Support ret-full on lsearch. Bug 2611

[exim.git] / src / src / configure.default
diff --git a/src/src/configure.default b/src/src/configure.default

index c053466cf8bc1a289c1e767c8e5007ed5ee3cc43..946137fc9ff838c9eff24b01bc12c51e8e9ea675 100644 (file)
--- a/src/src/configure.default
+++ b/src/src/configure.default
@@ -9,7 +9,7 @@
  # configuration file. There are many more than are mentioned here. The
  # manual is in the file doc/spec.txt in the Exim distribution as a plain
  # ASCII file. Other formats (PostScript, Texinfo, HTML, PDF) are available
  # configuration file. There are many more than are mentioned here. The
  # manual is in the file doc/spec.txt in the Exim distribution as a plain
  # ASCII file. Other formats (PostScript, Texinfo, HTML, PDF) are available
-# from the Exim ftp sites. The manual is also online at the Exim web sites.
+# from the Exim ftp sites. The manual is also online at the Exim website.
  
  
  # This file is divided into several parts, all but the first of which are
  
  
  # This file is divided into several parts, all but the first of which are
@@ -37,6 +37,18 @@
  
  
  
  
  
  
+######################################################################
+#                               MACROS                               #
+######################################################################
+#
+
+# If you want to use a smarthost instead of sending directly to recipient
+# domains, uncomment this macro definition and set a real hostname.
+# An appropriately privileged user can then redirect email on the command-line
+# in emergencies, via -D.
+#
+# ROUTER_SMARTHOST=MAIL.HOSTNAME.FOR.CENTRAL.SERVER.EXAMPLE
+
  ######################################################################
  #                    MAIN CONFIGURATION SETTINGS                     #
  ######################################################################
  ######################################################################
  #                    MAIN CONFIGURATION SETTINGS                     #
  ######################################################################
@@ -107,8 +119,11 @@ hostlist   relay_from_hosts = localhost
  # manual for details. The lists above are used in the access control lists for
  # checking incoming messages. The names of these ACLs are defined here:
  
  # manual for details. The lists above are used in the access control lists for
  # checking incoming messages. The names of these ACLs are defined here:
  
-acl_smtp_rcpt = acl_check_rcpt
-acl_smtp_data = acl_check_data
+acl_smtp_rcpt =         acl_check_rcpt
+.ifdef _HAVE_PRDR
+acl_smtp_data_prdr =    acl_check_prdr
+.endif
+acl_smtp_data =         acl_check_data
  
  # You should not change those settings until you understand how ACLs work.
  
  
  # You should not change those settings until you understand how ACLs work.
  
@@ -154,7 +169,16 @@ acl_smtp_data = acl_check_data
  # tls_privatekey = /etc/ssl/exim.pem
  
  # For OpenSSL, prefer EC- over RSA-authenticated ciphers
  # tls_privatekey = /etc/ssl/exim.pem
  
  # For OpenSSL, prefer EC- over RSA-authenticated ciphers
-# tls_require_ciphers = ECDSA:RSA:!COMPLEMENTOFDEFAULT
+.ifdef _HAVE_OPENSSL
+tls_require_ciphers = ECDSA:RSA:!COMPLEMENTOFDEFAULT
+.endif
+
+# Don't offer resumption to (most) MUAs, who we don't want to reuse
+# tickets.  Once the TLS extension for vended ticket numbers comes
+# though, re-examine since resumption on a single-use ticket is still a benefit.
+.ifdef _HAVE_TLS_RESUME
+tls_resumption_hosts = ${if inlist {$received_port}{587:465} {:}{*}}
+.endif
  
  # In order to support roaming users who wish to send email from anywhere,
  # you may want to make Exim listen on other ports as well as port 25, in
  
  # In order to support roaming users who wish to send email from anywhere,
  # you may want to make Exim listen on other ports as well as port 25, in
@@ -250,8 +274,15 @@ dns_dnssec_ok = 1
  # Enable an efficiency feature.  We advertise the feature; clients
  # may request to use it.  For multi-recipient mails we then can
  # reject or accept per-user after the message is received.
  # Enable an efficiency feature.  We advertise the feature; clients
  # may request to use it.  For multi-recipient mails we then can
  # reject or accept per-user after the message is received.
+# This supports recipient-dependent content filtering; without it
+# you have to temp-reject any recipients after the first that have
+# incompatible filtering, and do the filtering in the data ACL.
+# Even with this enabled, you must support the old style for peers
+# not flagging support for PRDR (visible via $prdr_requested).
  #
  #
+.ifdef _HAVE_PRDR
  prdr_enable = true
  prdr_enable = true
+.endif
  
  
  # By default, Exim expects all envelope addresses to be fully qualified, that
  
  
  # By default, Exim expects all envelope addresses to be fully qualified, that
@@ -271,7 +302,7 @@ prdr_enable = true
  # detail than the default.  Adjust to suit.
  
  log_selector = +smtp_protocol_error +smtp_syntax_error \
  # detail than the default.  Adjust to suit.
  
  log_selector = +smtp_protocol_error +smtp_syntax_error \
-       +tls_certificate_verified
+        +tls_certificate_verified
  
  
  # If you want Exim to support the "percent hack" for certain domains,
  
  
  # If you want Exim to support the "percent hack" for certain domains,
@@ -304,7 +335,7 @@ timeout_frozen_after = 7d
  
  
  # By default, messages that are waiting on Exim's queue are all held in a
  
  
  # By default, messages that are waiting on Exim's queue are all held in a
-# single directory called "input" which it itself within Exim's spool
+# single directory called "input" which is itself within Exim's spool
  # directory. (The default spool directory is specified when Exim is built, and
  # is often /var/spool/exim/.) Exim works best when its queue is kept short, but
  # there are circumstances where this is not always possible. If you uncomment
  # directory. (The default spool directory is specified when Exim is built, and
  # is often /var/spool/exim/.) Exim works best when its queue is kept short, but
  # there are circumstances where this is not always possible. If you uncomment
@@ -461,8 +492,8 @@ acl_check_rcpt:
  
    # Insist that a HELO/EHLO was accepted.
  
  
    # Insist that a HELO/EHLO was accepted.
  
-  require message      = nice hosts say HELO first
-          condition    = ${if def:sender_helo_name}
+  require message       = nice hosts say HELO first
+          condition     = ${if def:sender_helo_name}
  
    # Insist that any other recipient address that we accept is either in one of
    # our local domains, or is in a domain for which we explicitly allow
  
    # Insist that any other recipient address that we accept is either in one of
    # our local domains, or is in a domain for which we explicitly allow
@@ -485,8 +516,8 @@ acl_check_rcpt:
    # examples of how you can get Exim to perform a DNS black list lookup at this
    # point. The first one denies, whereas the second just warns.
    #
    # examples of how you can get Exim to perform a DNS black list lookup at this
    # point. The first one denies, whereas the second just warns.
    #
-  # deny    message       = rejected because $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text
-  #         dnslists      = black.list.example
+  # deny    dnslists      = black.list.example
+  #         message       = rejected because $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text
    #
    # warn    dnslists      = black.list.example
    #         add_header    = X-Warning: $sender_host_address is in a black list at $dnslist_domain
    #
    # warn    dnslists      = black.list.example
    #         add_header    = X-Warning: $sender_host_address is in a black list at $dnslist_domain
@@ -504,12 +535,45 @@ acl_check_rcpt:
    # require verify = csa
    #############################################################################
  
    # require verify = csa
    #############################################################################
  
+  #############################################################################
+  # If doing per-user content filtering then recipients with filters different
+  # to the first recipient must be deferred unless the sender talks PRDR.
+  #
+  # defer  !condition     = $prdr_requested
+  #        condition      = ${if > {0}{$receipients_count}}
+  #        condition      = ${if !eq {$acl_m_content_filter} \
+  #                                  {${lookup PER_RCPT_CONTENT_FILTER}}}
+  # warn   !condition     = $prdr_requested
+  #        condition      = ${if > {0}{$receipients_count}}
+  #        set acl_m_content_filter = ${lookup PER_RCPT_CONTENT_FILTER}
+  #############################################################################
+
    # At this point, the address has passed all the checks that have been
    # configured, so we accept it unconditionally.
  
    accept
  
  
    # At this point, the address has passed all the checks that have been
    # configured, so we accept it unconditionally.
  
    accept
  
  
+# This ACL is used once per recipient, for multi-recipient messages, if
+# we advertised PRDR.  It can be used to perform receipient-dependent
+# header- and body- based filtering and rejections.
+# We set a variable to record that PRDR was active used, so that checking
+# in the data ACL can be skipped.
+
+.ifdef _HAVE_PRDR
+acl_check_prdr:
+  warn  set acl_m_did_prdr = y
+
+  #############################################################################
+  # do lookup on filtering, with $local_part@$domain, deny on filter match
+  #
+  # deny      set acl_m_content_filter = ${lookup PER_RCPT_CONTENT_FILTER}
+  #           condition    = ...
+  #############################################################################
+
+  accept
+.endif
+
  # This ACL is used after the contents of a message have been received. This
  # is the ACL in which you can test a message's headers or body, and in
  # particular, this is where you can invoke external virus or spam scanners.
  # This ACL is used after the contents of a message have been received. This
  # is the ACL in which you can test a message's headers or body, and in
  # particular, this is where you can invoke external virus or spam scanners.
@@ -523,15 +587,15 @@ acl_check_data:
    # Deny if the message contains an overlong line.  Per the standards
    # we should never receive one such via SMTP.
    #
    # Deny if the message contains an overlong line.  Per the standards
    # we should never receive one such via SMTP.
    #
-  deny    message    = maximum allowed line length is 998 octets, \
+  deny    condition  = ${if > {$max_received_linelength}{998}}
+          message    = maximum allowed line length is 998 octets, \
                         got $max_received_linelength
                         got $max_received_linelength
-          condition  = ${if > {$max_received_linelength}{998}}
  
    # Deny if the headers contain badly-formed addresses.
    #
  
    # Deny if the headers contain badly-formed addresses.
    #
-  deny   !verify =     header_syntax
-         message =     header syntax
-         log_message = header syntax ($acl_verify_message)
+  deny    !verify =     header_syntax
+          message =     header syntax
+          log_message = header syntax ($acl_verify_message)
  
    # Deny if the message contains a virus. Before enabling this check, you
    # must install a virus scanner and set the av_scanner option above.
  
    # Deny if the message contains a virus. Before enabling this check, you
    # must install a virus scanner and set the av_scanner option above.
@@ -549,6 +613,19 @@ acl_check_data:
    #                      X-Spam_bar: $spam_bar\n\
    #                      X-Spam_report: $spam_report
  
    #                      X-Spam_bar: $spam_bar\n\
    #                      X-Spam_report: $spam_report
  
+  #############################################################################
+  # No more tests if PRDR was actively used.
+  # accept   condition  = ${if def:acl_m_did_prdr}
+  #
+  # To get here, all message recipients must have identical per-user
+  # content filtering (enforced by RCPT ACL).  Do lookup for filter
+  # and deny on match.
+  #
+  # deny      set acl_m_content_filter = ${lookup PER_RCPT_CONTENT_FILTER}
+  #           condition    = ...
+  #############################################################################
+
+
    # Accept the message.
  
    accept
    # Accept the message.
  
    accept
@@ -580,6 +657,25 @@ begin routers
  #   transport = remote_smtp
  
  
  #   transport = remote_smtp
  
  
+# This router can be used when you want to send all mail to a
+# server which handles DNS lookups for you; an ISP will typically run such
+# a server for their customers.  The hostname in route_data comes from the
+# macro defined at the top of the file.  If not defined, then we'll use the
+# dnslookup router below instead.
+# Beware that the hostname is specified again in the Transport.
+
+.ifdef ROUTER_SMARTHOST
+
+smarthost:
+  driver = manualroute
+  domains = ! +local_domains
+  transport = smarthost_smtp
+  route_data = ROUTER_SMARTHOST
+  ignore_target_hosts = <; 0.0.0.0 ; 127.0.0.0/8 ; ::1
+  no_more
+
+.else
+
  # This router routes addresses that are not in local domains by doing a DNS
  # lookup on the domain name. The exclamation mark that appears in "domains = !
  # +local_domains" is a negating operator, that is, it can be read as "not". The
  # This router routes addresses that are not in local domains by doing a DNS
  # lookup on the domain name. The exclamation mark that appears in "domains = !
  # +local_domains" is a negating operator, that is, it can be read as "not". The
@@ -600,23 +696,11 @@ dnslookup:
    ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
  # if ipv6-enabled then instead use:
  # ignore_target_hosts = <; 0.0.0.0 ; 127.0.0.0/8 ; ::1
    ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
  # if ipv6-enabled then instead use:
  # ignore_target_hosts = <; 0.0.0.0 ; 127.0.0.0/8 ; ::1
-  dnssec_request_domains = *
    no_more
  
    no_more
  
-
-# This alternative router can be used when you want to send all mail to a
-# server which handles DNS lookups for you; an ISP will typically run such
-# a server for their customers.  If you uncomment "smarthost" then you
-# should comment out "dnslookup" above.  Setting a real hostname in route_data
-# wouldn't hurt either.
-
-# smarthost:
-#   driver = manualroute
-#   domains = ! +local_domains
-#   transport = smarthost_smtp
-#   route_data = MAIL.HOSTNAME.FOR.CENTRAL.SERVER.EXAMPLE
-#   ignore_target_hosts = <; 0.0.0.0 ; 127.0.0.0/8 ; ::1
-#   no_more
+# This closes the ROUTER_SMARTHOST ifdef around the choice of routing for
+# off-site mail.
+.endif
  
  
  # The remaining routers handle addresses in the local domain(s), that is those
  
  
  # The remaining routers handle addresses in the local domain(s), that is those
@@ -726,17 +810,11 @@ begin transports
  
  
  # This transport is used for delivering messages over SMTP connections.
  
  
  # This transport is used for delivering messages over SMTP connections.
-# Refuse to send any message with over-long lines, which could have
-# been received other than via SMTP. The use of message_size_limit to
-# enforce this is a red herring.
  
  remote_smtp:
    driver = smtp
  
  remote_smtp:
    driver = smtp
-  hosts_try_prdr = *
-  message_size_limit = ${if > {$max_received_linelength}{998} {1}{0}}
-.ifdef _HAVE_DANE
-  dnssec_request_domains = *
-  hosts_try_dane = *
+.ifdef _HAVE_TLS_RESUME
+  tls_resumption_hosts = *
  .endif
  
  
  .endif
  
  
@@ -749,27 +827,34 @@ remote_smtp:
  
  smarthost_smtp:
    driver = smtp
  
  smarthost_smtp:
    driver = smtp
-  hosts_try_prdr = *
-  message_size_limit = ${if > {$max_received_linelength}{998} {1}{0}}
    multi_domain
    #
  .ifdef _HAVE_TLS
    # Comment out any of these which you have to, then file a Support
    # request with your smarthost provider to get things fixed:
    hosts_require_tls = *
    multi_domain
    #
  .ifdef _HAVE_TLS
    # Comment out any of these which you have to, then file a Support
    # request with your smarthost provider to get things fixed:
    hosts_require_tls = *
-  tls_sni = $host
    tls_verify_hosts = *
    # As long as tls_verify_hosts is enabled, this won't matter, but if you
    # have to comment it out then this will at least log whether you succeed
    # or not:
    tls_try_verify_hosts = *
    #
    tls_verify_hosts = *
    # As long as tls_verify_hosts is enabled, this won't matter, but if you
    # have to comment it out then this will at least log whether you succeed
    # or not:
    tls_try_verify_hosts = *
    #
+  # The SNI name should match the name which we'll expect to verify;
+  # many mail systems don't use SNI and this doesn't matter, but if it does,
+  # we need to send a name which the remote site will recognize.
+  # This _should_ be the name which the smarthost operators specified as
+  # the hostname for sending your mail to.
+  tls_sni = ROUTER_SMARTHOST
+  #
  .ifdef _HAVE_OPENSSL
    tls_require_ciphers = HIGH:!aNULL:@STRENGTH
  .endif
  .ifdef _HAVE_GNUTLS
    tls_require_ciphers = SECURE192:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1
  .endif
  .ifdef _HAVE_OPENSSL
    tls_require_ciphers = HIGH:!aNULL:@STRENGTH
  .endif
  .ifdef _HAVE_GNUTLS
    tls_require_ciphers = SECURE192:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1
  .endif
+.ifdef _HAVE_TLS_RESUME
+  tls_resumption_hosts = *
+.endif
  .endif
  
  
  .endif
  
  
@@ -782,7 +867,7 @@ smarthost_smtp:
  
  local_delivery:
    driver = appendfile
  
  local_delivery:
    driver = appendfile
-  file = /var/mail/$local_part
+  file = /var/mail/$local_part_data
    delivery_date_add
    envelope_to_add
    return_path_add
    delivery_date_add
    envelope_to_add
    return_path_add