_file appendfile string&!! "see below"
@@ -23271,10 +23265,8 @@ specifies a single file, to which the message is appended. One or more of
 &%use_fcntl_lock%&, &%use_flock_lock%&, or &%use_lockfile%& must be set with
 &%file%&.
 
-.new
 The result of expansion must not be tainted, unless the &%create_file%& option
 specifies a path.
-.wen
 
 .cindex "NFS" "lock file"
 .cindex "locking files"
@@ -25280,7 +25272,7 @@ of the message. Its value must not be zero. See also &%final_timeout%&.
 
 .option dkim_canon smtp string&!! unset
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
-.option dkim_domain smtp string list&!! unset
+.option dkim_domain smtp "string list&!!" unset
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
 .option dkim_hash smtp string&!! sha256
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
@@ -25631,6 +25623,18 @@ Exim will request a Certificate Status on a
 TLS session for any host that matches this list.
 &%tls_verify_certificates%& should also be set for the transport.
 
+.option hosts_require_alpn smtp "host list&!!" unset
+.cindex ALPN "require negotiation in client"
+.cindex TLS ALPN
+.cindex TLS "Application Layer Protocol Names"
+If the TLS library supports ALPN
+then a successful negotiation of ALPN will be required for any host
+matching the list, for TLS to be used.
+See also the &%tls_alpn%& option.
+
+&*Note*&: prevention of fallback to in-clear connection is not
+managed by this option; see &%hosts_require_tls%&.
+
 .option hosts_require_dane smtp "host list&!!" unset
 .cindex DANE "transport options"
 .cindex DANE "requiring for certain servers"
@@ -25664,9 +25668,7 @@ incoming messages, use an appropriate ACL.
 This option provides a list of servers to which, provided they announce
 authentication support, Exim will attempt to authenticate as a client when it
 connects. If authentication fails
-.new
 and &%hosts_require_auth%& permits,
-.wen
 Exim will try to transfer the message unauthenticated.
 See also chapter &<<CHAPSMTPAUTH>>& for details of authentication.
 
@@ -25682,13 +25684,11 @@ BDAT will not be used in conjunction with a transport filter.
 .option hosts_try_dane smtp "host list&!!" *
 .cindex DANE "transport options"
 .cindex DANE "attempting for certain servers"
-.new
 If built with DANE support, Exim  will look up a
 TLSA record for any host matching the list,
 If one is found and that lookup was DNSSEC-validated,
 then Exim requires that a DANE-verified TLS connection is made for that host;
 there will be no fallback to in-clear communication.
-.wen
 See the &%dnssec_request_domains%& router and transport options.
 See section &<<SECDANE>>&.
 
@@ -25777,7 +25777,6 @@ so can cause parallel connections to the same host if &%remote_max_parallel%&
 permits this. A value setting of zero disables the limit.
 
 
-.new
 .option message_linelength_limit smtp integer 998
 .cindex "line length" limit
 This option sets the maximum line length, in bytes, that the transport
@@ -25788,7 +25787,6 @@ The default value is that defined by the SMTP standards.
 
 It is generally wise to also check in the data ACL so that messages
 received via SMTP can be refused without producing a bounce.
-.wen
 
 
 .option multi_domain smtp boolean&!! true
@@ -25804,11 +25802,9 @@ It is expanded per-address and can depend on any of
 &$address_data$&, &$domain_data$&, &$local_part_data$&,
 &$host$&, &$host_address$& and &$host_port$&.
 
-.new
 If the connection is DANE-enabled then this option is ignored;
 only messages having the domain used for the DANE TLSA lookup are
 sent on the connection.
-.wen
 
 .option port smtp string&!! "see below"
 .cindex "port" "sending TCP/IP"
@@ -25914,6 +25910,19 @@ This option enables use of SOCKS proxies for connections made by the
 transport.  For details see section &<<SECTproxySOCKS>>&.
 
 
+.option tls_alpn smtp string&!! unset
+.cindex TLS "Application Layer Protocol Names"
+.cindex TLS ALPN
+.cindex ALPN "set name in client"
+If this option is set
+and the TLS library supports ALPN,
+the value given is used.
+
+As of writing no value has been standardised for email use.
+The authors suggest using &"smtp"&.
+
+
+
 .option tls_certificate smtp string&!! unset
 .cindex "TLS" "client certificate, location of"
 .cindex "certificate" "client, location of"
@@ -25978,12 +25987,10 @@ is used in different ways by OpenSSL and GnuTLS (see sections
 ciphers is a preference order.
 
 
-.new
 .option tls_resumption_hosts smtp "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to use the TLS resumption feature.
 See &<<SECTresumption>>& for details.
-.wen
 
 
 
@@ -25993,9 +26000,7 @@ See &<<SECTresumption>>& for details.
 .cindex SNI "setting in client"
 .vindex "&$tls_sni$&"
 If this option is set
-.new
 and the connection is not DANE-validated
-.wen
 then it sets the $tls_out_sni variable and causes any
 TLS session to pass this value as the Server Name Indication extension to
 the remote side, which can be used by the remote side to select an appropriate
@@ -27208,11 +27213,9 @@ permitted to use it as a relay. SMTP authentication is not of relevance to the
 transfer of mail between servers that have no managerial connection with each
 other.
 
-.new
 The name of an authenticator is limited to be &drivernamemax; ASCII characters long;
 prior to Exim 4.95 names would be silently truncated at this length, but now
 it is enforced.
-.wen
 
 .cindex "AUTH" "description of"
 .cindex "ESMTP extensions" AUTH
@@ -27957,10 +27960,8 @@ fixed_plain:
 .endd
 The lack of colons means that the entire text is sent with the AUTH
 command, with the circumflex characters converted to NULs.
-.new
 Note that due to the ambiguity of parsing three consectutive circumflex characters
 there is no way to provide a password having a leading circumflex.
-.wen
 
 
 A similar example
@@ -28287,11 +28288,9 @@ realease for the SCRAM-SHA-256 method.
 The macro _HAVE_AUTH_GSASL_SCRAM_SHA_256 will be defined
 when this happens.
 
-.new
 To see the list of mechanisms supported by the library run Exim with "auth" debug
 enabled and look for a line containing "GNU SASL supports".
 Note however that some may not have been tested from Exim.
-.wen
 
 
 .option client_authz gsasl string&!! unset
@@ -28314,10 +28313,8 @@ the account name to be used.
 
 
 .option client_spassword gsasl string&!! unset
-.new
 This option is only supported for library versions 1.9.1 and greater.
 The macro _HAVE_AUTH_GSASL_SCRAM_S_KEY will be defined when this is so.
-.wen
 
 If a SCRAM mechanism is being used and this option is set
 and correctly sized
@@ -28329,7 +28326,6 @@ with the PBKDF2-prepared password, hex-encoded.
 Note that this value will depend on the salt and iteration-count
 supplied by the server.
 The option is expanded before use.
-.new
 During the expansion &$auth1$& is set with the client username,
 &$auth2$& with the iteration count, and
 &$auth3$& with the salt.
@@ -28346,7 +28342,6 @@ If the authentication succeeds then the above variables are set,
 plus the calculated salted password value value in &$auth4$&,
 during the expansion of the &%client_set_id%& option.
 A side-effect of this expansion can be used to prime the cache.
-.wen
 
 
 .option server_channelbinding gsasl boolean false
@@ -28373,12 +28368,10 @@ of Exim might have switched the default to be true.
 . Do not plan to rely upon this feature for security, ever, without consulting
 . with a subject matter expert (a cryptographic engineer).
 
-.new
 This option was deprecated in previous releases due to doubts over
 the "Triple Handshake" vulnerability.
 Exim takes suitable precausions (requiring Extended Master Secret if TLS
 Session Resumption was used) for safety.
-.wen
 
 
 .option server_hostname gsasl string&!! "see below"
@@ -29051,12 +29044,10 @@ Some other recently added features may only be available in one or the other.
 This should be documented with the feature.  If the documentation does not
 explicitly state that the feature is infeasible in the other TLS
 implementation, then patches are welcome.
-.new
 .next
 The output from "exim -bV" will show which (if any) support was included
 in the build.
 Also, the macro "_HAVE_OPENSSL" or "_HAVE_GNUTLS" will be defined.
-.wen
 .endlist
 
 
@@ -29530,7 +29521,6 @@ There is no current way to staple a proof for a client certificate.
 .endd
 
 
-.new
 .section "Caching of static server configuration items" "SECTserverTLScache"
 .cindex certificate caching
 .cindex privatekey caching
@@ -29582,7 +29572,6 @@ is acceptable in configurations for the Exim executavble.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 accepted by Exim.
-.wen
 
 
 
@@ -29654,13 +29643,11 @@ or need not succeed respectively.
 
 The &%tls_verify_cert_hostnames%& option lists hosts for which additional
 name checks are made on the server certificate.
-.new
 The match against this list is, as per other Exim usage, the
 IP for the host.  That is most closely associated with the
 name on the DNS A (or AAAA) record for the host.
 However, the name that needs to be in the certificate
 is the one at the head of any CNAME chain leading to the A record.
-.wen
 The option defaults to always checking.
 
 The &(smtp)& transport has two OCSP-related options:
@@ -29708,7 +29695,6 @@ outgoing connection.
 
 
 
-.new
 .section "Caching of static client configuration items" "SECTclientTLScache"
 .cindex certificate caching
 .cindex privatekey caching
@@ -29759,7 +29745,6 @@ is acceptable in configurations for the Exim executavble.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 initiated by Exim.
-.wen
 
 
 
@@ -29799,10 +29784,8 @@ nothing more to it.  Choosing a sensible value not derived insecurely is the
 only point of caution.  The &$tls_out_sni$& variable will be set to this string
 for the lifetime of the client connection (including during authentication).
 
-.new
 If DANE validated the connection attempt then the value of the &%tls_sni%& option
 is forced to the domain part of the recipient address.
-.wen
 
 Except during SMTP client sessions, if &$tls_in_sni$& is set then it is a string
 received from a client.
@@ -29844,6 +29827,33 @@ When Exim is built against GnuTLS, SNI support is available as of GnuTLS
 0.5.10.  (Its presence predates the current API which Exim uses, so if Exim
 built, then you have SNI support).
 
+.cindex TLS ALPN
+.cindex ALPN "general information"
+.cindex TLS "Application Layer Protocol Names"
+There is a TLS feature related to SNI
+called Application Layer Protocol Name (ALPN).
+This is intended to declare, or select, what protocol layer will be using a TLS
+connection.
+The client for the connection proposes a set of protocol names, and
+the server responds with a selected one.
+It is not, as of 2021, commonly used for SMTP connections.
+However, to guard against misirected or malicious use of web clients
+(which often do use ALPN) against MTA ports, Exim by default check that
+there is no incompatible ALPN specified by a client for a TLS connection.
+If there is, the connection is rejected.
+
+As a client Exim does not supply ALPN by default.
+The behaviour of both client and server can be configured using the options
+&%tls_alpn%& and &%hosts_require_alpn%&.
+There are no variables providing observability.
+Some feature-specific logging may appear on denied connections, but this
+depends on the behavious of the peer
+(not all peers can send a feature-specific TLS Alert).
+
+This feature is available when Exim is built with
+OpenSSL 1.1.0 or later or GnuTLS 3.2.0 or later;
+the macro _HAVE_TLS_ALPN will be defined when this is so.
+
 
 
 .section "Multiple messages on the same encrypted TCP/IP connection" &&&
@@ -29990,7 +30000,6 @@ Open-source PKI book, available online at
 .ecindex IIDencsmtp2
 
 
-.new
 .section "TLS Resumption" "SECTresumption"
 .cindex TLS resumption
 TLS Session Resumption for TLS 1.2 and TLS 1.3 connections can be used (defined
@@ -30082,7 +30091,6 @@ Issues:
 .endlist
 
 .endlist
-.wen
 
 
 .section DANE "SECDANE"
@@ -31360,8 +31368,9 @@ anyway. If the message contains newlines, this gives rise to a multi-line SMTP
 response.
 
 .vindex "&$acl_verify_message$&"
-For ACLs that are called by an &%acl =%& ACL condition, the message is
-stored in &$acl_verify_message$&, from which the calling ACL may use it.
+While the text is being expanded, the &$acl_verify_message$& variable
+contains any message previously set.
+Afterwards, &$acl_verify_message$& is cleared.
 
 If &%message%& is used on a statement that verifies an address, the message
 specified overrides any message that is generated by the verification process.
@@ -32192,6 +32201,14 @@ content-scanning extension, and is available only in the DATA, MIME, and
 non-SMTP ACLs. It causes the incoming message to be scanned for a match with
 any of the regular expressions. For details, see chapter &<<CHAPexiscan>>&.
 
+.new
+.vitem &*seen&~=&~*&<&'parameters'&>
+.cindex "&%sseen%& ACL condition"
+This condition can be used to test if a situation has been previously met,
+for example for greylisting.
+Details are given in section &<<SECTseen>>&.
+.wen
+
 .vitem &*sender_domains&~=&~*&<&'domain&~list'&>
 .cindex "&%sender_domains%& ACL condition"
 .cindex "sender" "ACL checking"
@@ -32616,12 +32633,10 @@ Section &<<SECTaddmatcon>>& below describes how you can distinguish between
 different values. Some DNS lists may return more than one address record;
 see section &<<SECThanmuldnsrec>>& for details of how they are checked.
 
-.new
 Values returned by a properly running DBSBL should be in the 127.0.0.0/8
 range. If a DNSBL operator loses control of the domain, lookups on it
 may start returning other addresses.  Because of this, Exim now ignores
 returned values outside the 127/8 region.
-.wen
 
 
 .section "Variables set from DNS lists" "SECID204"
@@ -32916,6 +32931,59 @@ address you should specify alternate list separators for both the outer
        dnslists = <; dnsbl.example.com/<|$acl_m_addrslist
 .endd
 
+
+.new
+.section "Previously seen user and hosts" "SECTseen"
+.cindex "&%sseen%& ACL condition"
+.cindex greylisting
+The &%seen%& ACL condition can be used to test whether a
+situation has been previously met.
+It uses a hints database to record a timestamp against a key.
+host. The syntax of the condition is:
+.display
+&`seen =`& <&'time interval'&> &`/`& <&'options'&>
+.endd
+
+For example,
+.code
+defer  seen = -5m / key=${sender_host_address}_$local_part@$domain
+.endd
+in a RCPT ACL will implement simple greylisting.
+
+The parameters for the condition
+are an interval followed, slash-separated, by a list of options.
+The interval is taken as an offset before the current time,
+and used for the test.
+If the interval is preceded by a minus sign then the condition returns
+whether a record is found which is before the test time.
+Otherwise, the condition returns whether one is found which is since the
+test time.
+
+Options are read in order with later ones overriding earlier ones.
+
+The default key is &$sender_host_address$&.
+An explicit key can be set using a &%key=value%& option.
+
+If a &%readonly%& option is given then
+no record create or update is done.
+If a &%write%& option is given then
+a record create or update is always done.
+An update is done if the test is for &"since"&.
+
+Creates and updates are marked with the current time.
+
+Finally, a &"before"& test which succeeds, and for which the record
+is old enough, will be refreshed with a timestamp of the test time.
+This can prevent tidying of the database from removing the entry.
+The interval for this is, by default, 10 days.
+An explicit interval can be set using a
+&%refresh=value%& option.
+
+Note that &"seen"& should be added to the list of hints databases
+for maintenance if this ACL condition is used.
+.wen
+
+
 .section "Rate limiting incoming messages" "SECTratelimiting"
 .cindex "rate limiting" "client sending"
 .cindex "limiting client sending rates"
@@ -33221,7 +33289,6 @@ The &%success_on_redirect%& option causes verification always to succeed
 immediately after a successful redirection. By default, if a redirection
 generates just one address, that address is also verified. See further
 discussion in section &<<SECTredirwhilveri>>&.
-.new
 .next
 If the &%quota%& option is specified for recipient verify,
 successful routing to an appendfile transport is followed by a call into
@@ -33229,7 +33296,6 @@ the transport to evaluate the quota status for the recipient.
 No actual delivery is done, but verification will succeed if the quota
 is sufficient for the message (if the sender gave a message size) or
 not already exceeded (otherwise).
-.wen
 .endlist
 
 .cindex "verifying address" "differentiating failures"
@@ -33246,6 +33312,7 @@ warn  !verify = sender
 If you are writing your own custom rejection message or log message when
 denying access, you can use this variable to include information about the
 verification failure.
+This variable is cleared at the end of processing the ACL verb.
 
 In addition, &$sender_verify_failure$& or &$recipient_verify_failure$& (as
 appropriate) contains one of the following words:
@@ -33263,7 +33330,6 @@ connection, HELO, or MAIL).
 &%recipient%&: The RCPT command in a callout was rejected.
 .next
 &%postmaster%&: The postmaster check in a callout was rejected.
-.new
 .next
 &%quota%&: The quota check for a local recipient did non pass.
 .endlist
@@ -33595,7 +33661,6 @@ behaviour will be the same.
 
 
 
-.new
 .section "Quota caching" "SECTquotacache"
 .cindex "hints database" "quota cache"
 .cindex "quota" "cache, description of"
@@ -33625,7 +33690,6 @@ As above, for a negative entry.
 
 .vitem &*no_cache*&
 Set both positive and negative lifetimes to zero.
-.wen
 
 .section "Sender address verification reporting" "SECTsenaddver"
 .cindex "verifying" "suppressing error details"
@@ -35149,11 +35213,11 @@ C variables are as follows:
 .vlist
 .vitem &*int&~body_linecount*&
 This variable contains the number of lines in the message's body.
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &*int&~body_zerocount*&
 This variable contains the number of binary zero bytes in the message's body.
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &*unsigned&~int&~debug_selector*&
 This variable is set to zero when no debugging is taking place. Otherwise, it
@@ -35188,8 +35252,10 @@ discussed below.
 .vitem &*header_line&~*header_last*&
 A pointer to the last of the header lines.
 
-.vitem &*uschar&~*headers_charset*&
+.new
+.vitem &*const&~uschar&~*headers_charset*&
 The value of the &%headers_charset%& configuration option.
+.wen
 
 .vitem &*BOOL&~host_checking*&
 This variable is TRUE during a host checking session that is initiated by the
@@ -37574,8 +37640,8 @@ lists_request:
 lists_post:
   driver = redirect
   domains = lists.example
-  senders = ${if exists {/usr/lists/$local_part}\
-             {lsearch;/usr/lists/$local_part}{*}}
+  local_parts = ${lookup {$local_part} dsearch,filter=file,ret=full {/usr/lists}}
+  senders = ${if exists {$local_part_data} {lsearch;$local_part_data}{*}}
   file = ${lookup {$local_part} dsearch,ret=full {/usr/lists}}
   forbid_pipe
   forbid_file
@@ -38495,9 +38561,7 @@ When more than one address is included in a single delivery (for example, two
 SMTP RCPT commands in one transaction) the second and subsequent addresses are
 flagged with &`->`& instead of &`=>`&. When two or more messages are delivered
 down a single SMTP connection, an asterisk follows the
-.new
 remote IP address (and port if enabled)
-.wen
 in the log lines for the second and subsequent messages.
 When two or more messages are delivered down a single TLS connection, the
 DNS and some TLS-related information logged for the first message delivered
@@ -38750,6 +38814,7 @@ selection marked by asterisks:
 &` smtp_protocol_error        `&  SMTP protocol errors
 &` smtp_syntax_error          `&  SMTP syntax errors
 &` subject                    `&  contents of &'Subject:'& on <= lines
+&`*taint                      `&  taint errors or warnings
 &`*tls_certificate_verified   `&  certificate verification status
 &`*tls_cipher                 `&  TLS cipher suite on <= and => lines
 &` tls_peerdn                 `&  TLS peer DN on <= and => lines
@@ -38876,9 +38941,7 @@ to the &"<="& line as an IP address in square brackets, tagged by I= and
 followed by a colon and the port number. The local interface and port are also
 added to other SMTP log lines, for example, &"SMTP connection from"&, to
 rejection lines, and (despite the name) to outgoing
-.new
 &"=>"&, &"->"&, &"=="& and &"**"& lines.
-.wen
 The latter can be disabled by turning off the &%outgoing_interface%& option.
 .next
 .cindex log "incoming proxy address"
@@ -39145,6 +39208,11 @@ using a CA trust anchor,
 &`CV=dane`& if using a DNS trust anchor,
 and &`CV=no`& if not.
 .next
+.cindex "log" "Taint warnings"
+&%taint%&: Log warnings about tainted data. This selector can't be
+turned of if &%allow_insecure_tainted_data%& is false (which is the
+default).
+.next
 .cindex "log" "TLS cipher"
 .cindex "TLS" "logging cipher"
 &%tls_cipher%&: When a message is sent or received over an encrypted
@@ -39158,11 +39226,9 @@ added to the log line, preceded by DN=.
 .next
 .cindex "log" "TLS resumption"
 .cindex "TLS" "logging session resumption"
-.new
 &%tls_resumption%&: When a message is sent or received over an encrypted
 connection and the TLS session resumed one used on a previous TCP connection,
 an asterisk is appended to the X= cipher field in the log line.
-.wen
 .next
 .cindex "log" "TLS SNI"
 .cindex "TLS" "logging SNI"
@@ -39710,9 +39776,7 @@ for remote hosts
 .next
 &'ratelimit'&: the data for implementing the ratelimit ACL condition
 .next
-.new
 &'tls'&: TLS session resumption data
-.wen
 .next
 &'misc'&: other hints data
 .endlist
@@ -39734,8 +39798,13 @@ in a transport)
 .section "exim_dumpdb" "SECTdumpdb"
 .cindex "&'exim_dumpdb'&"
 The entire contents of a database are written to the standard output by the
-&'exim_dumpdb'& program, which has no options or arguments other than the
-spool and database names. For example, to dump the retry database:
+&'exim_dumpdb'& program,
+.new
+taking as arguments the spool and database names.
+An option &'-z'& may be given to regest times in UTC;
+otherwise times are in the local timezone.
+.wen
+For example, to dump the retry database:
 .code
 exim_dumpdb /var/spool/exim retry
 .endd
@@ -39821,7 +39890,7 @@ databases is likely to keep on increasing.
 .cindex "&'exim_fixdb'&"
 The &'exim_fixdb'& program is a utility for interactively modifying databases.
 Its main use is for testing Exim, but it might also be occasionally useful for
-getting round problems in a live system. It has no options, and its interface
+getting round problems in a live system. Its interface
 is somewhat crude. On entry, it prompts for input with a right angle-bracket. A
 key of a database record can then be entered, and the data for that record is
 displayed.
@@ -39838,6 +39907,12 @@ resets the time of the next delivery attempt. Time values are given as a
 sequence of digit pairs for year, month, day, hour, and minute. Colons can be
 used as optional separators.
 
+.new
+Both displayed and input times are in the local timezone by default.
+If an option &'-z'& is used on the command line, displayed times
+are in UTC.
+.wen
+
 
 
 
@@ -41222,14 +41297,12 @@ option along with &%$dkim_domain%&.
 If the option is empty after expansion, DKIM signing is not done for this domain,
 and no error will result even if &%dkim_strict%& is set.
 
-.new
 To do, for example, dual-signing with RSA and EC keys
 this could be be used:
 .code
 dkim_selector = ec_sel : rsa_sel
 dkim_private_key = KEYS_DIR/$dkim_selector
 .endd
-.wen
 
 .option dkim_private_key smtp string&!! unset
 This sets the private key to use.
@@ -41707,6 +41780,9 @@ You may deny messages when this occurs.
 .vitem &%temperror%&
 This indicates a temporary error during all processing, including Exim's
 SPF processing.  You may defer messages when this occurs.
+
+.vitem &%invalid%&
+There was an error during processing of the SPF lookup
 .endlist
 
 You can prefix each string with an exclamation mark to  invert
@@ -41743,10 +41819,14 @@ variables:
 
 .vitem &$spf_received$&
 .vindex &$spf_received$&
-  This contains a complete Received-SPF: header that can be
-  added to the message. Please note that according to the SPF
-  draft, this header must be added at the top of the header
-  list. Please see section 10 on how you can do this.
+  This contains a complete Received-SPF: header (name and
+  content) that can be added to the message. Please note that
+  according to the SPF draft, this header must be added at the
+  top of the header list, i.e. with
+.code
+add_header = :at_start:$spf_received
+.endd
+  See section &<<SECTaddheadacl>>& for further details.
 
   Note: in case of "Best-guess" (see below), the convention is
   to put this string in a header called X-SPF-Guess: instead.
@@ -41754,8 +41834,8 @@ variables:
 .vitem &$spf_result$&
 .vindex &$spf_result$&
   This contains the outcome of the SPF check in string form,
-  one of pass, fail, softfail, none, neutral, permerror or
-  temperror.
+  currently one of pass, fail, softfail, none, neutral, permerror,
+  temperror, or &"(invalid)"&.
 
 .vitem &$spf_result_guessed$&
 .vindex &$spf_result_guessed$&
@@ -41832,7 +41912,6 @@ The lookup will return the same result strings as can appear in
 .section "SRS (Sender Rewriting Scheme)" SECTSRS
 .cindex SRS "sender rewriting scheme"
 
-.new
 SRS can be used to modify sender addresses when forwarding so that
 SPF verification does not object to them.
 It operates by encoding the original envelope sender in a new
@@ -41927,7 +42006,6 @@ Example usage:
 .endd
 
 
-.wen