Event for auth fail
[exim.git] / doc / doc-docbook / spec.xfpt
index b462f675869364e900e5ad4963bf1a9b715c5422..935a78a39d2252b6fb9a61b499bf763575e6fb19 100644 (file)
@@ -45,7 +45,7 @@
 . Update the Copyright year (only) when changing content.
 . /////////////////////////////////////////////////////////////////////////////
 
-.set previousversion "4.94"
+.set previousversion "4.96"
 .include ./local_params
 
 .set ACL "access control lists (ACLs)"
@@ -54,7 +54,7 @@
 .set drivernamemax "64"
 
 .macro copyyear
-2020
+2022
 .endmacro
 
 . /////////////////////////////////////////////////////////////////////////////
 .itable none 0 0 2 $1 left $2 left
 .endmacro
 
+
+. --- A macro for a "tainted" marker, done as a one-element table
+.macro tmark
+.itable none 0 0 1 10pt left
+.row &'Tainted'&
+.endtable
+.endmacro
+. --- A macro for a tainted variable, adding a taint-marker
+. --- and including the .vitem and .vindex
+.macro tvar
+.vitem $1
+.vindex $1
+.tmark
+.endmacro
+
 . --- A macro that generates .row, but puts &I; at the start of the first
 . --- argument, thus indenting it. Assume a minimum of two arguments, and
 . --- allow up to four arguments, which is as many as we'll ever need.
 </revision></revhistory>
 <copyright><year>
 .copyyear
-           </year><holder>University of Cambridge</holder></copyright>
+           </year><holder>The Exim Maintainers</holder></copyright>
 </bookinfo>
 .literal off
 
 
 . /////////////////////////////////////////////////////////////////////////////
-. This chunk of literal XML implements index entries of the form "x, see y" and
-. "x, see also y". However, the DocBook DTD doesn't allow <indexterm> entries
+. These implement index entries of the form "x, see y" and "x, see also y".
+. However, the DocBook DTD doesn't allow <indexterm> entries
 . at the top level, so we have to put the .chapter directive first.
-
-. These do not turn up in the HTML output, unfortunately.  The PDF does get them.
 . /////////////////////////////////////////////////////////////////////////////
 
 .chapter "Introduction" "CHID1"
-.literal xml
 
-<indexterm role="variable">
-  <primary>$1, $2, etc.</primary>
-  <see><emphasis>numerical variables</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>address</primary>
-  <secondary>rewriting</secondary>
-  <see><emphasis>rewriting</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>Bounce Address Tag Validation</primary>
-  <see><emphasis>BATV</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>Client SMTP Authorization</primary>
-  <see><emphasis>CSA</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>CR character</primary>
-  <see><emphasis>carriage return</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>CRL</primary>
-  <see><emphasis>certificate revocation list</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>delivery</primary>
-  <secondary>failure report</secondary>
-  <see><emphasis>bounce message</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>dialup</primary>
-  <see><emphasis>intermittently connected hosts</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>exiscan</primary>
-  <see><emphasis>content scanning</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>failover</primary>
-  <see><emphasis>fallback</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>fallover</primary>
-  <see><emphasis>fallback</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>filter</primary>
-  <secondary>Sieve</secondary>
-  <see><emphasis>Sieve filter</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>ident</primary>
-  <see><emphasis>RFC 1413</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>LF character</primary>
-  <see><emphasis>linefeed</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>maximum</primary>
-  <seealso><emphasis>limit</emphasis></seealso>
-</indexterm>
-<indexterm role="concept">
-  <primary>monitor</primary>
-  <see><emphasis>Exim monitor</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>no_<emphasis>xxx</emphasis></primary>
-  <see>entry for xxx</see>
-</indexterm>
-<indexterm role="concept">
-  <primary>NUL</primary>
-  <see><emphasis>binary zero</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>passwd file</primary>
-  <see><emphasis>/etc/passwd</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>process id</primary>
-  <see><emphasis>pid</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>RBL</primary>
-  <see><emphasis>DNS list</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>redirection</primary>
-  <see><emphasis>address redirection</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>return path</primary>
-  <seealso><emphasis>envelope sender</emphasis></seealso>
-</indexterm>
-<indexterm role="concept">
-  <primary>scanning</primary>
-  <see><emphasis>content scanning</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>SSL</primary>
-  <see><emphasis>TLS</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>string</primary>
-  <secondary>expansion</secondary>
-  <see><emphasis>expansion</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>top bit</primary>
-  <see><emphasis>8-bit characters</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>variables</primary>
-  <see><emphasis>expansion, variables</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>zero, binary</primary>
-  <see><emphasis>binary zero</emphasis></see>
-</indexterm>
-<indexterm role="concept">
-  <primary>headers</primary>
-  <see><emphasis>header lines</emphasis></see>
+.macro seeother
+.literal xml
+<indexterm role="$2">
+  <primary>$3</primary>
+.arg 5
+  <secondary>$5</secondary>
+.endarg
+  <$1><emphasis>$4</emphasis></$1>
 </indexterm>
-
 .literal off
+.endmacro
+
+. NB: for the 4-arg variant the ordering is awkward
+.macro see
+.seeother see "$1" "$2" "$3" "$4"
+.endmacro
+.macro seealso
+.seeother seealso "$1" "$2" "$3" "$4"
+.endmacro
+
+.see     variable "<emphasis>$1</emphasis>, <emphasis>$2</emphasis>, etc." "numerical variables"
+.see     concept address       rewriting                       rewriting
+.see     concept "Bounce Address Tag Validation"       BATV
+.see     concept "Client SMTP Authorization"           CSA
+.see     concept "CR character"        "carriage return"
+.see     concept CRL           "certificate revocation list"
+.seealso concept de-tainting   "tainted data"
+.see     concept delivery      "bounce message"                "failure report"
+.see     concept dialup                "intermittently connected hosts"
+.see     concept exiscan       "content scanning"
+.see     concept fallover      fallback
+.see     concept filter        "Sieve filter"                  Sieve
+.see     concept headers       "header lines"
+.see     concept ident         "RFC 1413"
+.see     concept "LF character"        "linefeed"
+.seealso concept maximum       limit
+.see     concept monitor       "Exim monitor"
+.see     concept "no_<emphasis>xxx</emphasis>"         "entry for xxx"
+.see     concept NUL           "binary zero"
+.see     concept "passwd file" "/etc/passwd"
+.see     concept "process id"  pid
+.see     concept RBL           "DNS list"
+.see     concept redirection   "address redirection"
+.see     concept "return path" "envelope sender"
+.see     concept scanning      "content scanning"
+.see     concept SSL           TLS
+.see     concept string                expansion expansion
+.see     concept "top bit"     "8-bit characters"
+.see     concept variables     "expansion, variables"
+.see     concept "zero, binary"        "binary zero"
 
 
 . /////////////////////////////////////////////////////////////////////////////
@@ -758,17 +694,17 @@ the Exim documentation, &"spool"& is always used in the first sense.
 .chapter "Incorporated code" "CHID2"
 .cindex "incorporated code"
 .cindex "regular expressions" "library"
-.cindex "PCRE"
+.cindex "PCRE2"
 .cindex "OpenDMARC"
 A number of pieces of external code are included in the Exim distribution.
 
 .ilist
 Regular expressions are supported in the main Exim program and in the
-Exim monitor using the freely-distributable PCRE library, copyright
-&copy; University of Cambridge. The source to PCRE is no longer shipped with
-Exim, so you will need to use the version of PCRE shipped with your system,
+Exim monitor using the freely-distributable PCRE2 library, copyright
+&copy; University of Cambridge. The source to PCRE2 is not longer shipped with
+Exim, so you will need to use the version of PCRE2 shipped with your system,
 or obtain and install the full version of the library from
-&url(ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre).
+&url(https://github.com/PhilipHazel/pcre2/releases).
 .next
 .cindex "cdb" "acknowledgment"
 Support for the cdb (Constant DataBase) lookup method is provided by code
@@ -1378,7 +1314,7 @@ The preconditions that are tested for each router are listed below, in the
 order in which they are tested. The individual configuration options are
 described in more detail in chapter &<<CHAProutergeneric>>&.
 
-.ilist
+.olist
 .cindex affix "router precondition"
 The &%local_part_prefix%& and &%local_part_suffix%& options can specify that
 the local parts handled by the router may or must have certain prefixes and/or
@@ -1413,8 +1349,8 @@ check an address given in the SMTP EXPN command (see the &%expn%& option).
 .next
 If the &%domains%& option is set, the domain of the address must be in the set
 of domains that it defines.
-.new
 .cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using router domains option"
 A match verifies the variable &$domain$& (which carries tainted data)
 and assigns an untainted value to the &$domain_data$& variable.
 Such an untainted value is often needed in the transport.
@@ -1423,7 +1359,6 @@ refer to section &<<SECTdomainlist>>&.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
-.wen
 
 .next
 .vindex "&$local_part_prefix$&"
@@ -1434,7 +1369,6 @@ rather than the generic &%condition%& option.
 .cindex affix "router precondition"
 If the &%local_parts%& option is set, the local part of the address must be in
 the set of local parts that it defines.
-.new
 A match verifies the variable &$local_part$& (which carries tainted data)
 and assigns an untainted value to the &$local_part_data$& variable.
 Such an untainted value is often needed in the transport.
@@ -1443,7 +1377,6 @@ refer to section &<<SECTlocparlis>>&.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
-.wen
 
 If &%local_part_prefix%& or
 &%local_part_suffix%& is in use, the prefix or suffix is removed from the local
@@ -1484,7 +1417,6 @@ If the &%condition%& option is set, it is evaluated and tested. This option
 uses an expanded string to allow you to set up your own custom preconditions.
 Expanded strings are described in chapter &<<CHAPexpand>>&.
 
-.new
 Note that while using
 this option for address matching technically works,
 it does not set any de-tainted values.
@@ -1492,7 +1424,6 @@ Such values are often needed, either for router-specific options or
 for transport options.
 Using the &%domains%& and &%local_parts%& options is usually the most
 convenient way to obtain them.
-.wen
 .endlist
 
 
@@ -1510,7 +1441,7 @@ example, &_.procmailrc_&).
 .cindex "delivery" "in detail"
 When a message is to be delivered, the sequence of events is as follows:
 
-.ilist
+.olist
 If a system-wide filter file is specified, the message is passed to it. The
 filter may add recipients to the message, replace the recipients, discard the
 message, cause a new message to be generated, or cause the message delivery to
@@ -1621,7 +1552,7 @@ as permanent.
 
 
 
-.section "Temporary delivery failure" "SECID20"
+.subsection "Temporary delivery failure" SECID20
 .cindex "delivery" "temporary failure"
 There are many reasons why a message may not be immediately deliverable to a
 particular address. Failure to connect to a remote machine (because it, or the
@@ -1645,7 +1576,7 @@ one connection.
 
 
 
-.section "Permanent delivery failure" "SECID21"
+.subsection "Permanent delivery failure" SECID21
 .cindex "delivery" "permanent failure"
 .cindex "bounce message" "when generated"
 When a message cannot be delivered to some or all of its intended recipients, a
@@ -1673,7 +1604,7 @@ of the list.
 
 
 
-.section "Failures to deliver bounce messages" "SECID22"
+.subsection "Failures to deliver bounce messages" SECID22
 .cindex "bounce message" "failure to deliver"
 If a bounce message (either locally generated or received from a remote host)
 itself suffers a permanent delivery failure, the message is left in the queue,
@@ -1743,20 +1674,20 @@ overridden if necessary.
 A C99-capable compiler will be required for the build.
 
 
-.section "PCRE library" "SECTpcre"
-.cindex "PCRE library"
-Exim no longer has an embedded PCRE library as the vast majority of
-modern systems include PCRE as a system library, although you may need to
-install the PCRE package or the PCRE development package for your operating
-system. If your system has a normal PCRE installation the Exim build
+.section "PCRE2 library" "SECTpcre"
+.cindex "PCRE2 library"
+Exim no longer has an embedded regular-expression library as the vast majority of
+modern systems include PCRE2 as a system library, although you may need to
+install the PCRE2 package or the PCRE2 development package for your operating
+system. If your system has a normal PCRE2 installation the Exim build
 process will need no further configuration. If the library or the
-headers are in an unusual location you will need to either set the PCRE_LIBS
+headers are in an unusual location you will need to either set the PCRE2_LIBS
 and INCLUDE directives appropriately,
-or set PCRE_CONFIG=yes to use the installed &(pcre-config)& command.
+or set PCRE2_CONFIG=yes to use the installed &(pcre-config)& command.
 If your operating system has no
-PCRE support then you will need to obtain and build the current PCRE
-from &url(ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/).
-More information on PCRE is available at &url(https://www.pcre.org/).
+PCRE2 support then you will need to obtain and build the current PCRE2
+from &url(https://github.com/PhilipHazel/pcre2/releases).
+More information on PCRE2 is available at &url(https://www.pcre.org/).
 
 .section "DBM libraries" "SECTdb"
 .cindex "DBM libraries" "discussion of"
@@ -1809,9 +1740,11 @@ the traditional &'ndbm'& interface.
 .next
 To complicate things further, there are several very different versions of the
 Berkeley DB package. Version 1.85 was stable for a very long time, releases
-2.&'x'& and 3.&'x'& were current for a while, but the latest versions when Exim last revamped support were numbered 4.&'x'&.
-Maintenance of some of the earlier releases has ceased. All versions of
-Berkeley DB could be obtained from
+2.&'x'& and 3.&'x'& were current for a while,
+but the latest versions when Exim last revamped support were numbered 5.&'x'&.
+Maintenance of some of the earlier releases has ceased,
+and Exim no longer supports versions before 3.&'x'&.
+All versions of Berkeley DB could be obtained from
 &url(http://www.sleepycat.com/), which is now a redirect to their new owner's
 page with far newer versions listed.
 It is probably wise to plan to move your storage configurations away from
@@ -1835,6 +1768,7 @@ USE_DB=yes
 .endd
 Similarly, for gdbm you set USE_GDBM, and for tdb you set USE_TDB. An
 error is diagnosed if you set more than one of these.
+You can set USE_NDBM if needed to override an operating system default.
 
 At the lowest level, the build-time configuration sets none of these options,
 thereby assuming an interface of type (1). However, some operating system
@@ -1849,7 +1783,9 @@ in one of these lines:
 .code
 DBMLIB = -ldb
 DBMLIB = -ltdb
+DBMLIB = -lgdbm -lgdbm_compat
 .endd
+The last of those was for a Linux having GDBM provide emulated NDBM facilities.
 Settings like that will work if the DBM library is installed in the standard
 place. Sometimes it is not, and the library's header file may also not be in
 the default path. You may need to set INCLUDE to specify where the header
@@ -2585,6 +2521,25 @@ use of Exim's filtering capabilities, you should make the document entitled
 
 
 
+.section "Running the daemon" SECTdaemonLaunch
+The most common command line for launching the Exim daemon looks like
+.code
+exim -bd -q5m
+.endd
+This starts a daemon which
+.ilist
+listens for incoming smtp connections, launching handler processes for
+each new one
+.next
+starts a queue-runner process every five minutes, to inspect queued messages
+and run delivery attempts on any that have arrived at their retry time
+.endlist
+Should a queue run take longer than the time between queue-runner starts,
+they will run in parallel.
+Numbers of jobs of the various types are subject to policy controls
+defined in the configuration.
+
+
 .section "Upgrading Exim" "SECID36"
 .cindex "upgrading Exim"
 If you are already running Exim on your host, building and installing a new
@@ -2879,6 +2834,12 @@ defined and macros will be expanded.
 Because macros in the config file are often used for secrets, those are only
 available to admin users.
 
+.new
+The word &"set"& at the start of a line, followed by a single space,
+is recognised specially as defining a value for a variable.
+The syntax is otherwise the same as the ACL modifier &"set ="&.
+.wen
+
 .vitem &%-bem%&&~<&'filename'&>
 .oindex "&%-bem%&"
 .cindex "testing" "string expansion"
@@ -3668,41 +3629,41 @@ of debugging data, respectively. For example, &%-d+filter%& adds filter
 debugging, whereas &%-d-all+filter%& selects only filter debugging. Note that
 no spaces are allowed in the debug setting. The available debugging categories
 are:
-.display
-&`acl            `& ACL interpretation
-&`auth           `& authenticators
-&`deliver        `& general delivery logic
-&`dns            `& DNS lookups (see also resolver)
-&`dnsbl          `& DNS black list (aka RBL) code
-&`exec           `& arguments for &[execv()]& calls
-&`expand         `& detailed debugging for string expansions
-&`filter         `& filter handling
-&`hints_lookup   `& hints data lookups
-&`host_lookup    `& all types of name-to-IP address handling
-&`ident          `& ident lookup
-&`interface      `& lists of local interfaces
-&`lists          `& matching things in lists
-&`load           `& system load checks
-&`local_scan     `& can be used by &[local_scan()]& (see chapter &&&
-                    &<<CHAPlocalscan>>&)
-&`lookup         `& general lookup code and all lookups
-&`memory         `& memory handling
-&`noutf8         `& modifier: avoid UTF-8 line-drawing
-&`pid            `& modifier: add pid to debug output lines
-&`process_info   `& setting info for the process log
-&`queue_run      `& queue runs
-&`receive        `& general message reception logic
-&`resolver       `& turn on the DNS resolver's debugging output
-&`retry          `& retry handling
-&`rewrite        `& address rewriting
-&`route          `& address routing
-&`timestamp      `& modifier: add timestamp to debug output lines
-&`tls            `& TLS logic
-&`transport      `& transports
-&`uid            `& changes of uid/gid and looking up uid/gid
-&`verify         `& address verification logic
-&`all            `& almost all of the above (see below), and also &%-v%&
-.endd
+.itable none 0 0 2 20* left 80* left
+.irow acl            "ACL interpretation"
+.irow auth           "authenticators"
+.irow deliver        "general delivery logic"
+.irow dns            "DNS lookups (see also resolver)"
+.irow dnsbl          "DNS black list (aka RBL) code"
+.irow exec           "arguments for &[execv()]& calls"
+.irow expand         "detailed debugging for string expansions"
+.irow filter         "filter handling"
+.irow hints_lookup   "hints data lookups"
+.irow host_lookup    "all types of name-to-IP address handling"
+.irow ident          "ident lookup"
+.irow interface      "lists of local interfaces"
+.irow lists          "matching things in lists"
+.irow load           "system load checks"
+.irow local_scan     "can be used by &[local_scan()]& (see chapter &&&
+                    &<<CHAPlocalscan>>&)"
+.irow lookup         "general lookup code and all lookups"
+.irow memory         "memory handling"
+.irow noutf8         "modifier: avoid UTF-8 line-drawing"
+.irow pid            "modifier: add pid to debug output lines"
+.irow process_info   "setting info for the process log"
+.irow queue_run      "queue runs"
+.irow receive        "general message reception logic"
+.irow resolver       "turn on the DNS resolver's debugging output"
+.irow retry          "retry handling"
+.irow rewrite        "address rewriting""
+.irow route          "address routing"
+.irow timestamp      "modifier: add timestamp to debug output lines"
+.irow tls            "TLS logic"
+.irow transport      "transports"
+.irow uid            "changes of uid/gid and looking up uid/gid"
+.irow verify         "address verification logic"
+.irow all            "almost all of the above (see below), and also &%-v%&"
+.endtable
 The &`all`& option excludes &`memory`& when used as &`+all`&, but includes it
 for &`-all`&. The reason for this is that &`+all`& is something that people
 tend to use when generating debug output for Exim maintainers. If &`+memory`&
@@ -3944,7 +3905,6 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that a
 remote host supports the ESMTP &_CHUNKING_& extension.
 
-.new
 .vitem &%-MCL%&
 .oindex "&%-MCL%&"
 This option is not intended for use by external callers. It is used internally
@@ -3952,7 +3912,6 @@ by Exim in conjunction with the &%-MC%& option. It signifies that the server to
 which Exim is connected advertised limits on numbers of mails, recipients or
 recipient domains.
 The limits are given by the following three arguments.
-.wen
 
 .vitem &%-MCP%&
 .oindex "&%-MCP%&"
@@ -3960,14 +3919,12 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that the server to
 which Exim is connected supports pipelining.
 
-.new
 .vitem &%-MCp%&
 .oindex "&%-MCp%&"
 This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that the connection
 t a remote server is via a SOCKS proxy, using addresses and ports given by
 the following four arguments.
-.wen
 
 .vitem &%-MCQ%&&~<&'process&~id'&>&~<&'pipe&~fd'&>
 .oindex "&%-MCQ%&"
@@ -3978,12 +3935,10 @@ together with the file descriptor number of an open pipe. Closure of the pipe
 signals the final completion of the sequence of processes that are passing
 messages through the same SMTP connection.
 
-.new
 .vitem &%-MCq%&&~<&'recipient&~address'&>&~<&'size'&>
 .oindex "&%-MCq%&"
 This option is not intended for use by external callers. It is used internally
 by Exim to implement quota checking for local users.
-.wen
 
 .vitem &%-MCS%&
 .oindex "&%-MCS%&"
@@ -3998,7 +3953,6 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option, and passes on the fact that the
 host to which Exim is connected supports TLS encryption.
 
-.new
 .vitem &%-MCr%&&~<&'SNI'&> &&&
        &%-MCs%&&~<&'SNI'&>
 .oindex "&%-MCs%&"
@@ -4008,7 +3962,6 @@ by Exim in conjunction with the &%-MCt%& option, and passes on the fact that
 a TLS Server Name Indication was sent as part of the channel establishment.
 The argument gives the SNI string.
 The "r" variant indicates a DANE-verified connection.
-.wen
 
 .vitem &%-MCt%&&~<&'IP&~address'&>&~<&'port'&>&~<&'cipher'&>
 .oindex "&%-MCt%&"
@@ -4530,7 +4483,6 @@ of the syntax, and how it interacts with configuration file options, are given
 in chapter &<<CHAPinterfaces>>&. When &%-oX%& is used to start a daemon, no pid
 file is written unless &%-oP%& is also present to specify a pid filename.
 
-.new
 .vitem &%-oY%&
 .oindex &%-oY%&
 .cindex "daemon notifier socket"
@@ -4549,7 +4501,6 @@ fast ramp-up of queue runner processes
 .next
 obtaining a current queue size
 .endlist
-.wen
 
 .vitem &%-pd%&
 .oindex "&%-pd%&"
@@ -6643,9 +6594,9 @@ Chapter &<<CHAPplaintext>>& covers both.
 .chapter "Regular expressions" "CHAPregexp"
 
 .cindex "regular expressions" "library"
-.cindex "PCRE"
+.cindex "PCRE2"
 Exim supports the use of regular expressions in many of its options. It
-uses the PCRE regular expression library; this provides regular expression
+uses the PCRE2 regular expression library; this provides regular expression
 matching that is compatible with Perl 5. The syntax and semantics of
 regular expressions is discussed in
 online Perl manpages, in
@@ -6657,10 +6608,10 @@ O'Reilly (see &url(http://www.oreilly.com/catalog/regex2/)).
 . --- to the old URL for now.  2018-09-07.
 
 The documentation for the syntax and semantics of the regular expressions that
-are supported by PCRE is included in the PCRE distribution, and no further
-description is included here. The PCRE functions are called from Exim using
-the default option settings (that is, with no PCRE options set), except that
-the PCRE_CASELESS option is set when the matching is required to be
+are supported by PCRE2 is included in the PCRE2 distribution, and no further
+description is included here. The PCRE2 functions are called from Exim using
+the default option settings (that is, with no PCRE2 options set), except that
+the PCRE2_CASELESS option is set when the matching is required to be
 case-insensitive.
 
 In most cases, when a regular expression is required in an Exim configuration,
@@ -6744,6 +6695,7 @@ domains = ${lookup{$sender_host_address}lsearch{/some/file}}
 domains = lsearch;/some/file
 .endd
 The first uses a string expansion, the result of which must be a domain list.
+The key for an expansion-style lookup must be given explicitly.
 No strings have been specified for a successful or a failing lookup; the
 defaults in this case are the looked-up data and an empty string, respectively.
 The expansion takes place before the string is processed as a list, and the
@@ -6755,6 +6707,7 @@ file that is searched could contain lines like this:
 When the lookup succeeds, the result of the expansion is a list of domains (and
 possibly other types of item that are allowed in domain lists).
 .cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using a lookup expansion""
 The result of the expansion is not tainted.
 
 In the second example, the lookup is a single item in a domain list. It causes
@@ -6768,6 +6721,10 @@ domain2:
 Any data that follows the keys is not relevant when checking that the domain
 matches the list item.
 
+The key for a list-style lookup is implicit, from the lookup context, if
+the lookup is a single-key type (see below).
+For query-style lookup types the key must be given explicitly.
+
 It is possible, though no doubt confusing, to use both kinds of lookup at once.
 Consider a file containing lines like this:
 .code
@@ -6777,7 +6734,6 @@ If the value of &$sender_host_address$& is 192.168.5.6, expansion of the
 first &%domains%& setting above generates the second setting, which therefore
 causes a second lookup to occur.
 
-.new
 The lookup type may optionally be followed by a comma
 and a comma-separated list of options.
 Each option is a &"name=value"& pair.
@@ -6787,7 +6743,6 @@ All lookups support the option &"cache=no_rd"&.
 If this is given then the cache that Exim manages for lookup results
 is not checked before doing the lookup.
 The result of the lookup is still written to the cache.
-.wen
 
 The rest of this chapter describes the different lookup types that are
 available. Any of them can be used in any part of the configuration where a
@@ -6804,20 +6759,24 @@ The &'single-key'& type requires the specification of a file in which to look,
 and a single key to search for. The key must be a non-empty string for the
 lookup to succeed. The lookup type determines how the file is searched.
 .cindex "tainted data" "single-key lookups"
-The file string may not be tainted
+The file string may not be tainted.
 
 .cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using a single-key lookup"
 All single-key lookups support the option &"ret=key"&.
 If this is given and the lookup
 (either underlying implementation or cached value)
 returns data, the result is replaced with a non-tainted
 version of the lookup key.
-.cindex "tainted data" "de-tainting"
 .next
 .cindex "query-style lookup" "definition of"
 The &'query-style'& type accepts a generalized database query. No particular
 key value is assumed by Exim for query-style lookups. You can use whichever
 Exim variables you need to construct the database query.
+.cindex "tainted data" "quoting for lookups"
+If tainted data is used in the query then it should be quuted by
+using the &*${quote_*&<&'lookup-type'&>&*:*&<&'string'&>&*}*& expansion operator
+appropriate for the lookup.
 .endlist
 
 The code for each lookup type is in a separate source file that is included in
@@ -6970,11 +6929,9 @@ the implicit key is the host's IP address rather than its name (see section
 IPv4, in dotted-quad form. (Exim converts IPv4-mapped IPv6 addresses to this
 notation before executing the lookup.)
 
-.new
 One option is supported, "ret=full", to request the return of the entire line
-rather than omitting the key porttion.
+rather than omitting the key portion.
 Note however that the key portion will have been de-quoted.
-.wen
 
 .next
 .cindex lookup json
@@ -6995,7 +6952,6 @@ is returned.
 For elements of type string, the returned value is de-quoted.
 
 
-.new
 .next
 .cindex LMDB
 .cindex lookup lmdb
@@ -7013,7 +6969,6 @@ To enable LMDB support in Exim set LOOKUP_LMDB=yes in &_Local/Makefile_&.
 
 You will need to separately create the LMDB database file,
 possibly using the &"mdb_load"& utility.
-.wen
 
 
 .next
@@ -7415,6 +7370,10 @@ lookups. However, because (apart from the daemon) Exim operates as a collection
 of independent, short-lived processes, this caching applies only within a
 single Exim process. There is no inter-process lookup caching facility.
 
+If an option &"cache=no_rd"& is used on the lookup then
+the cache is only written to, cached data is not used for the operation
+and a real lookup is done.
+
 For single-key lookups, Exim keeps the relevant files open in case there is
 another lookup that needs them. In some types of configuration this can lead to
 many files being kept open for messages with many recipients. To avoid hitting
@@ -7535,7 +7494,7 @@ specified.
 ${lookup dnsdb{>:,; soa=a.b.example.com}}
 .endd
 
-.section "Dnsdb lookup modifiers" "SECTdnsdb_mod"
+.subsection "Dnsdb lookup modifiers" SECTdnsdb_mod
 .cindex "dnsdb modifiers"
 .cindex "modifiers" "dnsdb"
 .cindex "options" "dnsdb"
@@ -7593,7 +7552,7 @@ The cache entry lifetime is limited to the smallest time-to-live (TTL)
 value of the set of returned DNS records.
 
 
-.section "Pseudo dnsdb record types" "SECID66"
+.subsection "Pseudo dnsdb record types" SECID66
 .cindex "MX record" "in &(dnsdb)& lookup"
 By default, both the preference value and the host name are returned for
 each MX record, separated by a space. If you want only host names, you can use
@@ -7649,7 +7608,7 @@ ${lookup dnsdb {>; a+=$sender_helo_name}}
 .endd
 
 
-.section "Multiple dnsdb lookups" "SECID67"
+.subsection "Multiple dnsdb lookups" SECID67
 In the previous sections, &(dnsdb)& lookups for a single domain are described.
 However, you can specify a list of domains or IP addresses in a single
 &(dnsdb)& lookup. The list is specified in the normal Exim way, with colon as
@@ -7714,7 +7673,7 @@ the data returned by a successful lookup is described in the next section.
 First we explain how LDAP queries are coded.
 
 
-.section "Format of LDAP queries" "SECTforldaque"
+.subsection "Format of LDAP queries" SECTforldaque
 .cindex "LDAP" "query format"
 An LDAP query takes the form of a URL as defined in RFC 2255. For example, in
 the configuration of a &(redirect)& router one might have this setting:
@@ -7743,7 +7702,7 @@ methods become optional, only taking effect if not specifically set in
 &_exim.conf_&.
 
 
-.section "LDAP quoting" "SECID68"
+.subsection "LDAP quoting" SECID68
 .cindex "LDAP" "quoting"
 Two levels of quoting are required in LDAP queries, the first for LDAP itself
 and the second because the LDAP query is represented as a URL. Furthermore,
@@ -7800,7 +7759,7 @@ There are some further comments about quoting in the section on LDAP
 authentication below.
 
 
-.section "LDAP connections" "SECID69"
+.subsection "LDAP connections" SECID69
 .cindex "LDAP" "connections"
 The connection to an LDAP server may either be over TCP/IP, or, when OpenLDAP
 is in use, via a Unix domain socket. The example given above does not specify
@@ -7874,7 +7833,7 @@ Using &`ldapi`& with no host or path in the query, and no setting of
 
 
 
-.section "LDAP authentication and control information" "SECID70"
+.subsection "LDAP authentication and control information" SECID70
 .cindex "LDAP" "authentication"
 The LDAP URL syntax provides no way of passing authentication and other control
 information to the server. To make this possible, the URL in an LDAP query may
@@ -7882,16 +7841,16 @@ be preceded by any number of <&'name'&>=<&'value'&> settings, separated by
 spaces. If a value contains spaces it must be enclosed in double quotes, and
 when double quotes are used, backslash is interpreted in the usual way inside
 them. The following names are recognized:
-.display
-&`DEREFERENCE`&  set the dereferencing parameter
-&`NETTIME    `&  set a timeout for a network operation
-&`USER       `&  set the DN, for authenticating the LDAP bind
-&`PASS       `&  set the password, likewise
-&`REFERRALS  `&  set the referrals parameter
-&`SERVERS    `&  set alternate server list for this query only
-&`SIZE       `&  set the limit for the number of entries returned
-&`TIME       `&  set the maximum waiting time for a query
-.endd
+.itable none 0 0 2 20* left 80* left
+.irow DEREFERENCE "set the dereferencing parameter"
+.irow NETTIME     "set a timeout for a network operation"
+.irow USER        "set the DN, for authenticating the LDAP bind"
+.irow PASS        "set the password, likewise"
+.irow REFERRALS   "set the referrals parameter"
+.irow SERVERS     "set alternate server list for this query only"
+.irow SIZE        "set the limit for the number of entries returned"
+.irow TIME        "set the maximum waiting time for a query"
+.endtable
 The value of the DEREFERENCE parameter must be one of the words &"never"&,
 &"searching"&, &"finding"&, or &"always"&. The value of the REFERRALS parameter
 must be &"follow"& (the default) or &"nofollow"&. The latter stops the LDAP
@@ -7968,7 +7927,7 @@ SMTP authentication. See the &%ldapauth%& expansion string condition in chapter
 
 
 
-.section "Format of data returned by LDAP" "SECID71"
+.subsection "Format of data returned by LDAP" SECID71
 .cindex "LDAP" "returned data formats"
 The &(ldapdn)& lookup type returns the Distinguished Name from a single entry
 as a sequence of values, for example
@@ -8102,7 +8061,7 @@ If the result of the query yields more than one row, it is all concatenated,
 with a newline between the data for each row.
 
 
-.section "More about MySQL, PostgreSQL, Oracle, InterBase, and Redis" "SECID72"
+.subsection "More about MySQL, PostgreSQL, Oracle, InterBase, and Redis" SECID72
 .cindex "MySQL" "lookup type"
 .cindex "PostgreSQL lookup type"
 .cindex "lookup" "MySQL"
@@ -8172,7 +8131,7 @@ itself are escaped with backslashes.
 The &%quote_redis%& expansion operator
 escapes whitespace and backslash characters with a backslash.
 
-.section "Specifying the server in the query" "SECTspeserque"
+.subsection "Specifying the server in the query" SECTspeserque
 For MySQL, PostgreSQL and Redis lookups (but not currently for Oracle and InterBase),
 it is possible to specify a list of servers with an individual query. This is
 done by appending a comma-separated option to the query type:
@@ -8222,7 +8181,7 @@ arguments in the query, for explicit expansion.
 &*Note*&: server specifications in list-style lookups are still problematic.
 
 
-.section "Special MySQL features" "SECID73"
+.subsection "Special MySQL features" SECID73
 For MySQL, an empty host name or the use of &"localhost"& in &%mysql_servers%&
 causes a connection to the server on the local host by means of a Unix domain
 socket. An alternate socket can be specified in parentheses.
@@ -8247,7 +8206,7 @@ anything (for example, setting a field to the value it already has), the result
 is zero because no rows are affected.
 
 
-.section "Special PostgreSQL features" "SECID74"
+.subsection "Special PostgreSQL features" SECID74
 PostgreSQL lookups can also use Unix domain socket connections to the database.
 This is usually faster and costs less CPU time than a TCP/IP connection.
 However it can be used only if the mail server runs on the same machine as the
@@ -8264,14 +8223,13 @@ If a PostgreSQL query is issued that does not request any data (an insert,
 update, or delete command), the result of the lookup is the number of rows
 affected.
 
-.section "More about SQLite" "SECTsqlite"
+.subsection "More about SQLite" SECTsqlite
 .cindex "lookup" "SQLite"
 .cindex "sqlite lookup type"
 SQLite is different to the other SQL lookups because a filename is required in
 addition to the SQL query. An SQLite database is a single file, and there is no
 daemon as in the other SQL databases.
 
-.new
 .oindex &%sqlite_dbfile%&
 There are two ways of
 specifying the file.
@@ -8281,7 +8239,6 @@ is to use an option appended, comma-separated, to the &"sqlite"&
 lookup type word.  The option is the word &"file"&, then an equals,
 then the filename.
 The filename in this case cannot contain whitespace or open-brace charachters.
-.wen
 
 A deprecated method is available, prefixing the query with the filename
 separated by white space.
@@ -8317,7 +8274,7 @@ waits for the lock to be released. In Exim, the default timeout is set
 to 5 seconds, but it can be changed by means of the &%sqlite_lock_timeout%&
 option.
 
-.section "More about Redis" "SECTredis"
+.subsection "More about Redis" SECTredis
 .cindex "lookup" "Redis"
 .cindex "redis lookup type"
 Redis is a non-SQL database. Commands are simple get and set.
@@ -8366,6 +8323,34 @@ domain, host, address and local part lists.
 
 
 
+.section "Results of list checking" SECTlistresults
+The primary result of doing a list check is a truth value.
+In some contexts additional information is stored
+about the list element that matched:
+.vlist
+.vitem hosts
+A &%hosts%& ACL condition
+will store a result in the &$host_data$& variable.
+.vitem local_parts
+A &%local_parts%& router option or &%local_parts%& ACL condition
+will store a result in the &$local_part_data$& variable.
+.vitem domains
+A &%domains%& router option or &%domains%& ACL condition
+will store a result in the &$domain_data$& variable.
+.vitem senders
+A &%senders%& router option or &%senders%& ACL condition
+will store a result in the &$sender_data$& variable.
+.vitem recipients
+A &%recipients%& ACL condition
+will store a result in the &$recipient_data$& variable.
+.endlist
+
+The detail of the additional information depends on the
+type of match and is given below as the &*value*& information.
+
+
+
+
 .section "Expansion of lists" "SECTlistexpand"
 .cindex "expansion" "of lists"
 Each list is expanded as a single string before it is used.
@@ -8401,7 +8386,7 @@ senders based on the receiving domain.
 
 
 
-.section "Negated items in lists" "SECID76"
+.subsection "Negated items in lists" SECID76
 .cindex "list" "negation"
 .cindex "negation" "in lists"
 Items in a list may be positive or negative. Negative items are indicated by a
@@ -8434,7 +8419,7 @@ item.
 
 
 
-.section "File names in lists" "SECTfilnamlis"
+.subsection "File names in lists" SECTfilnamlis
 .cindex "list" "filename in"
 If an item in a domain, host, address, or local part list is an absolute
 filename (beginning with a slash character), each line of the file is read and
@@ -8476,7 +8461,7 @@ any domain matching &`*.b.c`& is not.
 
 
 
-.section "An lsearch file is not an out-of-line list" "SECID77"
+.subsection "An lsearch file is not an out-of-line list" SECID77
 As will be described in the sections that follow, lookups can be used in lists
 to provide indexed methods of checking list membership. There has been some
 confusion about the way &(lsearch)& lookups work in lists. Because
@@ -8493,37 +8478,7 @@ in the previous section. You could also use the &(wildlsearch)& or
 
 
 
-.section "Results of list checking" SECTlistresults
-The primary result of doing a list check is a truth value.
-In some contexts additional information is stored
-about the list element that matched:
-.vlist
-.vitem hosts
-A &%hosts%& ACL condition
-will store a result in the &$host_data$& variable.
-.vitem local_parts
-A &%local_parts%& router option or &%local_parts%& ACL condition
-will store a result in the &$local_part_data$& variable.
-.vitem domains
-.new
-A &%domains%& router option or &%domains%& ACL condition
-will store a result in the &$domain_data$& variable.
-.wen
-.vitem senders
-A &%senders%& router option or &%senders%& ACL condition
-will store a result in the &$sender_data$& variable.
-.vitem recipients
-A &%recipients%& ACL condition
-will store a result in the &$recipient_data$& variable.
-.endlist
-
-The detail of the additional information depends on the
-type of match and is given below as the &*value*& information.
-
-
-
-
-.section "Named lists" "SECTnamedlists"
+.subsection "Named lists" SECTnamedlists
 .cindex "named lists"
 .cindex "list" "named"
 A list of domains, hosts, email addresses, or local parts can be given a name
@@ -8612,7 +8567,7 @@ hosts. The default configuration is set up like this.
 
 
 
-.section "Named lists compared with macros" "SECID78"
+.subsection "Named lists compared with macros" SECID78
 .cindex "list" "named compared with macro"
 .cindex "macro" "compared with named list"
 At first sight, named lists might seem to be no different from macros in the
@@ -8638,7 +8593,7 @@ auth_advertise_hosts = !host1 : !host2
 .endd
 
 
-.section "Named list caching" "SECID79"
+.subsection "Named list caching" SECID79
 .cindex "list" "caching of named"
 .cindex "caching" "named lists"
 While processing a message, Exim caches the result of checking a named list if
@@ -8810,14 +8765,13 @@ or a &%domains%& condition in an ACL statement, the value is preserved in the
 &$domain_data$& variable and can be referred to in other router options or
 other statements in the same ACL.
 .cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using ACL domains condition"
 The value will be untainted.
 
-.new
 &*Note*&: If the data result of the lookup (as opposed to the key)
 is empty, then this empty value is stored in &$domain_data$&.
 The option to return the key for the lookup, as the value,
 may be what is wanted.
-.wen
 
 
 .next
@@ -8853,6 +8807,7 @@ whether or not the query succeeds. However, when a lookup is used for the
 &%domains%& option on a router, the value is preserved in the &$domain_data$&
 variable and can be referred to in other options.
 .cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using router domains option"
 The value will be untainted.
 
 .next
@@ -8913,7 +8868,7 @@ You need to be particularly careful with this when single-key lookups are
 involved, to ensure that the right value is being used as the key.
 
 
-.section "Special host list patterns" "SECID80"
+.subsection "Special host list patterns" SECID80
 .cindex "empty item in hosts list"
 .cindex "host list" "empty string in"
 If a host list item is the empty string, it matches only when no remote host is
@@ -8927,7 +8882,7 @@ the IP address nor the name is actually inspected.
 
 
 
-.section "Host list patterns that match by IP address" "SECThoslispatip"
+.subsection "Host list patterns that match by IP address" SECThoslispatip
 .cindex "host list" "matching IP addresses"
 If an IPv4 host calls an IPv6 host and the call is accepted on an IPv6 socket,
 the incoming address actually appears in the IPv6 host as
@@ -9030,8 +8985,8 @@ list.
 
 
 
-.section "Host list patterns for single-key lookups by host address" &&&
-         "SECThoslispatsikey"
+.subsection "Host list patterns for single-key lookups by host address" &&&
+         SECThoslispatsikey
 .cindex "host list" "lookup of IP address"
 When a host is to be identified by a single-key lookup of its complete IP
 address, the pattern takes this form:
@@ -9090,7 +9045,7 @@ case the IP address is used on its own.
 
 
 
-.section "Host list patterns that match by host name" "SECThoslispatnam"
+.subsection "Host list patterns that match by host name" SECThoslispatnam
 .cindex "host" "lookup failures"
 .cindex "unknown host name"
 .cindex "host list" "matching host name"
@@ -9165,7 +9120,7 @@ required.
 
 
 
-.section "Behaviour when an IP address or name cannot be found" "SECTbehipnot"
+.subsection "Behaviour when an IP address or name cannot be found" SECTbehipnot
 .cindex "host" "lookup failures, permanent"
 While processing a host list, Exim may need to look up an IP address from a
 name (see section &<<SECThoslispatip>>&), or it may need to look up a host name
@@ -9211,8 +9166,8 @@ Both &`+include_unknown`& and &`+ignore_unknown`& may appear in the same
 list. The effect of each one lasts until the next, or until the end of the
 list.
 
-.section "Mixing wildcarded host names and addresses in host lists" &&&
-         "SECTmixwilhos"
+.subsection "Mixing wildcarded host names and addresses in host lists" &&&
+         SECTmixwilhos
 .cindex "host list" "mixing names and addresses in"
 
 This section explains the host/ip processing logic with the same concepts
@@ -9248,8 +9203,8 @@ this section.
 .endlist
 
 
-.section "Temporary DNS errors when looking up host information" &&&
-         "SECTtemdnserr"
+.subsection "Temporary DNS errors when looking up host information" &&&
+         SECTtemdnserr
 .cindex "host" "lookup failures, temporary"
 .cindex "&`+include_defer`&"
 .cindex "&`+ignore_defer`&"
@@ -9262,8 +9217,8 @@ host lists such as whitelists.
 
 
 
-.section "Host list patterns for single-key lookups by host name" &&&
-         "SECThoslispatnamsk"
+.subsection "Host list patterns for single-key lookups by host name" &&&
+         SECThoslispatnamsk
 .cindex "unknown host name"
 .cindex "host list" "matching host name"
 If a pattern is of the form
@@ -9287,7 +9242,7 @@ lookup, both using the same file.
 
 
 
-.section "Host list patterns for query-style lookups" "SECID81"
+.subsection "Host list patterns for query-style lookups" SECID81
 If a pattern is of the form
 .display
 <&'query-style-search-type'&>;<&'query'&>
@@ -9519,7 +9474,7 @@ example it is a named domain list.
 
 
 
-.section "Case of letters in address lists" "SECTcasletadd"
+.subsection "Case of letters in address lists" SECTcasletadd
 .cindex "case of local parts"
 .cindex "address list" "case forcing"
 .cindex "case forcing in address lists"
@@ -9604,11 +9559,8 @@ reasons,
 .cindex "tainted data" definition
 .cindex expansion "tainted data"
 and expansion of data deriving from the sender (&"tainted data"&)
-.new
 is not permitted (including acessing a file using a tainted name).
-.wen
 
-.new
 Common ways of obtaining untainted equivalents of variables with
 tainted values
 .cindex "tainted data" "de-tainting"
@@ -9617,7 +9569,6 @@ This database could be the filesystem structure,
 or the password file,
 or accessed via a DBMS.
 Specific methods are indexed under &"de-tainting"&.
-.wen
 
 
 
@@ -9670,6 +9621,17 @@ value. Nevertheless the &%-be%& option can be useful for checking out file and
 database lookups, and the use of expansion operators such as &%sg%&, &%substr%&
 and &%nhash%&.
 
+.new
+When reading lines from the standard input,
+macros can be defined and ACL variables can be set.
+For example:
+.code
+MY_MACRO = foo
+set acl_m_myvar = bar
+.endd
+Such macros and variables can then be used in later input lines.
+.wen
+
 Exim gives up its root privilege when it is called with the &%-be%& option, and
 instead runs under the uid and gid it was called with, to prevent users from
 using &%-be%& for reading files to which they do not have access.
@@ -10330,7 +10292,6 @@ extracted is used.
 You can use &`fail`& instead of {<&'string3'&>} as in a string extract.
 
 
-.new
 .vitem &*${listquote{*&<&'separator'&>&*}{*&<&'string'&>&*}}*&
 .cindex quoting "for list"
 .cindex list quoting
@@ -10339,7 +10300,6 @@ in the given string.
 An empty string is replaced with a single space.
 This converts the string into a safe form for use as a list element,
 in a list using the given separator.
-.wen
 
 
 .vitem "&*${lookup&~{*&<&'key'&>&*}&~*&<&'search&~type'&>&*&~&&&
@@ -10576,7 +10536,7 @@ sending the request. Values are &"yes"& (the default) or &"no"&
 &*tls*&
 Controls the use of TLS on the connection.
 Values are &"yes"& or &"no"& (the default).
-If it is enabled, a shutdown as descripbed above is never done.
+If it is enabled, a shutdown as described above is never done.
 .endlist
 
 
@@ -10648,16 +10608,30 @@ expansion items.
 This item inserts &"raw"& header lines. It is described with the &%header%&
 expansion item in section &<<SECTexpansionitems>>& above.
 
-.vitem "&*${run{*&<&'command'&>&*&~*&<&'args'&>&*}{*&<&'string1'&>&*}&&&
+.vitem "&*${run <&'options'&> {*&<&'command&~arg&~list'&>&*}{*&<&'string1'&>&*}&&&
         {*&<&'string2'&>&*}}*&"
 .cindex "expansion" "running a command"
 .cindex "&%run%& expansion item"
-The command and its arguments are first expanded as one string. The string is
-split apart into individual arguments by spaces, and then the command is run
+This item runs an external command, as a subprocess.
+One option is supported after the word &'run'&, comma-separated.
+
+If the option &'preexpand'& is not used,
+the command string is split into individual arguments by spaces
+and then each argument is expanded.
+Then the command is run
 in a separate process, but under the same uid and gid.  As in other command
 executions from Exim, a shell is not used by default. If the command requires
 a shell, you must explicitly code it.
+The command name may not be tainted, but the remaining arguments can be.
 
+&*Note*&: if tainted arguments are used, they are supplied by a
+potential attacker;
+a careful assessment for security vulnerabilities should be done.
+
+If the option &'preexpand'& is used,
+the command and its arguments are first expanded as one string. The result is
+split apart into individual arguments by spaces, and then the command is run
+as above.
 Since the arguments are split by spaces, when there is a variable expansion
 which has an empty result, it will cause the situation that the argument will
 simply be omitted when the program is actually executed by Exim. If the
@@ -10668,6 +10642,7 @@ in a string containing quotes, because it would interfere with the quotes
 around the command arguments. A possible guard against this is to wrap the
 variable in the &%sg%& operator to change any quote marks to some other
 character.
+Neither the command nor any argument may be tainted.
 
 The standard input for the command exists, but is empty. The standard output
 and standard error are set to the same file descriptor.
@@ -10780,23 +10755,21 @@ will sort an MX lookup into priority order.
 
 
 
-.new
 .vitem &*${srs_encode&~{*&<&'secret'&>&*}{*&<&'return&~path'&>&*}{*&<&'original&~domain'&>&*}}*&
 SRS encoding.  See SECT &<<SECTSRS>>& for details.
-.wen
 
 
 
-.vitem &*${substr{*&<&'string1'&>&*}{*&<&'string2'&>&*}{*&<&'string3'&>&*}}*&
+.vitem &*${substr{*&<&'start'&>&*}{*&<&'len'&>&*}{*&<&'subject'&>&*}}*&
 .cindex "&%substr%& expansion item"
 .cindex "substring extraction"
 .cindex "expansion" "substring extraction"
 The three strings are expanded; the first two must yield numbers. Call them
 <&'n'&> and <&'m'&>. If you are using fixed values for these numbers, that is,
-if <&'string1'&> and <&'string2'&> do not change when they are expanded, you
+if <&'start'&> and <&'len'&> do not change when they are expanded, you
 can use the simpler operator notation that avoids some of the braces:
 .code
-${substr_<n>_<m>:<string>}
+${substr_<n>_<m>:<subject>}
 .endd
 The second number is optional (in both notations).
 If it is absent in the simpler format, the preceding underscore must also be
@@ -11203,10 +11176,8 @@ If the optional type is given it must be one of "a", "d", "h" or "l"
 and selects address-, domain-, host- or localpart- lists to search among respectively.
 Otherwise all types are searched in an undefined order and the first
 matching list is returned.
-.new
 &*Note*&: Neither string-expansion of lists referenced by named-list syntax elements,
 nor expansion of lookup elements, is done by the &%listnamed%& operator.
-.wen
 
 
 .vitem &*${local_part:*&<&'string'&>&*}*&
@@ -11218,7 +11189,8 @@ empty.
 The parsing correctly handles SMTPUTF8 Unicode in the string.
 
 
-.vitem &*${mask:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*&
+.vitem &*${mask:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*& &&&
+       &*${mask_n:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*&
 .cindex "masked IP address"
 .cindex "IP address" "masking"
 .cindex "CIDR notation"
@@ -11232,8 +11204,12 @@ the result back to text, with mask appended. For example,
 .code
 ${mask:10.111.131.206/28}
 .endd
-returns the string &"10.111.131.192/28"&. Since this operation is expected to
-be mostly used for looking up masked addresses in files, the result for an IPv6
+returns the string &"10.111.131.192/28"&.
+
+Since this operation is expected to
+be mostly used for looking up masked addresses in files, the
+normal
+result for an IPv6
 address uses dots to separate components instead of colons, because colon
 terminates a key string in lsearch files. So, for example,
 .code
@@ -11243,6 +11219,8 @@ returns the string
 .code
 3ffe.ffff.836f.0a00.000a.0800.2000.0000/99
 .endd
+If the optional form &*mask_n*& is used, IPv6 address result are instead
+returned in normailsed form, using colons and with zero-compression.
 Letters in IPv6 addresses are always output in lower case.
 
 
@@ -11574,14 +11552,14 @@ condition.
 .cindex "expansion" "numeric comparison"
 There are a number of symbolic operators for doing numeric comparisons. They
 are:
-.display
-&`=   `&   equal
-&`==  `&   equal
-&`>   `&   greater
-&`>=  `&   greater or equal
-&`<   `&   less
-&`<=  `&   less or equal
-.endd
+.itable none 0 0 2 10* left 90* left
+.irow "=   " "equal"
+.irow "==  " "equal"
+.irow ">   " "greater"
+.irow ">=  " "greater or equal"
+.irow "<   " "less"
+.irow "<=  " "less or equal"
+.endtable
 For example:
 .code
 ${if >{$message_size}{10M} ...
@@ -11769,11 +11747,9 @@ condition is true if the named file (or directory) exists. The existence test
 is done by calling the &[stat()]& function. The use of the &%exists%& test in
 users' filter files may be locked out by the system administrator.
 
-.new
 &*Note:*& Testing a path using this condition is not a sufficient way of
 de-tainting it.
 Consider using a dsearch lookup.
-.wen
 
 .vitem &*first_delivery*&
 .cindex "delivery" "first"
@@ -11860,10 +11836,8 @@ case-independent.
 Case and collation order are defined per the system C locale.
 
 
-.new
 .vitem &*inbound_srs&~{*&<&'local&~part'&>&*}{*&<&'secret'&>&*}*&
 SRS decode.  See SECT &<<SECTSRS>>& for details.
-.wen
 
 
 .vitem &*inlist&~{*&<&'string1'&>&*}{*&<&'string2'&>&*}*& &&&
@@ -11884,6 +11858,18 @@ ${if inlisti{Needle}{fOo:NeeDLE:bAr}}
   ${if forany{fOo:NeeDLE:bAr}{eqi{$item}{Needle}}}
 .endd
 
+The variable &$value$& will be set for a successful match and can be
+used in the success clause of an &%if%& expansion item using the condition.
+.cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using an inlist expansion condition"
+It will have the same taint status as the list; expansions such as
+.code
+${if inlist {$h_mycode:} {0 : 1 : 42} {$value}}
+.endd
+can be used for de-tainting.
+Any previous &$value$& is restored after the if.
+
+
 .vitem &*isip&~{*&<&'string'&>&*}*&  &&&
        &*isip4&~{*&<&'string'&>&*}*& &&&
        &*isip6&~{*&<&'string'&>&*}*&
@@ -12080,6 +12066,17 @@ item can be used, as in all address lists, to cause subsequent items to
 have their local parts matched casefully. Domains are always matched
 caselessly.
 
+The variable &$value$& will be set for a successful match and can be
+used in the success clause of an &%if%& expansion item using the condition.
+.cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using a match_local_part expansion condition"
+It will have the same taint status as the list; expansions such as
+.code
+${if match_local_part {$local_part} {alice : bill : charlotte : dave} {$value}}
+.endd
+can be used for de-tainting.
+Any previous &$value$& is restored after the if.
+
 Note that <&'string2'&> is not itself subject to string expansion, unless
 Exim was built with the EXPAND_LISTMATCH_RHS option.
 
@@ -12096,8 +12093,9 @@ matched using &%match_ip%&.
 .cindex "&%pam%& expansion condition"
 &'Pluggable Authentication Modules'&
 (&url(https://mirrors.edge.kernel.org/pub/linux/libs/pam/)) are a facility that is
-available in the latest releases of Solaris and in some GNU/Linux
-distributions. The Exim support, which is intended for use in conjunction with
+available in Solaris
+and in some GNU/Linux distributions.
+The Exim support, which is intended for use in conjunction with
 the SMTP AUTH command, is available only if Exim is compiled with
 .code
 SUPPORT_PAM=yes
@@ -12274,6 +12272,14 @@ parsed but not evaluated.
 This section contains an alphabetical list of all the expansion variables. Some
 of them are available only when Exim is compiled with specific options such as
 support for TLS or the content scanning extension.
+.cindex "tainted data"
+Variables marked as &'tainted'& are likely to carry data supplied by
+a potential attacker.
+Variables without such marking may also, depending on how their
+values are created.
+Such variables should not be further expanded,
+used as filenames
+or used as command-line arguments for external commands.
 
 .vlist
 .vitem "&$0$&, &$1$&, etc"
@@ -12288,6 +12294,7 @@ variables may also be set externally by some other matching process which
 precedes the expansion of the string. For example, the commands available in
 Exim filter files include an &%if%& command with its own regular expression
 matching condition.
+If the subject string was tainted then any captured substring will also be.
 
 .vitem "&$acl_arg1$&, &$acl_arg2$&, etc"
 Within an acl condition, expansion condition or expansion item
@@ -12322,8 +12329,8 @@ this variable has the number of arguments.
 .vitem &$acl_verify_message$&
 .vindex "&$acl_verify_message$&"
 After an address verification has failed, this variable contains the failure
-message. It retains its value for use in subsequent modifiers. The message can
-be preserved by coding like this:
+message. It retains its value for use in subsequent modifiers of the verb.
+The message can be preserved by coding like this:
 .code
 warn !verify = sender
      set acl_m0 = $acl_verify_message
@@ -12331,6 +12338,7 @@ warn !verify = sender
 You can use &$acl_verify_message$& during the expansion of the &%message%& or
 &%log_message%& modifiers, to include information about the verification
 failure.
+&*Note*&: The variable is cleared at the end of processing the ACL verb.
 
 .vitem &$address_data$&
 .vindex "&$address_data$&"
@@ -12412,11 +12420,10 @@ authentication, which means this variable could also be visible in all of
 the ACL's as well.
 
 
-.vitem &$authenticated_sender$&
+.tvar &$authenticated_sender$&
 .cindex "sender" "authenticated"
 .cindex "authentication" "sender"
 .cindex "AUTH" "on MAIL command"
-.vindex "&$authenticated_sender$&"
 When acting as a server, Exim takes note of the AUTH= parameter on an incoming
 SMTP MAIL command if it believes the sender is sufficiently trusted, as
 described in section &<<SECTauthparamail>>&. Unless the data is the string
@@ -12439,9 +12446,10 @@ command that does not succeed. Otherwise it is set to &"0"&. This makes it
 possible to distinguish between &"did not try to authenticate"&
 (&$sender_host_authenticated$& is empty and &$authentication_failed$& is set to
 &"0"&) and &"tried to authenticate but failed"& (&$sender_host_authenticated$&
-is empty and &$authentication_failed$& is set to &"1"&). Failure includes any
-negative response to an AUTH command, including (for example) an attempt to use
-an undefined mechanism.
+is empty and &$authentication_failed$& is set to &"1"&).
+Failure includes cancellation of a authentication attempt,
+and any negative response to an AUTH command,
+(including, for example, an attempt to use an undefined mechanism).
 
 .vitem &$av_failed$&
 .cindex "content scanning" "AV scanner failure"
@@ -12568,8 +12576,7 @@ the following data from the lookup: the list's domain name, the key that was
 looked up, the contents of any associated TXT record, and the value from the
 main A record. See section &<<SECID204>>& for more details.
 
-.vitem &$domain$&
-.vindex "&$domain$&"
+.tvar &$domain$&
 When an address is being routed, or delivered on its own, this variable
 contains the domain. Uppercase letters in the domain are converted into lower
 case for &$domain$&.
@@ -12634,14 +12641,12 @@ Often &$domain_data$& is usable in this role.
 .vitem &$domain_data$&
 .vindex "&$domain_data$&"
 When the &%domains%& condition on a router
-.new
 or an ACL
 matches a domain
 against a list, the match value is copied to &$domain_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
-.wen
 
 If the router routes the
 address to a transport, the value is available in that transport. If the
@@ -12672,6 +12677,7 @@ There may be other characters following the minor version.
 This value may be overridden by the &%exim_version%& main config option.
 
 .vitem &$header_$&<&'name'&>
+.tmark
 This is not strictly an expansion variable. It is expansion syntax for
 inserting the message header line with the given name. Note that the name must
 be terminated by colon or white space, because it may contain a wide variety of
@@ -12732,6 +12738,7 @@ allows you, for example, to do things like this:
 deny  hosts = net-lsearch;/some/file
       message = $host_data
 .endd
+
 .vitem &$host_lookup_deferred$&
 .cindex "host name" "lookup, failure of"
 .vindex "&$host_lookup_deferred$&"
@@ -12789,13 +12796,11 @@ option in the &(appendfile)& transport. The variable contains the inode number
 of the temporary file which is about to be renamed. It can be used to construct
 a unique name for the file.
 
-.vitem &$interface_address$&
+.vitem &$interface_address$& &&&
+       &$interface_port$&
 .vindex "&$interface_address$&"
-This is an obsolete name for &$received_ip_address$&.
-
-.vitem &$interface_port$&
 .vindex "&$interface_port$&"
-This is an obsolete name for &$received_port$&.
+These are obsolete names for &$received_ip_address$& and &$received_port$&.
 
 .vitem &$item$&
 .vindex "&$item$&"
@@ -12816,8 +12821,7 @@ This variable contains the system load average, multiplied by 1000 so that it
 is an integer. For example, if the load average is 0.21, the value of the
 variable is 210. The value is recomputed every time the variable is referenced.
 
-.vitem &$local_part$&
-.vindex "&$local_part$&"
+.tvar &$local_part$&
 When an address is being routed, or delivered on its own, this
 variable contains the local part. When a number of addresses are being
 delivered together (for example, multiple RCPT commands in an SMTP
@@ -12884,12 +12888,10 @@ to process local parts in a case-dependent manner in a router, you can set the
 .vindex "&$local_part_data$&"
 When the &%local_parts%& condition on a router or ACL
 matches a local part list
-.new
 the match value is copied to &$local_part_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
-.wen
 
 The &%check_local_user%& router option also sets this variable.
 
@@ -12985,7 +12987,7 @@ when the ACL &%malware%& condition is true (see section &<<SECTscanvirus>>&).
 This variable contains the number of bytes in the longest line that was
 received as part of the message, not counting the line termination
 character(s).
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &$message_age$&
 .cindex "message" "age of"
@@ -12994,11 +12996,10 @@ This variable is set at the start of a delivery attempt to contain the number
 of seconds since the message was received. It does not change during a single
 delivery attempt.
 
-.vitem &$message_body$&
+.tvar &$message_body$&
 .cindex "body of message" "expansion variable"
 .cindex "message body" "in expansion"
 .cindex "binary zero" "in message body"
-.vindex "&$message_body$&"
 .oindex "&%message_body_visible%&"
 This variable contains the initial portion of a message's body while it is
 being delivered, and is intended mainly for use in filter files. The maximum
@@ -13011,10 +13012,9 @@ easier to search for phrases that might be split over a line break. However,
 this can be disabled by setting &%message_body_newlines%& to be true. Binary
 zeros are always converted into spaces.
 
-.vitem &$message_body_end$&
+.tvar &$message_body_end$&
 .cindex "body of message" "expansion variable"
 .cindex "message body" "in expansion"
-.vindex "&$message_body_end$&"
 This variable contains the final portion of a message's
 body while it is being delivered. The format and maximum size are as for
 &$message_body$&.
@@ -13029,7 +13029,7 @@ separates the body from the header. Newlines are included in the count. See
 also &$message_size$&, &$body_linecount$&, and &$body_zerocount$&.
 
 If the spool file is wireformat
-(see the &%spool_files_wireformat%& main option)
+(see the &%spool_wireformat%& main option)
 the CRLF line-terminators are included in the count.
 
 .vitem &$message_exim_id$&
@@ -13041,15 +13041,13 @@ received. &*Note*&: This is &'not'& the contents of the &'Message-ID:'& header
 line; it is the local id that Exim assigns to the message, for example:
 &`1BXTIK-0001yO-VA`&.
 
-.vitem &$message_headers$&
-.vindex &$message_headers$&
+.tvar &$message_headers$&
 This variable contains a concatenation of all the header lines when a message
 is being processed, except for lines added by routers or transports. The header
 lines are separated by newline characters. Their contents are decoded in the
 same way as a header line that is inserted by &%bheader%&.
 
-.vitem &$message_headers_raw$&
-.vindex &$message_headers_raw$&
+.tvar &$message_headers_raw$&
 This variable is like &$message_headers$& except that no processing of the
 contents of header lines is done.
 
@@ -13082,7 +13080,7 @@ deny condition = \
 In the MAIL and RCPT ACLs, the value is zero because at that stage the
 message has not yet been received.
 
-This variable is not valid if the &%spool_files_wireformat%& option is used.
+This variable is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &$message_size$&
 .cindex "size" "of message"
@@ -13102,7 +13100,22 @@ While running a per message ACL (mail/rcpt/predata), &$message_size$&
 contains the size supplied on the MAIL command, or -1 if no size was given. The
 value may not, of course, be truthful.
 
-.vitem &$mime_$&&'xxx'&
+.vitem &$mime_anomaly_level$& &&&
+       &$mime_anomaly_text$& &&&
+       &$mime_boundary$& &&&
+       &$mime_charset$& &&&
+       &$mime_content_description$& &&&
+       &$mime_content_disposition$& &&&
+       &$mime_content_id$& &&&
+       &$mime_content_size$& &&&
+       &$mime_content_transfer_encoding$& &&&
+       &$mime_content_type$& &&&
+       &$mime_decoded_filename$& &&&
+       &$mime_filename$& &&&
+       &$mime_is_coverletter$& &&&
+       &$mime_is_multipart$& &&&
+       &$mime_is_rfc822$& &&&
+       &$mime_part_count$&
 A number of variables whose names start with &$mime$& are
 available when Exim is compiled with the content-scanning extension. For
 details, see section &<<SECTscanmimepart>>&.
@@ -13111,9 +13124,8 @@ details, see section &<<SECTscanmimepart>>&.
 These variables are counters that can be incremented by means
 of the &%add%& command in filter files.
 
-.vitem &$original_domain$&
+.tvar &$original_domain$&
 .vindex "&$domain$&"
-.vindex "&$original_domain$&"
 When a top-level address is being processed for delivery, this contains the
 same value as &$domain$&. However, if a &"child"& address (for example,
 generated by an alias, forward, or filter file) is being processed, this
@@ -13126,9 +13138,8 @@ If a new address is created by means of a &%deliver%& command in a system
 filter, it is set up with an artificial &"parent"& address. This has the local
 part &'system-filter'& and the default qualify domain.
 
-.vitem &$original_local_part$&
+.tvar &$original_local_part$&
 .vindex "&$local_part$&"
-.vindex "&$original_local_part$&"
 When a top-level address is being processed for delivery, this contains the
 same value as &$local_part$&, unless a prefix or suffix was removed from the
 local part, because &$original_local_part$& always contains the full local
@@ -13166,13 +13177,11 @@ messages received via the command line, this is the uid of the sending user.
 For messages received by SMTP over TCP/IP, this is normally the uid of the Exim
 user.
 
-.vitem &$parent_domain$&
-.vindex "&$parent_domain$&"
+.tvar &$parent_domain$&
 This variable is similar to &$original_domain$& (see
 above), except that it refers to the immediately preceding parent address.
 
-.vitem &$parent_local_part$&
-.vindex "&$parent_local_part$&"
+.tvar &$parent_local_part$&
 This variable is similar to &$original_local_part$&
 (see above), except that it refers to the immediately preceding parent address.
 
@@ -13191,6 +13200,9 @@ This is not an expansion variable, but is mentioned here because the string
 (described under &%transport_filter%& in chapter &<<CHAPtransportgeneric>>&).
 It cannot be used in general expansion strings, and provokes an &"unknown
 variable"& error if encountered.
+&*Note*&: This value permits data supplied by a potential attacker to
+be used in the command for a &(pipe)& transport.
+Such configurations should be carefully assessed for security vulnerbilities.
 
 .vitem &$primary_hostname$&
 .vindex "&$primary_hostname$&"
@@ -13215,18 +13227,10 @@ For details see chapter &<<SECTproxyInbound>>&.
 This variable is set to &"yes"& if PRDR was requested by the client for the
 current message, otherwise &"no"&.
 
-.vitem &$prvscheck_address$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
-which is described in sections &<<SECTexpansionitems>>& and
-&<<SECTverifyPRVS>>&.
-
-.vitem &$prvscheck_keynum$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
-which is described in sections &<<SECTexpansionitems>>& and
-&<<SECTverifyPRVS>>&.
-
-.vitem &$prvscheck_result$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
+.vitem &$prvscheck_address$& &&&
+       &$prvscheck_keynum$& &&&
+       &$prvscheck_result$&
+These variables are used in conjunction with the &%prvscheck%& expansion item,
 which is described in sections &<<SECTexpansionitems>>& and
 &<<SECTverifyPRVS>>&.
 
@@ -13288,18 +13292,19 @@ including the one added by Exim (so its value is always greater than zero). It
 is available in the DATA ACL, the non-SMTP ACL, and while routing and
 delivering.
 
-.vitem &$received_for$&
-.vindex "&$received_for$&"
+.tvar &$received_for$&
 If there is only a single recipient address in an incoming message, this
 variable contains that address when the &'Received:'& header line is being
 built. The value is copied after recipient rewriting has happened, but before
 the &[local_scan()]& function is run.
 
-.vitem &$received_ip_address$&
+.vitem &$received_ip_address$& &&&
+       &$received_port$&
 .vindex "&$received_ip_address$&"
-As soon as an Exim server starts processing an incoming TCP/IP connection, this
-variable is set to the address of the local IP interface, and &$received_port$&
-is set to the local port number. (The remote IP address and port are in
+.vindex "&$received_port$&"
+As soon as an Exim server starts processing an incoming TCP/IP connection, these
+variables are set to the address and port on the local IP interface.
+(The remote IP address and port are in
 &$sender_host_address$& and &$sender_host_port$&.) When testing with &%-bh%&,
 the port value is -1 unless it has been set using the &%-oMi%& command line
 option.
@@ -13312,10 +13317,6 @@ messages that are received, thus making these variables available at delivery
 time.
 For outbound connections see &$sending_ip_address$&.
 
-.vitem &$received_port$&
-.vindex "&$received_port$&"
-See &$received_ip_address$&.
-
 .vitem &$received_protocol$&
 .vindex "&$received_protocol$&"
 When a message is being processed, this variable contains the name of the
@@ -13383,8 +13384,7 @@ MAIL).
 The main use of this variable is expected to be to distinguish between
 rejections of MAIL and rejections of RCPT.
 
-.vitem &$recipients$&
-.vindex "&$recipients$&"
+.tvar &$recipients$&
 This variable contains a list of envelope recipients for a message. A comma and
 a space separate the addresses in the replacement text. However, the variable
 is not generally available, to prevent exposure of Bcc recipients in
@@ -13421,10 +13421,10 @@ This variable is set to contain the matching regular expression after a
 When a &%regex%& or &%mime_regex%& ACL condition succeeds,
 these variables contain the
 captured substrings identified by the regular expression.
+If the subject string was tainted then so will any captured substring.
 
 
-.vitem &$reply_address$&
-.vindex "&$reply_address$&"
+.tvar &$reply_address$&
 When a message is being processed, this variable contains the contents of the
 &'Reply-To:'& header line if one exists and it is not empty, or otherwise the
 contents of the &'From:'& header line. Apart from the removal of leading
@@ -13473,8 +13473,7 @@ One of its values causes the address to be passed to another router. When this
 happens, &$self_hostname$& is set to the name of the local host that the
 original router encountered. In other circumstances its contents are null.
 
-.vitem &$sender_address$&
-.vindex "&$sender_address$&"
+.tvar &$sender_address$&
 When a message is being processed, this variable contains the sender's address
 that was received in the message's envelope. The case of letters in the address
 is retained, in both the local part and the domain. For bounce messages, the
@@ -13489,12 +13488,10 @@ distinguish it from data from a recipient address. The value does not persist
 after the end of the current ACL statement. If you want to preserve it for
 longer, you can save it in an ACL variable.
 
-.vitem &$sender_address_domain$&
-.vindex "&$sender_address_domain$&"
+.tvar &$sender_address_domain$&
 The domain portion of &$sender_address$&.
 
-.vitem &$sender_address_local_part$&
-.vindex "&$sender_address_local_part$&"
+.tvar &$sender_address_local_part$&
 The local part portion of &$sender_address$&.
 
 .vitem &$sender_data$&
@@ -13532,8 +13529,7 @@ This boolean variable is true if a successful HELO verification was
 .cindex "DNS" "DNSSEC"
 done using DNS information the resolver library stated was authenticated data.
 
-.vitem &$sender_helo_name$&
-.vindex "&$sender_helo_name$&"
+.tvar &$sender_helo_name$&
 When a message is received from a remote host that has issued a HELO or EHLO
 command, the argument of that command is placed in this variable. It is also
 set if HELO or EHLO is used when a message is received using SMTP locally via
@@ -13590,8 +13586,7 @@ all EDNS0 options, then this will have no effect.  OpenBSD's asr resolver
 is known to currently ignore EDNS0, documented in CAVEATS of asr_run(3).
 
 
-.vitem &$sender_host_name$&
-.vindex "&$sender_host_name$&"
+.tvar &$sender_host_name$&
 When a message is received from a remote host, this variable contains the
 host's name as obtained by looking up its IP address. For messages received by
 other means, this variable is empty.
@@ -13709,8 +13704,7 @@ host name, as specified by the &%smtp_active_hostname%& option. The value of
 &$smtp_active_hostname$& is saved with any message that is received, so its
 value can be consulted during routing and delivery.
 
-.vitem &$smtp_command$&
-.vindex "&$smtp_command$&"
+.tvar &$smtp_command$&
 During the processing of an incoming SMTP command, this variable contains the
 entire command. This makes it possible to distinguish between HELO and EHLO in
 the HELO ACL, and also to distinguish between commands such as these:
@@ -13723,9 +13717,8 @@ command, the address in &$smtp_command$& is the original address before any
 rewriting, whereas the values in &$local_part$& and &$domain$& are taken from
 the address after SMTP-time rewriting.
 
-.vitem &$smtp_command_argument$&
+.tvar &$smtp_command_argument$&
 .cindex "SMTP" "command, argument for"
-.vindex "&$smtp_command_argument$&"
 While an ACL is running to check an SMTP command, this variable contains the
 argument, that is, the text that follows the command name, with leading white
 space removed. Following the introduction of &$smtp_command$&, this variable is
@@ -13958,18 +13951,15 @@ If certificate verification fails it may refer to a failing chain element
 which is not the leaf.
 
 
-.new
 .vitem &$tls_in_resumption$& &&&
        &$tls_out_resumption$&
 .vindex &$tls_in_resumption$&
 .vindex &$tls_out_resumption$&
 .cindex TLS resumption
 Observability for TLS session resumption.  See &<<SECTresumption>>& for details.
-.wen
 
 
-.vitem &$tls_in_sni$&
-.vindex "&$tls_in_sni$&"
+.tvar &$tls_in_sni$&
 .vindex "&$tls_sni$&"
 .cindex "TLS" "Server Name Indication"
 .cindex "TLS" SNI
@@ -14151,9 +14141,7 @@ taint mode of the Perl interpreter. You are encouraged to set this
 option to a true value. To avoid breaking existing installations, it
 defaults to false.
 
-.new
 &*Note*&: This is entirely separate from Exim's tainted-data tracking.
-.wen
 
 
 .section "Calling Perl subroutines" "SECID86"
@@ -14644,6 +14632,7 @@ listed in more than one group.
 .row &%log_timezone%&                "add timezone to log lines"
 .row &%message_logs%&                "create per-message logs"
 .row &%preserve_message_logs%&       "after message completion"
+.row &%panic_coredump%&              "request coredump on fatal errors"
 .row &%process_log_path%&            "for SIGUSR1 and &'exiwhat'&"
 .row &%slow_lookup_log%&             "control logging of slow DNS lookups"
 .row &%syslog_duplication%&          "controls duplicate log lines on syslog"
@@ -14714,7 +14703,7 @@ listed in more than one group.
 .row &%notifier_socket%&             "override compiled-in value"
 .row &%pid_file_path%&               "override compiled-in value"
 .row &%queue_run_max%&               "maximum simultaneous queue runners"
-.row &%smtp_backlog_monitor%&        "level to log listen baclog"
+.row &%smtp_backlog_monitor%&        "level to log listen backlog"
 .endtable
 
 
@@ -14815,8 +14804,11 @@ listed in more than one group.
 .table2
 .row &%gnutls_compat_mode%&          "use GnuTLS compatibility mode"
 .row &%gnutls_allow_auto_pkcs11%&    "allow GnuTLS to autoload PKCS11 modules"
+.row &%hosts_require_alpn%&          "mandatory ALPN"
+.row &%hosts_require_helo%&          "mandatory HELO/EHLO"
 .row &%openssl_options%&             "adjust OpenSSL compatibility options"
 .row &%tls_advertise_hosts%&         "advertise TLS to these hosts"
+.row &%tls_alpn%&                   "acceptable protocol names"
 .row &%tls_certificate%&             "location of server certificate"
 .row &%tls_crl%&                     "certificate revocation list"
 .row &%tls_dh_max_bits%&             "clamp D-H bit count suggestion"
@@ -15201,7 +15193,6 @@ domains (defined in the named domain list &%local_domains%& in the default
 configuration). This &"magic string"& matches the domain literal form of all
 the local host's IP addresses.
 
-
 .option allow_mx_to_ip main boolean false
 .cindex "MX record" "pointing to IP address"
 It appears that more and more DNS zone administrators are breaking the rules
@@ -15862,8 +15853,8 @@ described in section &<<SECTlineendings>>&.
 .cindex "ESMTP extensions" DSN
 DSN extensions (RFC3461) will be advertised in the EHLO message to,
 and accepted from, these hosts.
-Hosts may use the NOTIFY and ENVID options on RCPT TO commands,
-and RET and ORCPT options on MAIL FROM commands.
+Hosts may use the NOTIFY and ORCPT options on RCPT TO commands,
+and RET and ENVID options on MAIL FROM commands.
 A NOTIFY=SUCCESS option requests success-DSN messages.
 A NOTIFY= option with no argument requests that no delay or failure DSNs
 are sent.
@@ -16302,9 +16293,30 @@ local processes, you must create a host list with an empty item. For example:
 .code
 hosts_connection_nolog = :
 .endd
-If the &%smtp_connection%& log selector is not set, this option has no effect.
+.new
+The hosts affected by this option also do not log "no MAIL in SMTP connection"
+lines, as may commonly be produced by a monitoring system.
+.wen
+
+
+.option hosts_require_alpn main "host list&!!" unset
+.cindex ALPN "require negotiation in server"
+.cindex TLS ALPN
+.cindex TLS "Application Layer Protocol Names"
+If the TLS library supports ALPN
+then a successful negotiation of ALPN will be required for any client
+matching the list, for TLS to be used.
+See also the &%tls_alpn%& option.
+
+&*Note*&: prevention of fallback to in-clear connection is not
+managed by this option, and should be done separately.
 
 
+.option hosts_require_helo main "host list&!!" *
+.cindex "HELO/EHLO" requiring
+Exim will require an accepted HELO or EHLO command from a host matching
+this list, before accepting a MAIL command.
+
 
 .option hosts_proxy main "host list&!!" unset
 .cindex proxy "proxy protocol"
@@ -16842,14 +16854,11 @@ The option is expanded before use.
 If the platform supports Linux-style abstract socket names, the result
 is used with a nul byte prefixed.
 Otherwise,
-.new "if nonempty,"
 it should be a full path name and use a directory accessible
 to Exim.
 
-.new
 If this option is set as empty,
 or the command line &%-oY%& option is used, or
-.wen
 the command line uses a &%-oX%& option and does not use &%-oP%&,
 then a notifier socket is not created.
 
@@ -16963,6 +16972,19 @@ to be used in conjunction with &(oracle)& lookups (see section &<<SECID72>>&).
 The option is available only if Exim has been built with Oracle support.
 
 
+.new
+.option panic_coredump main boolean false
+This option is rarely needed but can help for some debugging investigations.
+If set, when an internal error is detected by Exim which is sufficient
+to terminate the process
+(all such are logged in the paniclog)
+then a coredump is requested.
+
+Note that most systems require additional administrative configuration
+to permit write a core file for a setuid program, which is Exim's
+common installed configuration.
+.wen
+
 .option percent_hack_domains main "domain list&!!" unset
 .cindex "&""percent hack""&"
 .cindex "source routing" "in email address"
@@ -17037,9 +17059,9 @@ not count as protocol errors (see &%smtp_max_synprot_errors%&).
 
 .option pipelining_connect_advertise_hosts main "host list&!!" *
 .cindex "pipelining" "early connection"
-.cindex "pipelining" PIPE_CONNECT
-.cindex "ESMTP extensions" PIPE_CONNECT
-If Exim is built with the SUPPORT_PIPE_CONNECT build option
+.cindex "pipelining" PIPECONNECT
+.cindex "ESMTP extensions" PIPECONNECT
+If Exim is built without the DISABLE_PIPE_CONNECT build option
 this option controls which hosts the facility is advertised to
 and from which pipeline early-connection (before MAIL) SMTP
 commands are acceptable.
@@ -17047,9 +17069,11 @@ When used, the pipelining saves on roundtrip times.
 
 See also the &%hosts_pipe_connect%& smtp transport option.
 
-.new
-The SMTP service extension keyword advertised is &"PIPE_CONNECT"&.
-.wen
+The SMTP service extension keyword advertised is &"PIPECONNECT"&;
+it permits the client to pipeline
+TCP connection and hello command (inclear phase),
+or TLS-establishment and hello command (encrypted phase),
+on later connections to the same host.
 
 
 .option prdr_enable main boolean false
@@ -17130,12 +17154,10 @@ admin user unless &%prod_requires_admin%& is set false. See also
 &%queue_list_requires_admin%& and &%commandline_checks_require_admin%&.
 
 
-.new
 .option proxy_protocol_timeout main time 3s
 .cindex proxy "proxy protocol"
 This option sets the timeout for proxy protocol negotiation.
 For details see section &<<SECTproxyInbound>>&.
-.wen
 
 
 .option qualify_domain main string "see below"
@@ -17173,15 +17195,13 @@ domains that do not match are processed. All other deliveries wait until the
 next queue run. See also &%hold_domains%& and &%queue_smtp_domains%&.
 
 
-.new
-.option queue_fast_ramp main boolean false
+.option queue_fast_ramp main boolean true
 .cindex "queue runner" "two phase"
 .cindex "queue" "double scanning"
 If set to true, two-phase queue runs, initiated using &%-qq%& on the
 command line, may start parallel delivery processes during their first
 phase.  This will be done when a threshold number of messages have been
 routed for a single host.
-.wen
 
 
 .option queue_list_requires_admin main boolean true
@@ -17419,7 +17439,7 @@ initial set of recipients. The remote server should then re-send the message
 for the remaining recipients at a later time.
 
 
-.option remote_max_parallel main integer 2
+.option remote_max_parallel main integer 4
 .cindex "delivery" "parallelism for remote"
 This option controls parallel delivery of one message to a number of remote
 hosts. If the value is less than 2, parallel delivery is disabled, and Exim
@@ -17621,11 +17641,9 @@ results in the transfer of a message. After the limit is reached, a 421
 response is given to subsequent MAIL commands. This limit is a safety
 precaution against a client that goes mad (incidents of this type have been
 seen).
-.new
 The option is expanded after the HELO or EHLO is received
 and may depend on values available at that time.
 An empty or zero value after expansion removes the limit.
-.wen
 
 
 .option smtp_accept_max_per_host main string&!! unset
@@ -18331,7 +18349,18 @@ using the &%tls_certificate%& option.  If TLS support for incoming connections
 is not required the &%tls_advertise_hosts%& option should be set empty.
 
 
-.option tls_certificate main string list&!! unset
+.option tls_alpn main "string list&!!" "smtp : esmtp"
+.cindex TLS "Application Layer Protocol Names"
+.cindex TLS ALPN
+.cindex ALPN "set acceptable names for server"
+If this option is set,
+the TLS library supports ALPN,
+and the client offers either more than
+ALPN name or a name which does not match the list,
+the TLS connection is declined.
+
+
+.option tls_certificate main "string list&!!" unset
 .cindex "TLS" "server certificate; location of"
 .cindex "certificate" "server, location of"
 The value of this option is expanded, and must then be a list of absolute paths to
@@ -18361,11 +18390,9 @@ Server Name Indication extension, then this option and others documented in
 &<<SECTtlssni>>& will be re-expanded.
 
 If this option is unset or empty a self-signed certificate will be
-.new
 used.
 Under Linux this is generated at daemon startup; on other platforms it will be
 generated fresh for every connection.
-.wen
 
 .option tls_crl main string&!! unset
 .cindex "TLS" "server certificate revocation list"
@@ -18408,12 +18435,7 @@ larger prime than requested.
 The value of this option is expanded and indicates the source of DH parameters
 to be used by Exim.
 
-This option is ignored for GnuTLS version 3.6.0 and later.
-The library manages parameter negotiation internally.
-
-&*Note: The Exim Maintainers strongly recommend,
-for other TLS library versions,
-using a filename with site-generated
+&*Note: The Exim Maintainers strongly recommend using a filename with site-generated
 local DH parameters*&, which has been supported across all versions of Exim.  The
 other specific constants available are a fallback so that even when
 "unconfigured", Exim can offer Perfect Forward Secrecy in older ciphersuites in TLS.
@@ -18464,8 +18486,15 @@ of the later IKE values, which led into RFC7919 providing new fixed constants
 (the "ffdhe" identifiers).
 
 At this point, all of the "ike" values should be considered obsolete;
-they're still in Exim to avoid breaking unusual configurations, but are
+they are still in Exim to avoid breaking unusual configurations, but are
 candidates for removal the next time we have backwards-incompatible changes.
+Two of them in particular (&`ike1`& and &`ike22`&) are called out by RFC 8247
+as MUST NOT use for IPSEC, and two more (&`ike23`& and &`ike24`&) as
+SHOULD NOT.
+Because of this, Exim regards them as deprecated; if either of the first pair
+are used, warnings will be logged in the paniclog, and if any are used then
+warnings will be logged in the mainlog.
+All four will be removed in a future Exim release.
 
 The TLS protocol does not negotiate an acceptable size for this; clients tend
 to hard-drop connections if what is offered by the server is unacceptable,
@@ -18542,7 +18571,7 @@ further details, see section &<<SECTsupobssmt>>&.
 
 
 
-.option tls_privatekey main string list&!! unset
+.option tls_privatekey main "string list&!!" unset
 .cindex "TLS" "server private key; location of"
 The value of this option is expanded, and must then be a list of absolute paths to
 files which contains the server's private keys.
@@ -18576,12 +18605,10 @@ preference order of the available ciphers. Details are given in sections
 &<<SECTreqciphssl>>& and &<<SECTreqciphgnu>>&.
 
 
-.new
 .option tls_resumption_hosts main "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to offer the TLS resumption feature.
 See &<<SECTresumption>>& for details.
-.wen
 
 
 .option tls_try_verify_hosts main "host list&!!" unset
@@ -18640,7 +18667,8 @@ either &%tls_verify_hosts%& or &%tls_try_verify_hosts%& is set and
 Any client that matches &%tls_verify_hosts%& is constrained by
 &%tls_verify_certificates%&. When the client initiates a TLS session, it must
 present one of the listed certificates. If it does not, the connection is
-aborted. &*Warning*&: Including a host in &%tls_verify_hosts%& does not require
+aborted.
+&*Warning*&: Including a host in &%tls_verify_hosts%& does not require
 the host to use TLS. It can still send SMTP commands through unencrypted
 connections. Forcing a client to use TLS has to be done separately using an
 ACL to reject inappropriate commands when the connection is not encrypted.
@@ -18813,11 +18841,9 @@ which the preconditions are tested. The order of expansion of the options that
 provide data for a transport is: &%errors_to%&, &%headers_add%&,
 &%headers_remove%&, &%transport%&.
 
-.new
 The name of a router is limited to be &drivernamemax; ASCII characters long;
 prior to Exim 4.95 names would be silently truncated at this length, but now
 it is enforced.
-.wen
 
 
 .option address_data routers string&!! unset
@@ -18946,6 +18972,7 @@ than trying to read &_/etc/passwd_& directly. This means that other methods of
 holding password data (such as NIS) are supported. If the local part is a local
 user,
 .cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using router check_local_user option"
 &$local_part_data$& is set to an untainted version of the local part and
 &$home$& is set from the password data. The latter can be tested in other
 preconditions that are evaluated after this one (the order of evaluation is
@@ -19809,10 +19836,8 @@ Values containing a list-separator should have them doubled.
 When a router runs, the strings are evaluated in order,
 to create variables which are added to the set associated with
 the address.
-.new
 This is done immediately after all the preconditions, before the
 evaluation of the &%address_data%& option.
-.wen
 The variable is set with the expansion of the value.
 The variables can be used by the router options
 (not including any preconditions)
@@ -22361,11 +22386,9 @@ and &$original_domain$& is never set.
 .scindex IIDgenoptra1 "generic options" "transport"
 .scindex IIDgenoptra2 "options" "generic; for transports"
 .scindex IIDgenoptra3 "transport" "generic options for"
-.new
 The name of a transport is limited to be &drivernamemax; ASCII characters long;
 prior to Exim 4.95 names would be silently truncated at this length, but now
 it is enforced.
-.wen
 
 The following generic options apply to all transports:
 
@@ -22436,6 +22459,12 @@ header, Exim has a configuration option (&%envelope_to_remove%&) which requests
 its removal from incoming messages, so that delivered messages can safely be
 resent to other recipients.
 
+&*Note:*& If used on a transport handling multiple recipients
+(the smtp transport unless &%rcpt_max%& is 1, the appendfile, pipe or lmtp
+transport if &%batch_max%& is greater than 1)
+then information about Bcc recipients will be leaked.
+Doing so is generally not advised.
+
 
 .option event_action transports string&!! unset
 .cindex events
@@ -22777,9 +22806,10 @@ an ideal name for this feature here, but as it was already implemented for the
 The expansion variables &$host$& and &$host_address$& are available when the
 transport is a remote one. They contain the name and IP address of the host to
 which the message is being sent. For example:
+. used to have $sender_address in this cmdline, but it's tainted
 .code
 transport_filter = /some/directory/transport-filter.pl \
-  $host $host_address $sender_address $pipe_addresses
+  $host $host_address $pipe_addresses
 .endd
 
 Two problems arise if you want to use more complicated expansion items to
@@ -23194,10 +23224,8 @@ directories defined by the &%directory%& option. In the case of maildir
 delivery, it applies to the top level directory, not the maildir directories
 beneath.
 
-.new
 The option must be set to one of the words &"anywhere"&, &"inhome"&, or
 &"belowhome"&, or to an absolute path.
-.wen
 
 In the second and third cases, a home directory must have been
 set for the transport, and the file or directory being created must
@@ -23210,7 +23238,6 @@ are generated from users' &_.forward_& files. These are usually handled
 by an &(appendfile)& transport called &%address_file%&. See also
 &%file_must_exist%&.
 
-.new
 In the fourth case,
 the value given for this option must be an absolute path for an
 existing directory.
@@ -23218,9 +23245,9 @@ The value is used for checking instead of a home directory;
 checking is done in "belowhome" mode.
 
 .cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using appendfile create_file option"
 If "belowhome" checking is used, the file or directory path
 becomes de-tainted.
-.wen
 
 
 .option directory appendfile string&!! unset
@@ -23234,10 +23261,8 @@ appended to a single mailbox file. A number of different formats are provided
 (see &%maildir_format%& and &%mailstore_format%&), and see section
 &<<SECTopdir>>& for further details of this form of delivery.
 
-.new
 The result of expansion must not be tainted, unless the &%create_file%& option
 specifies a path.
-.wen
 
 
 .option directory_file appendfile string&!! "see below"
@@ -23271,10 +23296,8 @@ specifies a single file, to which the message is appended. One or more of
 &%use_fcntl_lock%&, &%use_flock_lock%&, or &%use_lockfile%& must be set with
 &%file%&.
 
-.new
 The result of expansion must not be tainted, unless the &%create_file%& option
 specifies a path.
-.wen
 
 .cindex "NFS" "lock file"
 .cindex "locking files"
@@ -24658,6 +24681,9 @@ This list is a compromise for maximum compatibility with other MTAs. Note that
 the &%environment%& option can be used to add additional variables to this
 environment. The environment for the &(pipe)& transport is not subject
 to the &%add_environment%& and &%keep_environment%& main config options.
+&*Note*&: Using enviroment variables loses track of tainted data.
+Writers of &(pipe)& transport commands should be wary of data supplied
+by potential attackers.
 .display
 &`DOMAIN            `&   the domain of the address
 &`HOME              `&   the home directory, if set
@@ -24749,6 +24775,9 @@ the &%path%& option below). The command is split up into separate arguments by
 Exim, and each argument is separately expanded, as described in section
 &<<SECThowcommandrun>>& above.
 
+.cindex "tainted data"
+No part of the resulting command may be tainted.
+
 
 .option environment pipe string&!! unset
 .cindex "&(pipe)& transport" "environment for command"
@@ -25064,12 +25093,15 @@ use a shell to run pipe commands.
 .cindex "Cyrus"
 The next example shows a transport and a router for a system where local
 deliveries are handled by the Cyrus IMAP server.
+. Used to have R: local_part_suffix = .* +  T:   -m $local_part_suffix_v
+. but that suffix is tainted so cannot be used in a command arg
+. Really, you'd want to use a lookup for acceptable suffixes to do real detainting
 .code
 # transport
 local_delivery_cyrus:
   driver = pipe
   command = /usr/cyrus/bin/deliver \
-            -m ${substr_1:$local_part_suffix} -- $local_part
+            -- $local_part_data
   user = cyrus
   group = mail
   return_output
@@ -25081,7 +25113,6 @@ local_delivery_cyrus:
 local_user_cyrus:
   driver = accept
   check_local_user
-  local_part_suffix = .*
   transport = local_delivery_cyrus
 .endd
 Note the unsetting of &%message_prefix%& and &%message_suffix%&, and the use of
@@ -25280,7 +25311,7 @@ of the message. Its value must not be zero. See also &%final_timeout%&.
 
 .option dkim_canon smtp string&!! unset
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
-.option dkim_domain smtp string list&!! unset
+.option dkim_domain smtp "string list&!!" unset
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
 .option dkim_hash smtp string&!! sha256
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
@@ -25447,12 +25478,43 @@ servers or different local IP addresses. For example, if you want the string
 that is used for &%helo_data%& to be obtained by a DNS lookup of the outgoing
 interface address, you could use this:
 .code
-helo_data = ${lookup dnsdb{ptr=$sending_ip_address}{$value}\
+helo_data = ${lookup dnsdb{ptr=$sending_ip_address} \
+  {${listextract{1}{<\n $value}}} \
   {$primary_hostname}}
 .endd
 The use of &%helo_data%& applies both to sending messages and when doing
 callouts.
 
+.option host_name_extract smtp "string list&!!" "see below"
+.cindex "load balancer" "hosts behind"
+.cindex TLS resumption
+Some mail-accepting sites
+(notably Microsoft)
+operate many servers behind a network load-balancer.  When this is done,
+with separated TLS session caches, TLS session resuption becomes problematic.
+It will only succeed when the same server happens to be selected by the
+load-balancer, matching the session stored in the client's cache.
+
+Exim can pull out a server name, if there is one, from the response to the
+client's SMTP EHLO command.
+The default value of this option:
+.code
+    ${if and { {match {$host} {.outlook.com\$}} \
+               {match {$item} {\N^250-([\w.]+)\s\N}} \
+            } {$1}}
+.endd
+suffices for one known case.
+During the expansion of this option the &$item$& variable will have the
+server's EHLO response.
+The result of the option expansion is included in the key used to store and
+retrieve the TLS session, for session resumption.
+
+Operators of high-load sites may wish to evaluate their logs for indications
+of other destination sites operating load-balancers, and develop a suitable
+expression for this option.
+The smtp:ehlo event and the &$tls_out_resumption$& variable
+will be useful for such work.
+
 .option hosts smtp "string list&!!" unset
 Hosts are associated with an address by a router such as &(dnslookup)&, which
 finds the hosts by looking up the address domain in the DNS, or by
@@ -25506,7 +25568,7 @@ that matches this list, even if the server host advertises PIPELINING support.
 
 .option hosts_pipe_connect smtp "host list&!!" unset
 .cindex "pipelining" "early connection"
-.cindex "pipelining" PIPE_CONNECT
+.cindex "pipelining" PIPECONNECT
 If Exim is built with the SUPPORT_PIPE_CONNECT build option
 this option controls which to hosts the facility watched for
 and recorded, and used for subsequent connections.
@@ -25520,7 +25582,8 @@ so combines well with TCP Fast Open.
 See also the &%pipelining_connect_advertise_hosts%& main option.
 
 Note:
-When the facility is used, the transport &%helo_data%& option
+When the facility is used, if the transport &%interface%& option is unset
+the &%helo_data%& option
 will be expanded before the &$sending_ip_address$& variable
 is filled in.
 A check is made for the use of that variable, without the
@@ -25631,6 +25694,18 @@ Exim will request a Certificate Status on a
 TLS session for any host that matches this list.
 &%tls_verify_certificates%& should also be set for the transport.
 
+.option hosts_require_alpn smtp "host list&!!" unset
+.cindex ALPN "require negotiation in client"
+.cindex TLS ALPN
+.cindex TLS "Application Layer Protocol Names"
+If the TLS library supports ALPN
+then a successful negotiation of ALPN will be required for any host
+matching the list, for TLS to be used.
+See also the &%tls_alpn%& option.
+
+&*Note*&: prevention of fallback to in-clear connection is not
+managed by this option; see &%hosts_require_tls%&.
+
 .option hosts_require_dane smtp "host list&!!" unset
 .cindex DANE "transport options"
 .cindex DANE "requiring for certain servers"
@@ -25659,9 +25734,7 @@ incoming messages, use an appropriate ACL.
 This option provides a list of servers to which, provided they announce
 authentication support, Exim will attempt to authenticate as a client when it
 connects. If authentication fails
-.new
 and &%hosts_require_auth%& permits,
-.wen
 Exim will try to transfer the message unauthenticated.
 See also chapter &<<CHAPSMTPAUTH>>& for details of authentication.
 
@@ -25677,13 +25750,11 @@ BDAT will not be used in conjunction with a transport filter.
 .option hosts_try_dane smtp "host list&!!" *
 .cindex DANE "transport options"
 .cindex DANE "attempting for certain servers"
-.new
 If built with DANE support, Exim  will look up a
 TLSA record for any host matching the list,
 If one is found and that lookup was DNSSEC-validated,
 then Exim requires that a DANE-verified TLS connection is made for that host;
 there will be no fallback to in-clear communication.
-.wen
 See the &%dnssec_request_domains%& router and transport options.
 See section &<<SECDANE>>&.
 
@@ -25772,7 +25843,6 @@ so can cause parallel connections to the same host if &%remote_max_parallel%&
 permits this. A value setting of zero disables the limit.
 
 
-.new
 .option message_linelength_limit smtp integer 998
 .cindex "line length" limit
 This option sets the maximum line length, in bytes, that the transport
@@ -25783,7 +25853,6 @@ The default value is that defined by the SMTP standards.
 
 It is generally wise to also check in the data ACL so that messages
 received via SMTP can be refused without producing a bounce.
-.wen
 
 
 .option multi_domain smtp boolean&!! true
@@ -25799,11 +25868,9 @@ It is expanded per-address and can depend on any of
 &$address_data$&, &$domain_data$&, &$local_part_data$&,
 &$host$&, &$host_address$& and &$host_port$&.
 
-.new
 If the connection is DANE-enabled then this option is ignored;
 only messages having the domain used for the DANE TLSA lookup are
 sent on the connection.
-.wen
 
 .option port smtp string&!! "see below"
 .cindex "port" "sending TCP/IP"
@@ -25909,6 +25976,19 @@ This option enables use of SOCKS proxies for connections made by the
 transport.  For details see section &<<SECTproxySOCKS>>&.
 
 
+.option tls_alpn smtp string&!! unset
+.cindex TLS "Application Layer Protocol Names"
+.cindex TLS ALPN
+.cindex ALPN "set name in client"
+If this option is set
+and the TLS library supports ALPN,
+the value given is used.
+
+As of writing no value has been standardised for email use.
+The authors suggest using &"smtp"&.
+
+
+
 .option tls_certificate smtp string&!! unset
 .cindex "TLS" "client certificate, location of"
 .cindex "certificate" "client, location of"
@@ -25973,12 +26053,10 @@ is used in different ways by OpenSSL and GnuTLS (see sections
 ciphers is a preference order.
 
 
-.new
 .option tls_resumption_hosts smtp "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to use the TLS resumption feature.
 See &<<SECTresumption>>& for details.
-.wen
 
 
 
@@ -25988,9 +26066,7 @@ See &<<SECTresumption>>& for details.
 .cindex SNI "setting in client"
 .vindex "&$tls_sni$&"
 If this option is set
-.new
 and the connection is not DANE-validated
-.wen
 then it sets the $tls_out_sni variable and causes any
 TLS session to pass this value as the Server Name Indication extension to
 the remote side, which can be used by the remote side to select an appropriate
@@ -26085,6 +26161,10 @@ certificate verification must succeed.
 The &%tls_verify_certificates%& option must also be set.
 If both this option and &%tls_try_verify_hosts%& are unset
 operation is as if this option selected all hosts.
+&*Warning*&: Including a host in &%tls_verify_hosts%& does not require
+that connections use TLS.
+Fallback to in-clear communication will be done unless restricted by 
+the &%hosts_require_tls%& option.
 
 .option utf8_downconvert smtp integer&!! -1
 .cindex utf8 "address downconversion"
@@ -26259,7 +26339,7 @@ message's processing.
 
 .vindex "&$sender_address$&"
 At the start of an ACL for MAIL, the sender address may have been rewritten
-by a special SMTP-time rewrite rule (see section &<<SECTrewriteS>>&), but no
+by a special SMTP-time rewrite rule (see section &<<SSECTrewriteS>>&), but no
 ordinary rewrite rules have yet been applied. If, however, the sender address
 is verified in the ACL, it is rewritten before verification, and remains
 rewritten thereafter. The subsequent value of &$sender_address$& is the
@@ -26466,7 +26546,7 @@ entry written to the panic log.
 
 
 
-.section "Rewriting flags" "SECID153"
+.subsection "Rewriting flags" "SSECID153"
 There are three different kinds of flag that may appear on rewriting rules:
 
 .ilist
@@ -26483,11 +26563,11 @@ E, F, T, and S are not permitted.
 
 
 
-.section "Flags specifying which headers and envelope addresses to rewrite" &&&
-         "SECID154"
-.cindex "rewriting" "flags"
+.subsection "Flags specifying which headers and envelope addresses to rewrite" &&&
+         "SSECID154"
+.cindex rewriting flags
 If none of the following flag letters, nor the &"S"& flag (see section
-&<<SECTrewriteS>>&) are present, a main rewriting rule applies to all headers
+&<<SSECTrewriteS>>&) are present, a main rewriting rule applies to all headers
 and to both the sender and recipient fields of the envelope, whereas a
 transport-time rewriting rule just applies to all headers. Otherwise, the
 rewriting rule is skipped unless the relevant addresses are being processed.
@@ -26511,10 +26591,10 @@ You should be particularly careful about rewriting &'Sender:'& headers, and
 restrict this to special known cases in your own domains.
 
 
-.section "The SMTP-time rewriting flag" "SECTrewriteS"
-.cindex "SMTP" "rewriting malformed addresses"
-.cindex "RCPT" "rewriting argument of"
-.cindex "MAIL" "rewriting argument of"
+.subsection "The SMTP-time rewriting flag" SSECTrewriteS
+.cindex SMTP "rewriting malformed addresses"
+.cindex RCPT "rewriting argument of"
+.cindex MAIL "rewriting argument of"
 The rewrite flag &"S"& specifies a rewrite of incoming envelope addresses at
 SMTP time, as soon as an address is received in a MAIL or RCPT command, and
 before any other processing; even before syntax checking. The pattern is
@@ -26531,7 +26611,7 @@ expansion of the replacement string. The result of rewriting replaces the
 original address in the MAIL or RCPT command.
 
 
-.section "Flags controlling the rewriting process" "SECID155"
+.subsection "Flags controlling the rewriting process" SSECID155
 There are four flags which control the way the rewriting process works. These
 take effect only when a rule is invoked, that is, when the address is of the
 correct type (matches the flags) and matches the pattern:
@@ -27203,17 +27283,15 @@ permitted to use it as a relay. SMTP authentication is not of relevance to the
 transfer of mail between servers that have no managerial connection with each
 other.
 
-.new
 The name of an authenticator is limited to be &drivernamemax; ASCII characters long;
 prior to Exim 4.95 names would be silently truncated at this length, but now
 it is enforced.
-.wen
 
 .cindex "AUTH" "description of"
 .cindex "ESMTP extensions" AUTH
 Very briefly, the way SMTP authentication works is as follows:
 
-.ilist
+.olist
 The server advertises a number of authentication &'mechanisms'& in response to
 the client's EHLO command.
 .next
@@ -27569,7 +27647,16 @@ no successful authentication.
 Successful authentication sets up information used by the
 &%authresults%& expansion item.
 
-
+.new
+.cindex authentication "failure event"
+If an authenticator is run and does not succeed,
+an event (see &<<CHAPevents>>&) of type "auth:fail" is raised.
+While the event is being processed the variables
+&$sender_host_authenticated$& (with the authenticator name)
+and &$authenticated_fail_id$& (as set by the suthenticator &%server_set_id%& option)
+will be valid.
+See <<CHAPevents>> for details on events.
+.wen
 
 
 .section "Testing server authentication" "SECID169"
@@ -27952,10 +28039,8 @@ fixed_plain:
 .endd
 The lack of colons means that the entire text is sent with the AUTH
 command, with the circumflex characters converted to NULs.
-.new
 Note that due to the ambiguity of parsing three consectutive circumflex characters
 there is no way to provide a password having a leading circumflex.
-.wen
 
 
 A similar example
@@ -28282,11 +28367,9 @@ realease for the SCRAM-SHA-256 method.
 The macro _HAVE_AUTH_GSASL_SCRAM_SHA_256 will be defined
 when this happens.
 
-.new
 To see the list of mechanisms supported by the library run Exim with "auth" debug
 enabled and look for a line containing "GNU SASL supports".
 Note however that some may not have been tested from Exim.
-.wen
 
 
 .option client_authz gsasl string&!! unset
@@ -28309,10 +28392,8 @@ the account name to be used.
 
 
 .option client_spassword gsasl string&!! unset
-.new
 This option is only supported for library versions 1.9.1 and greater.
 The macro _HAVE_AUTH_GSASL_SCRAM_S_KEY will be defined when this is so.
-.wen
 
 If a SCRAM mechanism is being used and this option is set
 and correctly sized
@@ -28324,7 +28405,6 @@ with the PBKDF2-prepared password, hex-encoded.
 Note that this value will depend on the salt and iteration-count
 supplied by the server.
 The option is expanded before use.
-.new
 During the expansion &$auth1$& is set with the client username,
 &$auth2$& with the iteration count, and
 &$auth3$& with the salt.
@@ -28341,7 +28421,6 @@ If the authentication succeeds then the above variables are set,
 plus the calculated salted password value value in &$auth4$&,
 during the expansion of the &%client_set_id%& option.
 A side-effect of this expansion can be used to prime the cache.
-.wen
 
 
 .option server_channelbinding gsasl boolean false
@@ -28368,12 +28447,10 @@ of Exim might have switched the default to be true.
 . Do not plan to rely upon this feature for security, ever, without consulting
 . with a subject matter expert (a cryptographic engineer).
 
-.new
 This option was deprecated in previous releases due to doubts over
 the "Triple Handshake" vulnerability.
 Exim takes suitable precausions (requiring Extended Master Secret if TLS
 Session Resumption was used) for safety.
-.wen
 
 
 .option server_hostname gsasl string&!! "see below"
@@ -29046,12 +29123,10 @@ Some other recently added features may only be available in one or the other.
 This should be documented with the feature.  If the documentation does not
 explicitly state that the feature is infeasible in the other TLS
 implementation, then patches are welcome.
-.new
 .next
 The output from "exim -bV" will show which (if any) support was included
 in the build.
 Also, the macro "_HAVE_OPENSSL" or "_HAVE_GNUTLS" will be defined.
-.wen
 .endlist
 
 
@@ -29393,7 +29468,7 @@ For outgoing SMTP deliveries, &$tls_out_cipher$& is used and logged
 (again depending on the &%tls_cipher%& log selector).
 
 
-.section "Requesting and verifying client certificates" "SECID183"
+.subsection "Requesting and verifying client certificates" SECID183
 .cindex "certificate" "verification of client"
 .cindex "TLS" "client certificate verification"
 If you want an Exim server to request a certificate when negotiating a TLS
@@ -29525,7 +29600,6 @@ There is no current way to staple a proof for a client certificate.
 .endd
 
 
-.new
 .section "Caching of static server configuration items" "SECTserverTLScache"
 .cindex certificate caching
 .cindex privatekey caching
@@ -29577,7 +29651,6 @@ is acceptable in configurations for the Exim executavble.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 accepted by Exim.
-.wen
 
 
 
@@ -29649,13 +29722,11 @@ or need not succeed respectively.
 
 The &%tls_verify_cert_hostnames%& option lists hosts for which additional
 name checks are made on the server certificate.
-.new
 The match against this list is, as per other Exim usage, the
 IP for the host.  That is most closely associated with the
 name on the DNS A (or AAAA) record for the host.
 However, the name that needs to be in the certificate
 is the one at the head of any CNAME chain leading to the A record.
-.wen
 The option defaults to always checking.
 
 The &(smtp)& transport has two OCSP-related options:
@@ -29703,8 +29774,7 @@ outgoing connection.
 
 
 
-.new
-.section "Caching of static client configuration items" "SECTclientTLScache"
+.subsection "Caching of static client configuration items" SECTclientTLScache
 .cindex certificate caching
 .cindex privatekey caching
 .cindex crl caching
@@ -29754,7 +29824,6 @@ is acceptable in configurations for the Exim executavble.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 initiated by Exim.
-.wen
 
 
 
@@ -29794,10 +29863,8 @@ nothing more to it.  Choosing a sensible value not derived insecurely is the
 only point of caution.  The &$tls_out_sni$& variable will be set to this string
 for the lifetime of the client connection (including during authentication).
 
-.new
 If DANE validated the connection attempt then the value of the &%tls_sni%& option
-is forced to the domain part of the recipient address.
-.wen
+is forced to the name of the destination host, after any MX- or CNAME-following.
 
 Except during SMTP client sessions, if &$tls_in_sni$& is set then it is a string
 received from a client.
@@ -29839,6 +29906,33 @@ When Exim is built against GnuTLS, SNI support is available as of GnuTLS
 0.5.10.  (Its presence predates the current API which Exim uses, so if Exim
 built, then you have SNI support).
 
+.cindex TLS ALPN
+.cindex ALPN "general information"
+.cindex TLS "Application Layer Protocol Names"
+There is a TLS feature related to SNI
+called Application Layer Protocol Name (ALPN).
+This is intended to declare, or select, what protocol layer will be using a TLS
+connection.
+The client for the connection proposes a set of protocol names, and
+the server responds with a selected one.
+It is not, as of 2021, commonly used for SMTP connections.
+However, to guard against misirected or malicious use of web clients
+(which often do use ALPN) against MTA ports, Exim by default check that
+there is no incompatible ALPN specified by a client for a TLS connection.
+If there is, the connection is rejected.
+
+As a client Exim does not supply ALPN by default.
+The behaviour of both client and server can be configured using the options
+&%tls_alpn%& and &%hosts_require_alpn%&.
+There are no variables providing observability.
+Some feature-specific logging may appear on denied connections, but this
+depends on the behavious of the peer
+(not all peers can send a feature-specific TLS Alert).
+
+This feature is available when Exim is built with
+OpenSSL 1.1.0 or later or GnuTLS 3.2.0 or later;
+the macro _HAVE_TLS_ALPN will be defined when this is so.
+
 
 
 .section "Multiple messages on the same encrypted TCP/IP connection" &&&
@@ -29911,7 +30005,7 @@ Ivan is the author of the popular TLS testing tools at
 &url(https://www.ssllabs.com/).
 
 
-.section "Certificate chains" "SECID186"
+.subsection "Certificate chains" SECID186
 A file named by &%tls_certificate%& may contain more than one
 certificate. This is useful in the case where the certificate that is being
 sent is validated by an intermediate certificate which the other end does
@@ -29932,7 +30026,7 @@ diagnostics in such a case can be frustratingly vague.
 
 
 
-.section "Self-signed certificates" "SECID187"
+.subsection "Self-signed certificates" SECID187
 .cindex "certificate" "self-signed"
 You can create a self-signed certificate using the &'req'& command provided
 with OpenSSL, like this:
@@ -29985,7 +30079,6 @@ Open-source PKI book, available online at
 .ecindex IIDencsmtp2
 
 
-.new
 .section "TLS Resumption" "SECTresumption"
 .cindex TLS resumption
 TLS Session Resumption for TLS 1.2 and TLS 1.3 connections can be used (defined
@@ -30077,7 +30170,6 @@ Issues:
 .endlist
 
 .endlist
-.wen
 
 
 .section DANE "SECDANE"
@@ -30383,7 +30475,7 @@ trying to deliver the message. It is therefore recommended that you do as much
 testing as possible at RCPT time.
 
 
-.section "The non-SMTP ACLs" "SECID190"
+.subsection "The non-SMTP ACLs" SECID190
 .cindex "non-SMTP messages" "ACLs for"
 The non-SMTP ACLs apply to all non-interactive incoming messages, that is, they
 apply to batched SMTP as well as to non-SMTP messages. (Batched SMTP is not
@@ -30417,7 +30509,7 @@ kind of rejection is treated as permanent, because there is no way of sending a
 temporary error for these kinds of message.
 
 
-.section "The SMTP connect ACL" "SECID191"
+.subsection "The SMTP connect ACL" SECID191
 .cindex "SMTP" "connection, ACL for"
 .oindex &%smtp_banner%&
 The ACL test specified by &%acl_smtp_connect%& happens at the start of an SMTP
@@ -30427,8 +30519,11 @@ accepted by an &%accept%& verb that has a &%message%& modifier, the contents of
 the message override the banner message that is otherwise specified by the
 &%smtp_banner%& option.
 
+For tls-on-connect connections, the ACL is run after the TLS connection
+is accepted (however, &%host_reject_connection%& is tested before).
 
-.section "The EHLO/HELO ACL" "SECID192"
+
+.subsection "The EHLO/HELO ACL" SECID192
 .cindex "EHLO" "ACL for"
 .cindex "HELO" "ACL for"
 The ACL test specified by &%acl_smtp_helo%& happens when the client issues an
@@ -30449,7 +30544,7 @@ affect the EHLO options that are listed on the second and subsequent lines of
 an EHLO response.
 
 
-.section "The DATA ACLs" "SECID193"
+.subsection "The DATA ACLs" SECID193
 .cindex "DATA" "ACLs for"
 Two ACLs are associated with the DATA command, because it is two-stage
 command, with two responses being sent to the client.
@@ -30488,7 +30583,7 @@ the &%acl_smtp_data_prdr%&,
 the &%acl_smtp_dkim%&
 and the &%acl_smtp_mime%& ACLs.
 
-.section "The SMTP DKIM ACL" "SECTDKIMACL"
+.subsection "The SMTP DKIM ACL" SECTDKIMACL
 The &%acl_smtp_dkim%& ACL is available only when Exim is compiled with DKIM support
 enabled (which is the default).
 
@@ -30501,14 +30596,14 @@ This ACL is evaluated before &%acl_smtp_mime%& and &%acl_smtp_data%&.
 For details on the operation of DKIM, see section &<<SECDKIM>>&.
 
 
-.section "The SMTP MIME ACL" "SECID194"
+.subsection "The SMTP MIME ACL" SECID194
 The &%acl_smtp_mime%& option is available only when Exim is compiled with the
 content-scanning extension. For details, see chapter &<<CHAPexiscan>>&.
 
 This ACL is evaluated after &%acl_smtp_dkim%& but before &%acl_smtp_data%&.
 
 
-.section "The SMTP PRDR ACL" "SECTPRDRACL"
+.subsection "The SMTP PRDR ACL" SECTPRDRACL
 .cindex "PRDR" "ACL for"
 .oindex "&%prdr_enable%&"
 The &%acl_smtp_data_prdr%& ACL is available only when Exim is compiled
@@ -30542,7 +30637,7 @@ This ACL is evaluated after &%acl_smtp_dkim%& but before &%acl_smtp_data%&.
 If the ACL is not defined, processing completes as if
 the feature was not requested by the client.
 
-.section "The QUIT ACL" "SECTQUITACL"
+.subsection "The QUIT ACL" SECTQUITACL
 .cindex "QUIT, ACL for"
 The ACL for the SMTP QUIT command is anomalous, in that the outcome of the ACL
 does not affect the response code to QUIT, which is always 221. Thus, the ACL
@@ -30569,7 +30664,7 @@ client are given temporary error responses until QUIT is received or the
 connection is closed. In these special cases, the QUIT ACL does not run.
 
 
-.section "The not-QUIT ACL" "SECTNOTQUITACL"
+.subsection "The not-QUIT ACL" SECTNOTQUITACL
 .vindex &$acl_smtp_notquit$&
 The not-QUIT ACL, specified by &%acl_smtp_notquit%&, is run in most cases when
 an SMTP session ends without sending QUIT. However, when Exim itself is in bad
@@ -31355,8 +31450,9 @@ anyway. If the message contains newlines, this gives rise to a multi-line SMTP
 response.
 
 .vindex "&$acl_verify_message$&"
-For ACLs that are called by an &%acl =%& ACL condition, the message is
-stored in &$acl_verify_message$&, from which the calling ACL may use it.
+While the text is being expanded, the &$acl_verify_message$& variable
+contains any message previously set.
+Afterwards, &$acl_verify_message$& is cleared.
 
 If &%message%& is used on a statement that verifies an address, the message
 specified overrides any message that is generated by the verification process.
@@ -31543,12 +31639,43 @@ sender when the destination system is doing content-scan based rejection.
 This control turns on debug logging, almost as though Exim had been invoked
 with &`-d`&, with the output going to a new logfile in the usual logs directory,
 by default called &'debuglog'&.
-The filename can be adjusted with the &'tag'& option, which
-may access any variables already defined.  The logging may be adjusted with
-the &'opts'& option, which takes the same values as the &`-d`& command-line
-option.
-Logging started this way may be stopped, and the file removed,
-with the &'kill'& option.
+
+Logging set up by the control will be maintained across spool residency.
+
+Options are a slash-separated list.
+If an option takes an argument, the option name and argument are separated by
+an equals character.
+Several options are supported:
+.display
+tag=<&'suffix'&>         The filename can be adjusted with thise option.
+                    The argument, which may access any variables already defined,
+                     is appended to the default name.
+
+opts=<&'debug&~options'&> The argument specififes what is to be logged,
+                     using the same values as the &`-d`& command-line option.
+
+stop                 Logging started with this control may be
+                     stopped by using this option.
+
+kill                 Logging started with this control may be
+                     stopped by using this option.
+                     Additionally the debug file will be removed,
+                     providing one means for speculative debug tracing.
+
+pretrigger=<&'size'&>    This option specifies a memory buffuer to be used
+                     for pre-trigger debug capture.
+                     Debug lines are recorded in the buffer until
+                     and if) a trigger occurs; at which time they are
+                     dumped to the debug file.  Newer lines displace the
+                     oldest if the buffer is full.  After a trigger,
+                     immediate writes to file are done as normal.
+
+trigger=<&'reason'&>     This option selects cause for the pretrigger buffer
+                     see above) to be copied to file.  A reason of $*now*
+                     take effect immediately; one of &*paniclog*& triggers
+                     on a write to the panic log.
+.endd
+
 Some examples (which depend on variables that don't exist in all
 contexts):
 .code
@@ -31557,6 +31684,8 @@ contexts):
       control = debug/opts=+expand+acl
       control = debug/tag=.$message_exim_id/opts=+expand
       control = debug/kill
+      control = debug/opts=+all/pretrigger=1024/trigger=paniclog
+      control = debug/trigger=now
 .endd
 
 
@@ -32074,7 +32203,7 @@ different variants of this condition to describe briefly here. See sections
 .cindex "domain" "ACL checking"
 .cindex "&ACL;" "testing a recipient domain"
 .vindex "&$domain_data$&"
-This condition is relevant only after a RCPT command. It checks that the domain
+This condition is relevant only in a RCPT ACL. It checks that the domain
 of the recipient address is in the domain list. If percent-hack processing is
 enabled, it is done before this test is done. If the check succeeds with a
 lookup, the result of the lookup is placed in &$domain_data$& until the next
@@ -32142,7 +32271,7 @@ which gives a custom error message for each denied host.
 .cindex "local part" "ACL checking"
 .cindex "&ACL;" "testing a local part"
 .vindex "&$local_part_data$&"
-This condition is relevant only after a RCPT command. It checks that the local
+This condition is relevant only in a RCPT ACL. It checks that the local
 part of the recipient address is in the list. If percent-hack processing is
 enabled, it is done before this test. If the check succeeds with a lookup, the
 result of the lookup is placed in &$local_part_data$&, which remains set until
@@ -32176,7 +32305,7 @@ messages. Details are given in section &<<SECTratelimiting>>&.
 .cindex "&%recipients%& ACL condition"
 .cindex "recipient" "ACL checking"
 .cindex "&ACL;" "testing a recipient"
-This condition is relevant only after a RCPT command. It checks the entire
+This condition is relevant only in a RCPT ACL. It checks the entire
 recipient address against a list of recipients.
 
 .vitem &*regex&~=&~*&<&'list&~of&~regular&~expressions'&>
@@ -32187,6 +32316,12 @@ content-scanning extension, and is available only in the DATA, MIME, and
 non-SMTP ACLs. It causes the incoming message to be scanned for a match with
 any of the regular expressions. For details, see chapter &<<CHAPexiscan>>&.
 
+.vitem &*seen&~=&~*&<&'parameters'&>
+.cindex "&%seen%& ACL condition"
+This condition can be used to test if a situation has been previously met,
+for example for greylisting.
+Details are given in section &<<SECTseen>>&.
+
 .vitem &*sender_domains&~=&~*&<&'domain&~list'&>
 .cindex "&%sender_domains%& ACL condition"
 .cindex "sender" "ACL checking"
@@ -32445,11 +32580,11 @@ This is usually the required action when &%dnslists%& is used with &%deny%&
 (which is the most common usage), because it prevents a DNS failure from
 blocking mail. However, you can change this behaviour by putting one of the
 following special items in the list:
-.display
-&`+include_unknown `&   behave as if the item is on the list
-&`+exclude_unknown `&   behave as if the item is not on the list (default)
-&`+defer_unknown   `&   give a temporary error
-.endd
+.itable none 0 0 2 25* left 75* left
+.irow "+include_unknown"   "behave as if the item is on the list"
+.irow "+exclude_unknown"   "behave as if the item is not on the list (default)"
+.irow "+defer_unknown  "   "give a temporary error"
+.endtable
 .cindex "&`+include_unknown`&"
 .cindex "&`+exclude_unknown`&"
 .cindex "&`+defer_unknown`&"
@@ -32479,7 +32614,7 @@ or free for small deployments.  An overview can be found at
 
 
 
-.section "Specifying the IP address for a DNS list lookup" "SECID201"
+.subsection "Specifying the IP address for a DNS list lookup" SECID201
 .cindex "DNS list" "keyed by explicit IP address"
 By default, the IP address that is used in a DNS list lookup is the IP address
 of the calling host. However, you can specify another IP address by listing it
@@ -32495,7 +32630,7 @@ MX hosts or nameservers of an email sender address. For an example, see section
 
 
 
-.section "DNS lists keyed on domain names" "SECID202"
+.subsection "DNS lists keyed on domain names" SECID202
 .cindex "DNS list" "keyed by domain name"
 There are some lists that are keyed on domain names rather than inverted IP
 addresses (see, e.g., the &'domain based zones'& link at
@@ -32525,7 +32660,7 @@ name. The whole condition is true if either of the DNS lookups succeeds.
 
 
 
-.section "Multiple explicit keys for a DNS list" "SECTmulkeyfor"
+.subsection "Multiple explicit keys for a DNS list" SECTmulkeyfor
 .cindex "DNS list" "multiple keys for"
 The syntax described above for looking up explicitly-defined values (either
 names or IP addresses) in a DNS blacklist is a simplification. After the domain
@@ -32592,34 +32727,32 @@ The key that was used for a successful DNS list lookup is put into the variable
 
 
 
-.section "Data returned by DNS lists" "SECID203"
+.subsection "Data returned by DNS lists" SECID203
 .cindex "DNS list" "data returned from"
 DNS lists are constructed using address records in the DNS. The original RBL
 just used the address 127.0.0.1 on the right hand side of each record, but the
 RBL+ list and some other lists use a number of values with different meanings.
 The values used on the RBL+ list are:
-.display
-127.1.0.1  RBL
-127.1.0.2  DUL
-127.1.0.3  DUL and RBL
-127.1.0.4  RSS
-127.1.0.5  RSS and RBL
-127.1.0.6  RSS and DUL
-127.1.0.7  RSS and DUL and RBL
-.endd
+.itable none 0 0 2 20* left 80* left
+.irow 127.1.0.1  "RBL"
+.irow 127.1.0.2  "DUL"
+.irow 127.1.0.3  "DUL and RBL"
+.irow 127.1.0.4  "RSS"
+.irow 127.1.0.5  "RSS and RBL"
+.irow 127.1.0.6  "RSS and DUL"
+.irow 127.1.0.7  "RSS and DUL and RBL"
+.endtable
 Section &<<SECTaddmatcon>>& below describes how you can distinguish between
 different values. Some DNS lists may return more than one address record;
 see section &<<SECThanmuldnsrec>>& for details of how they are checked.
 
-.new
 Values returned by a properly running DBSBL should be in the 127.0.0.0/8
 range. If a DNSBL operator loses control of the domain, lookups on it
 may start returning other addresses.  Because of this, Exim now ignores
 returned values outside the 127/8 region.
-.wen
 
 
-.section "Variables set from DNS lists" "SECID204"
+.subsection "Variables set from DNS lists" SECID204
 .cindex "expansion" "variables, set from DNS list"
 .cindex "DNS list" "variables set from"
 .vindex "&$dnslist_domain$&"
@@ -32665,7 +32798,7 @@ deny    hosts = !+local_networks
 
 
 
-.section "Additional matching conditions for DNS lists" "SECTaddmatcon"
+.subsection "Additional matching conditions for DNS lists" SECTaddmatcon
 .cindex "DNS list" "matching specific returned data"
 You can add an equals sign and an IP address after a &%dnslists%& domain name
 in order to restrict its action to DNS records with a matching right hand side.
@@ -32711,7 +32844,7 @@ an odd number.
 
 
 
-.section "Negated DNS matching conditions" "SECID205"
+.subsection "Negated DNS matching conditions" SECID205
 You can supply a negative list of IP addresses as part of a &%dnslists%&
 condition. Whereas
 .code
@@ -32765,7 +32898,7 @@ deny dnslists = zen.spamhaus.org!&0.255.255.0
 
 
 
-.section "Handling multiple DNS records from a DNS list" "SECThanmuldnsrec"
+.subsection "Handling multiple DNS records from a DNS list" SECThanmuldnsrec
 A DNS lookup for a &%dnslists%& condition may return more than one DNS record,
 thereby providing more than one IP address. When an item in a &%dnslists%& list
 is followed by &`=`& or &`&&`& and a list of IP addresses, in order to restrict
@@ -32829,7 +32962,7 @@ between &`=`& and &`==`& and between &`&&`& and &`=&&`&.
 
 
 
-.section "Detailed information from merged DNS lists" "SECTmordetinf"
+.subsection "Detailed information from merged DNS lists" SECTmordetinf
 .cindex "DNS list" "information from merged"
 When the facility for restricting the matching IP values in a DNS list is used,
 the text from the TXT record that is set in &$dnslist_text$& may not reflect
@@ -32878,7 +33011,7 @@ done. Only if there is a match is one of the more specific lists consulted.
 
 
 
-.section "DNS lists and IPv6" "SECTmorednslistslast"
+.subsection "DNS lists and IPv6" SECTmorednslistslast
 .cindex "IPv6" "DNS black lists"
 .cindex "DNS list" "IPv6 usage"
 If Exim is asked to do a dnslist lookup for an IPv6 address, it inverts it
@@ -32911,6 +33044,61 @@ address you should specify alternate list separators for both the outer
        dnslists = <; dnsbl.example.com/<|$acl_m_addrslist
 .endd
 
+
+.section "Previously seen user and hosts" "SECTseen"
+.cindex "&%een%& ACL condition"
+.cindex greylisting
+The &%seen%& ACL condition can be used to test whether a
+situation has been previously met.
+It uses a hints database to record a timestamp against a key.
+host. The syntax of the condition is:
+.display
+&`seen =`& <&'optional flag'&><&'time interval'&> &`/`& <&'options'&>
+.endd
+
+For example,
+.code
+defer  seen = -5m / key=${sender_host_address}_$local_part@$domain
+.endd
+in a RCPT ACL will implement simple greylisting.
+
+The parameters for the condition are
+a possible minus sign,
+then an interval,
+then, slash-separated, a list of options.
+The interval is taken as an offset before the current time,
+and used for the test.
+If the interval is preceded by a minus sign then the condition returns
+whether a record is found which is before the test time.
+Otherwise, the condition returns whether one is found which is since the
+test time.
+
+Options are read in order with later ones overriding earlier ones.
+
+The default key is &$sender_host_address$&.
+An explicit key can be set using a &%key=value%& option.
+
+If a &%readonly%& option is given then
+no record create or update is done.
+If a &%write%& option is given then
+a record create or update is always done.
+An update is done if the test is for &"since"&.
+If none of those hold and there was no existing record,
+a record is created.
+
+Creates and updates are marked with the current time.
+
+Finally, a &"before"& test which succeeds, and for which the record
+is old enough, will be refreshed with a timestamp of the test time.
+This can prevent tidying of the database from removing the entry.
+The interval for this is, by default, 10 days.
+An explicit interval can be set using a
+&%refresh=value%& option.
+
+Note that &"seen"& should be added to the list of hints databases
+for maintenance if this ACL condition is used.
+
+
 .section "Rate limiting incoming messages" "SECTratelimiting"
 .cindex "rate limiting" "client sending"
 .cindex "limiting client sending rates"
@@ -32979,7 +33167,7 @@ behaviour. The lookup key is not affected by changes to the update mode and
 the &%count=%& option.
 
 
-.section "Ratelimit options for what is being measured" "ratoptmea"
+.subsection "Ratelimit options for what is being measured" ratoptmea
 .cindex "rate limiting" "per_* options"
 The &%per_conn%& option limits the client's connection rate. It is not
 normally used in the &%acl_not_smtp%&, &%acl_not_smtp_mime%&, or
@@ -33026,7 +33214,7 @@ other than &%acl_smtp_rcpt%&). The count does not have to be an integer.
 The &%unique=%& option is described in section &<<ratoptuniq>>& below.
 
 
-.section "Ratelimit update modes" "ratoptupd"
+.subsection "Ratelimit update modes" ratoptupd
 .cindex "rate limiting" "reading data without updating"
 You can specify one of three options with the &%ratelimit%& condition to
 control when its database is updated. This section describes the &%readonly%&
@@ -33067,7 +33255,7 @@ update mode defaults to &%readonly%& and you cannot specify the &%strict%& or
 next section) so you must specify the &%readonly%& option explicitly.
 
 
-.section "Ratelimit options for handling fast clients" "ratoptfast"
+.subsection "Ratelimit options for handling fast clients" ratoptfast
 .cindex "rate limiting" "strict and leaky modes"
 If a client's average rate is greater than the maximum, the rate limiting
 engine can react in two possible ways, depending on the presence of the
@@ -33098,7 +33286,7 @@ attempt to send mail can be calculated with this formula:
 .endd
 
 
-.section "Limiting the rate of different events" "ratoptuniq"
+.subsection "Limiting the rate of different events" ratoptuniq
 .cindex "rate limiting" "counting unique events"
 The &%ratelimit%& &%unique=%& option controls a mechanism for counting the
 rate of different events. For example, the &%per_addr%& option uses this
@@ -33136,7 +33324,7 @@ are logged incorrectly; any countermeasures you configure will be as effective
 as intended.
 
 
-.section "Using rate limiting" "useratlim"
+.subsection "Using rate limiting" useratlim
 Exim's other ACL facilities are used to define what counter-measures are taken
 when the rate limit is exceeded. This might be anything from logging a warning
 (for example, while measuring existing sending rates in order to define
@@ -33216,7 +33404,6 @@ The &%success_on_redirect%& option causes verification always to succeed
 immediately after a successful redirection. By default, if a redirection
 generates just one address, that address is also verified. See further
 discussion in section &<<SECTredirwhilveri>>&.
-.new
 .next
 If the &%quota%& option is specified for recipient verify,
 successful routing to an appendfile transport is followed by a call into
@@ -33224,7 +33411,6 @@ the transport to evaluate the quota status for the recipient.
 No actual delivery is done, but verification will succeed if the quota
 is sufficient for the message (if the sender gave a message size) or
 not already exceeded (otherwise).
-.wen
 .endlist
 
 .cindex "verifying address" "differentiating failures"
@@ -33241,6 +33427,7 @@ warn  !verify = sender
 If you are writing your own custom rejection message or log message when
 denying access, you can use this variable to include information about the
 verification failure.
+This variable is cleared at the end of processing the ACL verb.
 
 In addition, &$sender_verify_failure$& or &$recipient_verify_failure$& (as
 appropriate) contains one of the following words:
@@ -33258,7 +33445,6 @@ connection, HELO, or MAIL).
 &%recipient%&: The RCPT command in a callout was rejected.
 .next
 &%postmaster%&: The postmaster check in a callout was rejected.
-.new
 .next
 &%quota%&: The quota check for a local recipient did non pass.
 .endlist
@@ -33355,10 +33541,17 @@ output before performing a callout in an ACL, to avoid unexpected timeouts in
 clients when the SMTP PIPELINING extension is in use. The flushing can be
 disabled by using a &%control%& modifier to set &%no_callout_flush%&.
 
+.cindex "tainted data" "de-tainting"
+.cindex "de-tainting" "using recipient verify"
+A recipient callout which gets a 2&'xx'& code
+will assign untainted values to the
+&$domain_data$& and &$local_part_data$& variables,
+corresponding to the domain and local parts of the recipient address.
 
 
 
-.section "Additional parameters for callouts" "CALLaddparcall"
+
+.subsection "Additional parameters for callouts" CALLaddparcall
 .cindex "callout" "additional parameters for"
 The &%callout%& option can be followed by an equals sign and a number of
 optional parameters, separated by commas. For example:
@@ -33546,7 +33739,7 @@ actual callouts are performed than when an empty sender or postmaster is used.
 
 
 
-.section "Callout caching" "SECTcallvercache"
+.subsection "Callout caching" SECTcallvercache
 .cindex "hints database" "callout cache"
 .cindex "callout" "cache, description of"
 .cindex "caching" "callout"
@@ -33590,7 +33783,6 @@ behaviour will be the same.
 
 
 
-.new
 .section "Quota caching" "SECTquotacache"
 .cindex "hints database" "quota cache"
 .cindex "quota" "cache, description of"
@@ -33620,7 +33812,6 @@ As above, for a negative entry.
 
 .vitem &*no_cache*&
 Set both positive and negative lifetimes to zero.
-.wen
 
 .section "Sender address verification reporting" "SECTsenaddver"
 .cindex "verifying" "suppressing error details"
@@ -35144,11 +35335,11 @@ C variables are as follows:
 .vlist
 .vitem &*int&~body_linecount*&
 This variable contains the number of lines in the message's body.
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &*int&~body_zerocount*&
 This variable contains the number of binary zero bytes in the message's body.
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &*unsigned&~int&~debug_selector*&
 This variable is set to zero when no debugging is taking place. Otherwise, it
@@ -35183,7 +35374,7 @@ discussed below.
 .vitem &*header_line&~*header_last*&
 A pointer to the last of the header lines.
 
-.vitem &*uschar&~*headers_charset*&
+.vitem &*const&~uschar&~*headers_charset*&
 The value of the &%headers_charset%& configuration option.
 
 .vitem &*BOOL&~host_checking*&
@@ -35468,11 +35659,11 @@ added zero byte is not included in the returned count.
 .vitem &*int&~lss_match_domain(uschar&~*domain,&~uschar&~*list)*&
 This function checks for a match in a domain list. Domains are always
 matched caselessly. The return value is one of the following:
-.display
-&`OK     `& match succeeded
-&`FAIL   `& match failed
-&`DEFER  `& match deferred
-.endd
+.itable none 0 0 2 15* left 85* left
+.irow &`OK`&    "match succeeded"
+.irow &`FAIL`&  "match failed"
+.irow &`DEFER`& "match deferred"
+.endtable
 DEFER is usually caused by some kind of lookup defer, such as the
 inability to contact a database.
 
@@ -36203,7 +36394,8 @@ incoming SMTP message from a source that is not permitted to send them.
 
 
 
-.section "Resent- header lines" "SECID220"
+.section "Header lines"
+.subsection "Resent- header lines" SECID220
 .chindex Resent-
 RFC 2822 makes provision for sets of header lines starting with the string
 &`Resent-`& to be added to a message when it is resent by the original
@@ -36244,14 +36436,14 @@ The logic for adding &'Sender:'& is duplicated for &'Resent-Sender:'& when any
 
 
 
-.section "The Auto-Submitted: header line" "SECID221"
+.subsection Auto-Submitted: SECID221
 Whenever Exim generates an autoreply, a bounce, or a delay warning message, it
 includes the header line:
 .code
 Auto-Submitted: auto-replied
 .endd
 
-.section "The Bcc: header line" "SECID222"
+.subsection Bcc: SECID222
 .cindex "&'Bcc:'& header line"
 If Exim is called with the &%-t%& option, to take recipient addresses from a
 message's header, it removes any &'Bcc:'& header line that may exist (after
@@ -36259,13 +36451,13 @@ extracting its addresses). If &%-t%& is not present on the command line, any
 existing &'Bcc:'& is not removed.
 
 
-.section "The Date: header line" "SECID223"
+.subsection Date: SECID223
 .cindex Date:
 If a locally-generated or submission-mode message has no &'Date:'& header line,
 Exim adds one, using the current date and time, unless the
 &%suppress_local_fixups%& control has been specified.
 
-.section "The Delivery-date: header line" "SECID224"
+.subsection Delivery-date: SECID224
 .cindex "&'Delivery-date:'& header line"
 .oindex "&%delivery_date_remove%&"
 &'Delivery-date:'& header lines are not part of the standard RFC 2822 header
@@ -36276,7 +36468,7 @@ set (the default), Exim removes &'Delivery-date:'& header lines from incoming
 messages.
 
 
-.section "The Envelope-to: header line" "SECID225"
+.subsection Envelope-to: SECID225
 .chindex Envelope-to:
 .oindex "&%envelope_to_remove%&"
 &'Envelope-to:'& header lines are not part of the standard RFC 2822 header set.
@@ -36287,7 +36479,7 @@ messages in transit. If the &%envelope_to_remove%& configuration option is set
 messages.
 
 
-.section "The From: header line" "SECTthefrohea"
+.subsection From: SECTthefrohea
 .chindex From:
 .cindex "Sendmail compatibility" "&""From""& line"
 .cindex "message" "submission"
@@ -36330,7 +36522,7 @@ user, this is replaced by an address containing the user's login name and full
 name as described in section &<<SECTconstr>>&.
 
 
-.section "The Message-ID: header line" "SECID226"
+.subsection Message-ID: SECID226
 .chindex Message-ID:
 .cindex "message" "submission"
 .oindex "&%message_id_header_text%&"
@@ -36345,7 +36537,7 @@ in this header line by setting the &%message_id_header_text%& and/or
 &%message_id_header_domain%& options.
 
 
-.section "The Received: header line" "SECID227"
+.subsection Received: SECID227
 .chindex Received:
 A &'Received:'& header line is added at the start of every message. The
 contents are defined by the &%received_header_text%& configuration option, and
@@ -36361,7 +36553,7 @@ changed to the time of acceptance, which is (apart from a small delay while the
 -H spool file is written) the earliest time at which delivery could start.
 
 
-.section "The References: header line" "SECID228"
+.subsection References: SECID228
 .chindex References:
 Messages created by the &(autoreply)& transport include a &'References:'&
 header line. This is constructed according to the rules that are described in
@@ -36375,7 +36567,7 @@ incoming message. If there are more than 12, the first one and then the final
 
 
 
-.section "The Return-path: header line" "SECID229"
+.subsection Return-path: SECID229
 .chindex Return-path:
 .oindex "&%return_path_remove%&"
 &'Return-path:'& header lines are defined as something an MTA may insert when
@@ -36386,7 +36578,7 @@ default), Exim removes &'Return-path:'& header lines from incoming messages.
 
 
 
-.section "The Sender: header line" "SECTthesenhea"
+.subsection Sender: SECTthesenhea
 .cindex "&'Sender:'& header line"
 .cindex "message" "submission"
 .chindex Sender:
@@ -36791,7 +36983,7 @@ square bracket of the IP address.
 
 
 
-.section "Errors in outgoing SMTP" "SECToutSMTPerr"
+.subsection "Errors in outgoing SMTP" SECToutSMTPerr
 .cindex "error" "in outgoing SMTP"
 .cindex "SMTP" "errors in outgoing"
 .cindex "host" "error"
@@ -37026,7 +37218,7 @@ however, available with &'inetd'&.
 Exim can be configured to verify addresses in incoming SMTP commands as they
 are received. See chapter &<<CHAPACL>>& for details. It can also be configured
 to rewrite addresses at this time &-- before any syntax checking is done. See
-section &<<SECTrewriteS>>&.
+section &<<SSECTrewriteS>>&.
 
 Exim can also be configured to limit the rate at which a client host submits
 MAIL and RCPT commands in a single SMTP session. See the
@@ -37034,7 +37226,7 @@ MAIL and RCPT commands in a single SMTP session. See the
 
 
 
-.section "Unrecognized SMTP commands" "SECID234"
+.subsection "Unrecognized SMTP commands" SECID234
 .cindex "SMTP" "unrecognized commands"
 If Exim receives more than &%smtp_max_unknown_commands%& unrecognized SMTP
 commands during a single SMTP connection, it drops the connection after sending
@@ -37044,7 +37236,7 @@ abuse that subvert web servers into making connections to SMTP ports; in these
 circumstances, a number of non-SMTP lines are sent first.
 
 
-.section "Syntax and protocol errors in SMTP commands" "SECID235"
+.subsection "Syntax and protocol errors in SMTP commands" SECID235
 .cindex "SMTP" "syntax errors"
 .cindex "SMTP" "protocol errors"
 A syntax error is detected if an SMTP command is recognized, but there is
@@ -37058,7 +37250,7 @@ broken clients that loop sending bad commands (yes, it has been seen).
 
 
 
-.section "Use of non-mail SMTP commands" "SECID236"
+.subsection "Use of non-mail SMTP commands" SECID236
 .cindex "SMTP" "non-mail commands"
 The &"non-mail"& SMTP commands are those other than MAIL, RCPT, and
 DATA. Exim counts such commands, and drops the connection if there are too
@@ -37087,7 +37279,7 @@ specific badly-behaved hosts that you have to live with.
 
 
 
-.section "The VRFY and EXPN commands" "SECID237"
+.subsection "The VRFY and EXPN commands" SECID237
 When Exim receives a VRFY or EXPN command on a TCP/IP connection, it
 runs the ACL specified by &%acl_smtp_vrfy%& or &%acl_smtp_expn%& (as
 appropriate) in order to decide whether the command should be accepted or not.
@@ -37108,12 +37300,12 @@ EXPN is treated as an &"address test"& (similar to the &%-bt%& option) rather
 than a verification (the &%-bv%& option). If an unqualified local part is given
 as the argument to EXPN, it is qualified with &%qualify_domain%&. Rejections
 of VRFY and EXPN commands are logged on the main and reject logs, and
-VRFY verification failures are logged on the main log for consistency with
+VRFY verification failures are logged in the main log for consistency with
 RCPT failures.
 
 
 
-.section "The ETRN command" "SECTETRN"
+.subsection "The ETRN command" SECTETRN
 .cindex "ETRN" "processing"
 .cindex "ESMTP extensions" ETRN
 RFC 1985 describes an ESMTP command called ETRN that is designed to
@@ -37569,8 +37761,8 @@ lists_request:
 lists_post:
   driver = redirect
   domains = lists.example
-  senders = ${if exists {/usr/lists/$local_part}\
-             {lsearch;/usr/lists/$local_part}{*}}
+  local_parts = ${lookup {$local_part} dsearch,filter=file,ret=full {/usr/lists}}
+  senders = ${if exists {$local_part_data} {lsearch;$local_part_data}{*}}
   file = ${lookup {$local_part} dsearch,ret=full {/usr/lists}}
   forbid_pipe
   forbid_file
@@ -38179,7 +38371,7 @@ LOG_FILE_PATH, and uses the first item it finds that is neither empty nor
 &"syslog"&. This means that an empty item in &%log_file_path%& can be used to
 mean &"use the path specified at build time"&. If no such item exists, log
 files are written in the &_log_& subdirectory of the spool directory. This is
-equivalent to the setting:
+equivalent to the configuration file setting:
 .code
 log_file_path = $spool_directory/log/%slog
 .endd
@@ -38190,7 +38382,7 @@ that is where the logs are written.
 A log file path may also contain &`%D`& or &`%M`& if datestamped log filenames
 are in use &-- see section &<<SECTdatlogfil>>& below.
 
-Here are some examples of possible settings:
+Here are some examples of possible Makefile settings:
 .display
 &`LOG_FILE_PATH=syslog                    `& syslog only
 &`LOG_FILE_PATH=:syslog                   `& syslog and default path
@@ -38365,16 +38557,16 @@ One line is written to the main log for each message received, and for each
 successful, unsuccessful, and delayed delivery. These lines can readily be
 picked out by the distinctive two-character flags that immediately follow the
 timestamp. The flags are:
-.display
-&`<=`&     message arrival
-&`(=`&     message fakereject
-&`=>`&     normal message delivery
-&`->`&     additional address in same delivery
-&`>>`&     cutthrough message delivery
-&`*>`&     delivery suppressed by &%-N%&
-&`**`&     delivery failed; address bounced
-&`==`&     delivery deferred; temporary problem
-.endd
+.itable none 0 0 2 10* left 90* left
+.irow &%<=%&     "message arrival"
+.irow &%(=%&     "message fakereject"
+.irow &%=>%&     "normal message delivery"
+.irow &%->%&     "additional address in same delivery"
+.irow &%>>%&     "cutthrough message delivery"
+.irow &%*>%&     "delivery suppressed by &%-N%&"
+.irow &%**%&     "delivery failed; address bounced"
+.irow &%==%&     "delivery deferred; temporary problem"
+.endtable
 
 
 .section "Logging message reception" "SECID251"
@@ -38490,9 +38682,7 @@ When more than one address is included in a single delivery (for example, two
 SMTP RCPT commands in one transaction) the second and subsequent addresses are
 flagged with &`->`& instead of &`=>`&. When two or more messages are delivered
 down a single SMTP connection, an asterisk follows the
-.new
 remote IP address (and port if enabled)
-.wen
 in the log lines for the second and subsequent messages.
 When two or more messages are delivered down a single TLS connection, the
 DNS and some TLS-related information logged for the first message delivered
@@ -38695,65 +38885,64 @@ log_selector = +arguments -retry_defer
 .endd
 The list of optional log items is in the following table, with the default
 selection marked by asterisks:
-.display
-&` 8bitmime                   `&  received 8BITMIME status
-&`*acl_warn_skipped           `&  skipped &%warn%& statement in ACL
-&` address_rewrite            `&  address rewriting
-&` all_parents                `&  all parents in => lines
-&` arguments                  `&  command line arguments
-&`*connection_reject          `&  connection rejections
-&`*delay_delivery             `&  immediate delivery delayed
-&` deliver_time               `&  time taken to attempt delivery
-&` delivery_size              `&  add &`S=`&&'nnn'& to => lines
-&`*dkim                       `&  DKIM verified domain on <= lines
-&` dkim_verbose               `&  separate full DKIM verification result line, per signature
-&`*dnslist_defer              `&  defers of DNS list (aka RBL) lookups
-&` dnssec                     `&  DNSSEC secured lookups
-&`*etrn                       `&  ETRN commands
-&`*host_lookup_failed         `&  as it says
-&` ident_timeout              `&  timeout for ident connection
-&` incoming_interface         `&  local interface on <= and => lines
-&` incoming_port              `&  remote port on <= lines
-&`*lost_incoming_connection   `&  as it says (includes timeouts)
-&` millisec                   `&  millisecond timestamps and RT,QT,DT,D times
-&`*msg_id                     `&  on <= lines, Message-ID: header value
-&` msg_id_created             `&  on <= lines, Message-ID: header value when one had to be added
-&` outgoing_interface         `&  local interface on => lines
-&` outgoing_port              `&  add remote port to => lines
-&`*queue_run                  `&  start and end queue runs
-&` queue_time                 `&  time on queue for one recipient
-&`*queue_time_exclusive       `&  exclude recieve time from QT times
-&` queue_time_overall         `&  time on queue for whole message
-&` pid                        `&  Exim process id
-&` pipelining                 `&  PIPELINING use, on <= and => lines
-&` proxy                      `&  proxy address on <= and => lines
-&` receive_time               `&  time taken to receive message
-&` received_recipients        `&  recipients on <= lines
-&` received_sender            `&  sender on <= lines
-&`*rejected_header            `&  header contents on reject log
-&`*retry_defer                `&  &"retry time not reached"&
-&` return_path_on_delivery    `&  put return path on => and ** lines
-&` sender_on_delivery         `&  add sender to => lines
-&`*sender_verify_fail         `&  sender verification failures
-&`*size_reject                `&  rejection because too big
-&`*skip_delivery              `&  delivery skipped in a queue run
-&`*smtp_confirmation          `&  SMTP confirmation on => lines
-&` smtp_connection            `&  incoming SMTP connections
-&` smtp_incomplete_transaction`&  incomplete SMTP transactions
-&` smtp_mailauth              `&  AUTH argument to MAIL commands
-&` smtp_no_mail               `&  session with no MAIL commands
-&` smtp_protocol_error        `&  SMTP protocol errors
-&` smtp_syntax_error          `&  SMTP syntax errors
-&` subject                    `&  contents of &'Subject:'& on <= lines
-&`*tls_certificate_verified   `&  certificate verification status
-&`*tls_cipher                 `&  TLS cipher suite on <= and => lines
-&` tls_peerdn                 `&  TLS peer DN on <= and => lines
-&` tls_resumption             `&  append * to cipher field
-&` tls_sni                    `&  TLS SNI on <= lines
-&` unknown_in_list            `&  DNS lookup failed in list match
-
-&` all                        `&  all of the above
-.endd
+.itable none 0 0 3 2.8in left 10pt center 3in left
+.irow &`8bitmime`&                     &nbsp; "received 8BITMIME status"
+.irow &`acl_warn_skipped`&             *       "skipped &%warn%& statement in ACL"
+.irow &`address_rewrite`&              &nbsp; "address rewriting"
+.irow &`all_parents`&                  &nbsp; "all parents in => lines"
+.irow &`arguments`&                    &nbsp; "command line arguments"
+.irow &`connection_reject`&            *       "connection rejections"
+.irow &`delay_delivery`&               *       "immediate delivery delayed"
+.irow &`deliver_time`&                 &nbsp; "time taken to attempt delivery"
+.irow &`delivery_size`&                        &nbsp; "add &`S=`&&'nnn'& to => lines"
+.irow &`dkim`&                         *       "DKIM verified domain on <= lines"
+.irow &`dkim_verbose`&                 &nbsp; "separate full DKIM verification result line, per signature"
+.irow &`dnslist_defer`&                        *       "defers of DNS list (aka RBL) lookups"
+.irow &`dnssec`&                       &nbsp; "DNSSEC secured lookups"
+.irow &`etrn`&                         *       "ETRN commands"
+.irow &`host_lookup_failed`&           *       "as it says"
+.irow &`ident_timeout`&                        &nbsp; "timeout for ident connection"
+.irow &`incoming_interface`&           &nbsp; "local interface on <= and => lines"
+.irow &`incoming_port`&                        &nbsp; "remote port on <= lines"
+.irow &`lost_incoming_connection`&     *       "as it says (includes timeouts)"
+.irow &`millisec`&                     &nbsp; "millisecond timestamps and RT,QT,DT,D times"
+.irow &`msg_id`&                       *       "on <= lines, Message-ID: header value"
+.irow &`msg_id_created`&               &nbsp; "on <= lines, Message-ID: header value when one had to be added"
+.irow &`outgoing_interface`&           &nbsp; "local interface on => lines"
+.irow &`outgoing_port`&                        &nbsp; "add remote port to => lines"
+.irow &`queue_run`&                    *       "start and end queue runs"
+.irow &`queue_time`&                   &nbsp; "time on queue for one recipient"
+.irow &`queue_time_exclusive`&         &nbsp; "exclude recieve time from QT times"
+.irow &`queue_time_overall`&           &nbsp; "time on queue for whole message"
+.irow &`pid`&                          &nbsp; "Exim process id"
+.irow &`pipelining`&                   &nbsp; "PIPELINING use, on <= and => lines"
+.irow &`proxy`&                                &nbsp; "proxy address on <= and => lines"
+.irow &`receive_time`&                 &nbsp; "time taken to receive message"
+.irow &`received_recipients`&          &nbsp; "recipients on <= lines"
+.irow &`received_sender`&              &nbsp; "sender on <= lines"
+.irow &`rejected_header`&              *       "header contents on reject log"
+.irow &`retry_defer`&                  *       "&<quote>&retry time not reached&</quote>&"
+.irow &`return_path_on_delivery`&      &nbsp; "put return path on => and ** lines"
+.irow &`sender_on_delivery`&           &nbsp; "add sender to => lines"
+.irow &`sender_verify_fail`&           *       "sender verification failures"
+.irow &`size_reject`&                  *       "rejection because too big"
+.irow &`skip_delivery`&                        *       "delivery skipped in a queue run"
+.irow &`smtp_confirmation`&            *       "SMTP confirmation on => lines"
+.irow &`smtp_connection`&              &nbsp; "incoming SMTP connections"
+.irow &`smtp_incomplete_transaction`&  &nbsp; "incomplete SMTP transactions"
+.irow &`smtp_mailauth`&                        &nbsp; "AUTH argument to MAIL commands"
+.irow &`smtp_no_mail`&                 &nbsp; "session with no MAIL commands"
+.irow &`smtp_protocol_error`&          &nbsp; "SMTP protocol errors"
+.irow &`smtp_syntax_error`&            &nbsp; "SMTP syntax errors"
+.irow &`subject`&                      &nbsp; "contents of &'Subject:'& on <= lines"
+.irow &`tls_certificate_verified`&     *       "certificate verification status"
+.irow &`tls_cipher`&                   *       "TLS cipher suite on <= and => lines"
+.irow &`tls_peerdn`&                   &nbsp; "TLS peer DN on <= and => lines"
+.irow &`tls_resumption`&               &nbsp; "append * to cipher field"
+.irow &`tls_sni`&                      &nbsp; "TLS SNI on <= lines"
+.irow &`unknown_in_list`&              &nbsp; "DNS lookup failed in list match"
+.irow &`all`&                          &nbsp; "&*all of the above*&"
+.endtable
 See also the &%slow_lookup_log%& main configuration option,
 section &<<SECID99>>&
 
@@ -38871,9 +39060,7 @@ to the &"<="& line as an IP address in square brackets, tagged by I= and
 followed by a colon and the port number. The local interface and port are also
 added to other SMTP log lines, for example, &"SMTP connection from"&, to
 rejection lines, and (despite the name) to outgoing
-.new
 &"=>"&, &"->"&, &"=="& and &"**"& lines.
-.wen
 The latter can be disabled by turning off the &%outgoing_interface%& option.
 .next
 .cindex log "incoming proxy address"
@@ -38951,7 +39138,7 @@ On accept lines, where PIPELINING was offered but not used by the client,
 the field has a minus appended.
 
 .cindex "pipelining" "early connection"
-If Exim is built with the SUPPORT_PIPE_CONNECT build option
+If Exim is built without the DISABLE_PIPE_CONNECT build option
 accept "L" fields have a period appended if the feature was
 offered but not used, or an asterisk appended if used.
 Delivery "L" fields have an asterisk appended if used.
@@ -39153,11 +39340,9 @@ added to the log line, preceded by DN=.
 .next
 .cindex "log" "TLS resumption"
 .cindex "TLS" "logging session resumption"
-.new
 &%tls_resumption%&: When a message is sent or received over an encrypted
 connection and the TLS session resumed one used on a previous TCP connection,
 an asterisk is appended to the X= cipher field in the log line.
-.wen
 .next
 .cindex "log" "TLS SNI"
 .cindex "TLS" "logging SNI"
@@ -39255,12 +39440,12 @@ but the format of the output is different. For this reason, there are some
 system configuration options that configure exactly how &'exiwhat'& works. If
 it doesn't seem to be working for you, check the following compile-time
 options:
-.display
-&`EXIWHAT_PS_CMD    `& the command for running &'ps'&
-&`EXIWHAT_PS_ARG    `& the argument for &'ps'&
-&`EXIWHAT_EGREP_ARG `& the argument for &'egrep'& to select from &'ps'& output
-&`EXIWHAT_KILL_ARG  `& the argument for the &'kill'& command
-.endd
+.itable none 0 0 2 30* left 70* left
+.irow &`EXIWHAT_PS_CMD`&       "the command for running &'ps'&"
+.irow &`EXIWHAT_PS_ARG`&       "the argument for &'ps'&"
+.irow &`EXIWHAT_EGREP_ARG`&    "the argument for &'egrep'& to select from &'ps'& output"
+.irow &`EXIWHAT_KILL_ARG`&     "the argument for the &'kill'& command"
+.endtable
 An example of typical output from &'exiwhat'& is
 .code
 164 daemon: -q1h, listening on port 25
@@ -39286,9 +39471,6 @@ or (in case &*-a*& switch is specified)
 .code
 exim -bp
 .endd
-The &*-C*& option is used to specify an alternate &_exim.conf_& which might
-contain alternate exim configuration the queue management might be using.
-
 to obtain a queue listing, and then greps the output to select messages
 that match given criteria. The following selection options are available:
 
@@ -39345,7 +39527,20 @@ Display messages in reverse order.
 Include delivered recipients in queue listing.
 .endlist
 
+The following options give alternates for configuration:
+
+.vlist
+.vitem &*-C*&&~<&'config&~file'&>
+is used to specify an alternate &_exim.conf_& which might
+contain alternate exim configuration the queue management might be using.
+
+.vitem &*-E*&&~<&'path'&>
+can be used to specify a path for the exim binary,
+overriding the built-in one.
+.endlist
+
 There is one more option, &%-h%&, which outputs a list of options.
+At least one selection option, or either the &*-c*& or &*-h*& option, must be given.
 
 
 
@@ -39705,9 +39900,7 @@ for remote hosts
 .next
 &'ratelimit'&: the data for implementing the ratelimit ACL condition
 .next
-.new
 &'tls'&: TLS session resumption data
-.wen
 .next
 &'misc'&: other hints data
 .endlist
@@ -39729,12 +39922,17 @@ in a transport)
 .section "exim_dumpdb" "SECTdumpdb"
 .cindex "&'exim_dumpdb'&"
 The entire contents of a database are written to the standard output by the
-&'exim_dumpdb'& program, which has no options or arguments other than the
-spool and database names. For example, to dump the retry database:
+&'exim_dumpdb'& program,
+taking as arguments the spool and database names.
+An option &'-z'& may be given to request times in UTC;
+otherwise times are in the local timezone.
+An option &'-k'& may be given to dump only the record keys.
+For example, to dump the retry database:
 .code
 exim_dumpdb /var/spool/exim retry
 .endd
-Two lines of output are produced for each entry:
+For the retry database
+two lines of output are produced for each entry:
 .code
 T:mail.ref.example:192.168.242.242 146 77 Connection refused
 31-Oct-1995 12:00:12 02-Nov-1995 12:21:39 02-Nov-1995 20:21:39 *
@@ -39816,7 +40014,7 @@ databases is likely to keep on increasing.
 .cindex "&'exim_fixdb'&"
 The &'exim_fixdb'& program is a utility for interactively modifying databases.
 Its main use is for testing Exim, but it might also be occasionally useful for
-getting round problems in a live system. It has no options, and its interface
+getting round problems in a live system. Its interface
 is somewhat crude. On entry, it prompts for input with a right angle-bracket. A
 key of a database record can then be entered, and the data for that record is
 displayed.
@@ -39833,6 +40031,10 @@ resets the time of the next delivery attempt. Time values are given as a
 sequence of digit pairs for year, month, day, hour, and minute. Colons can be
 used as optional separators.
 
+Both displayed and input times are in the local timezone by default.
+If an option &'-z'& is used on the command line, displayed times
+are in UTC.
+
 
 
 
@@ -40603,7 +40805,7 @@ Consider the use of the &%inlisti%& expansion condition instead.
 .cindex "security" "data sources"
 .cindex "security" "regular expressions"
 .cindex "regular expressions" "security"
-.cindex "PCRE" "security"
+.cindex "PCRE2" "security"
 If configuration data for Exim can come from untrustworthy sources, there
 are some issues to be aware of:
 
@@ -40613,7 +40815,7 @@ Use of &%${expand...}%& may provide a path for shell injection attacks.
 Letting untrusted data provide a regular expression is unwise.
 .next
 Using &%${match...}%& to apply a fixed regular expression against untrusted
-data may result in pathological behaviour within PCRE.  Be aware of what
+data may result in pathological behaviour within PCRE2.  Be aware of what
 "backtracking" means and consider options for being more strict with a regular
 expression. Avenues to explore include limiting what can match (avoiding &`.`&
 when &`[a-z0-9]`& or other character class will do), use of atomic grouping and
@@ -40854,8 +41056,16 @@ was received, in the conventional Unix form &-- the number of seconds since the
 start of the epoch. The second number is a count of the number of messages
 warning of delayed delivery that have been sent to the sender.
 
-There follow a number of lines starting with a hyphen. These can appear in any
-order, and are omitted when not relevant:
+There follow a number of lines starting with a hyphen.
+These contain variables, can appear in any
+order, and are omitted when not relevant.
+
+If there is a second hyphen after the first,
+the corresponding data is tainted.
+If there is a value in parentheses, the data is quoted for a lookup.
+
+The following word specifies a variable,
+and the remainder of the item depends on the variable.
 
 .vlist
 .vitem "&%-acl%&&~<&'number'&>&~<&'length'&>"
@@ -41011,9 +41221,6 @@ was received from the client, this records the Distinguished Name from that
 certificate.
 .endlist
 
-Any of the above may have an extra hyphen prepended, to indicate the the
-corresponding data is untrusted.
-
 Following the options there is a list of those addresses to which the message
 is not to be delivered. This set of addresses is initialized from the command
 line when the &%-t%& option is used and &%extract_addresses_remove_arguments%&
@@ -41177,8 +41384,8 @@ where you accept mail from relay sources (internal hosts or authenticated
 senders).
 
 
-.section "Signing outgoing messages" "SECDKIMSIGN"
-.cindex "DKIM" "signing"
+.subsection "Signing outgoing messages" SECDKIMSIGN
+.cindex DKIM signing
 
 For signing to be usable you must have published a DKIM record in DNS.
 Note that RFC 8301 (which does not cover EC keys) says:
@@ -41203,6 +41410,7 @@ The domain(s) you want to sign with.
 After expansion, this can be a list.
 Each element in turn,
 lowercased,
+.vindex "&$dkim_domain$&"
 is put into the &%$dkim_domain%& expansion variable
 while expanding the remaining signing options.
 If it is empty after expansion, DKIM signing is not done,
@@ -41212,19 +41420,18 @@ and no error will result even if &%dkim_strict%& is set.
 This sets the key selector string.
 After expansion, which can use &$dkim_domain$&, this can be a list.
 Each element in turn is put in the expansion
+.vindex "&$dkim_selector$&"
 variable &%$dkim_selector%& which may be used in the &%dkim_private_key%&
 option along with &%$dkim_domain%&.
 If the option is empty after expansion, DKIM signing is not done for this domain,
 and no error will result even if &%dkim_strict%& is set.
 
-.new
 To do, for example, dual-signing with RSA and EC keys
 this could be be used:
 .code
 dkim_selector = ec_sel : rsa_sel
 dkim_private_key = KEYS_DIR/$dkim_selector
 .endd
-.wen
 
 .option dkim_private_key smtp string&!! unset
 This sets the private key to use.
@@ -41361,8 +41568,8 @@ both creation (t=) and expiry (x=) tags will be included.
 RFC 6376 lists these tags as RECOMMENDED.
 
 
-.section "Verifying DKIM signatures in incoming mail" "SECDKIMVFY"
-.cindex "DKIM" "verification"
+.subsection "Verifying DKIM signatures in incoming mail" SECDKIMVFY
+.cindex DKIM verification
 
 Verification of DKIM signatures in SMTP incoming email is done for all
 messages for which an ACL control &%dkim_disable_verify%& has not been set.
@@ -41702,6 +41909,9 @@ You may deny messages when this occurs.
 .vitem &%temperror%&
 This indicates a temporary error during all processing, including Exim's
 SPF processing.  You may defer messages when this occurs.
+
+.vitem &%invalid%&
+There was an error during processing of the SPF lookup
 .endlist
 
 You can prefix each string with an exclamation mark to  invert
@@ -41738,10 +41948,14 @@ variables:
 
 .vitem &$spf_received$&
 .vindex &$spf_received$&
-  This contains a complete Received-SPF: header that can be
-  added to the message. Please note that according to the SPF
-  draft, this header must be added at the top of the header
-  list. Please see section 10 on how you can do this.
+  This contains a complete Received-SPF: header (name and
+  content) that can be added to the message. Please note that
+  according to the SPF draft, this header must be added at the
+  top of the header list, i.e. with
+.code
+add_header = :at_start:$spf_received
+.endd
+  See section &<<SECTaddheadacl>>& for further details.
 
   Note: in case of "Best-guess" (see below), the convention is
   to put this string in a header called X-SPF-Guess: instead.
@@ -41749,8 +41963,8 @@ variables:
 .vitem &$spf_result$&
 .vindex &$spf_result$&
   This contains the outcome of the SPF check in string form,
-  one of pass, fail, softfail, none, neutral, permerror or
-  temperror.
+  currently one of pass, fail, softfail, none, neutral, permerror,
+  temperror, or &"(invalid)"&.
 
 .vitem &$spf_result_guessed$&
 .vindex &$spf_result_guessed$&
@@ -41824,10 +42038,9 @@ The lookup will return the same result strings as can appear in
 
 
 
-.section "SRS (Sender Rewriting Scheme)" SECTSRS
+.subsection "SRS (Sender Rewriting Scheme)" SECTSRS
 .cindex SRS "sender rewriting scheme"
 
-.new
 SRS can be used to modify sender addresses when forwarding so that
 SPF verification does not object to them.
 It operates by encoding the original envelope sender in a new
@@ -41861,6 +42074,7 @@ There is no need to periodically change this key; a timestamp is also
 encoded.
 The second argument should be given as the envelope sender address before this
 encoding operation.
+If this value is empty the the expansion result will be empty.
 The third argument should be the recipient domain of the message when
 it arrived at this system.
 .endlist
@@ -41922,7 +42136,6 @@ Example usage:
 .endd
 
 
-.wen
 
 
 
@@ -41947,7 +42160,8 @@ This description assumes
 that headers will be in /usr/local/include, and that the libraries
 are in /usr/local/lib.
 
-. subsection
+.subsection Configuration SSECDMARCCONFIG
+.cindex DMARC configuration
 
 There are three main-configuration options:
 .cindex DMARC "configuration options"
@@ -41988,9 +42202,9 @@ If not set (the default), the From: header is expanded from
 the dsn_from option, and <> is used for the
 envelope from.
 
-. I wish we had subsections...
-
+.subsection Controls SSECDMARCCONTROLS
 .cindex DMARC controls
+
 By default, the DMARC processing will run for any remote,
 non-authenticated user.  It makes sense to only verify DMARC
 status of messages coming from remote, untrusted sources.  You can
@@ -42021,7 +42235,8 @@ send them.)
 There are no options to either control.  Both must appear before
 the DATA acl.
 
-. subsection
+.subsection ACL SSECDMARCACL
+.cindex DMARC "ACL condition"
 
 DMARC checks cam be run on incoming SMTP  messages by using the
 &"dmarc_status"& ACL condition in the DATA ACL.  You are required to
@@ -42035,16 +42250,16 @@ The &"dmarc_status"& condition takes a list of strings on its
 right-hand side.  These strings describe recommended action based
 on the DMARC check.  To understand what the policy recommendations
 mean, refer to the DMARC website above.  Valid strings are:
-.display
-&'accept      '& The DMARC check passed and the library recommends accepting the email.
-&'reject      '& The DMARC check failed and the library recommends rejecting the email.
-&'quarantine  '& The DMARC check failed and the library recommends keeping it for further inspection.
-&'none        '& The DMARC check passed and the library recommends no specific action, neutral.
-&'norecord    '& No policy section in the DMARC record for this RFC5322.From field
-&'nofrom      '& Unable to determine the domain of the sender.
-&'temperror   '& Library error or dns error.
-&'off         '& The DMARC check was disabled for this email.
-.endd
+.itable none 0 0 2 20* left 80* left
+.irow &'accept'&       "The DMARC check passed and the library recommends accepting the email"
+.irow &'reject'&       "The DMARC check failed and the library recommends rejecting the email"
+.irow &'quarantine'&   "The DMARC check failed and the library recommends keeping it for further inspection"
+.irow &'none'&         "The DMARC check passed and the library recommends no specific action, neutral"
+.irow &'norecord'&     "No policy section in the DMARC record for this RFC5322.From field"
+.irow &'nofrom'&       "Unable to determine the domain of the sender"
+.irow &'temperror'&    "Library error or dns error"
+.irow &'off'&          "The DMARC check was disabled for this email"
+.endtable
 You can prefix each string with an exclamation mark to invert its
 meaning, for example "!accept" will match all results but
 "accept".  The string list is evaluated left-to-right in a
@@ -42089,7 +42304,8 @@ are "none", "reject" and "quarantine".  It is blank when there
 is any error, including no DMARC record.
 .endlist
 
-. subsection
+.subsection Logging SSECDMARCLOGGING
+.cindex DMARC logging
 
 By default, Exim's DMARC configuration is intended to be
 non-intrusive and conservative.  To facilitate this, Exim will not
@@ -42116,7 +42332,8 @@ Configure, somewhere before the DATA ACL, the control option to
 enable sending DMARC forensic reports
 .endlist
 
-. subsection
+.subsection Example SSECDMARCEXAMPLE
+.cindex DMARC example
 
 Example usage:
 .code
@@ -42210,13 +42427,13 @@ within &%proxy_protocol_timeout%&, which defaults to 3s.
 The following expansion variables are usable
 (&"internal"& and &"external"& here refer to the interfaces
 of the proxy):
-.display
-&'proxy_external_address   '& IP of host being proxied or IP of remote interface of proxy
-&'proxy_external_port      '& Port of host being proxied or Port on remote interface of proxy
-&'proxy_local_address      '& IP of proxy server inbound or IP of local interface of proxy
-&'proxy_local_port         '& Port of proxy server inbound or Port on local interface of proxy
-&'proxy_session            '& boolean: SMTP connection via proxy
-.endd
+.itable none 0 0 2 30* left 70* left
+.irow $proxy_external_address  "IP of host being proxied or IP of remote interface of proxy"
+.irow $proxy_external_port     "Port of host being proxied or Port on remote interface of proxy"
+.irow $proxy_local_address     "IP of proxy server inbound or IP of local interface of proxy"
+.irow $proxy_local_port                "Port of proxy server inbound or Port on local interface of proxy"
+.irow $proxy_session           "boolean: SMTP connection via proxy"
+.endtable
 If &$proxy_session$& is set but &$proxy_external_address$& is empty
 there was a protocol error.
 The variables &$sender_host_address$& and &$sender_host_port$&
@@ -42263,15 +42480,15 @@ is an IP address and any subsequent elements are options.
 
 Options are a string <name>=<value>.
 The list of options is in the following table:
-.display
-&'auth   '& authentication method
-&'name   '& authentication username
-&'pass   '& authentication password
-&'port   '& tcp port
-&'tmo    '& connection timeout
-&'pri    '& priority
-&'weight '& selection bias
-.endd
+.itable none 0 0 2 10* left 90* left
+.irow &'auth'& "authentication method"
+.irow &'name'& "authentication username"
+.irow &'pass'& "authentication password"
+.irow &'port'& "tcp port"
+.irow &'tmo'&  "connection timeout"
+.irow &'pri'&  "priority"
+.irow &'weight'& "selection bias"
+.endtable
 
 More details on each of these options follows:
 
@@ -42387,11 +42604,11 @@ This is usually for use in a Message Submission Agent context,
 but could be used for any message.
 
 If a value is appended it may be:
-.display
-&`1  `& mandatory downconversion
-&`0  `& no downconversion
-&`-1 `& if SMTPUTF8 not supported by destination host
-.endd
+.itable none 0 0 2 5* right 95* left
+.irow &`1`&    "mandatory downconversion"
+.irow &`0`&    "no downconversion"
+.irow &`-1`&   "if SMTPUTF8 not supported by destination host"
+.endtable
 If no value is given, 1 is used.
 
 If mua_wrapper is set, the utf8_downconvert control
@@ -42492,22 +42709,24 @@ The name is placed in the variable &$event_name$& and the event action
 expansion must check this, as it will be called for every possible event type.
 
 The current list of events is:
-.display
-&`dane:fail              after    transport  `& per connection
-&`msg:complete           after    main       `& per message
-&`msg:defer              after    transport  `& per message per delivery try
-&`msg:delivery           after    transport  `& per recipient
-&`msg:rcpt:host:defer    after    transport  `& per recipient per host
-&`msg:rcpt:defer         after    transport  `& per recipient
-&`msg:host:defer         after    transport  `& per host per delivery try; host errors
-&`msg:fail:delivery      after    transport  `& per recipient
-&`msg:fail:internal      after    main       `& per recipient
-&`tcp:connect            before   transport  `& per connection
-&`tcp:close              after    transport  `& per connection
-&`tls:cert               before   both       `& per certificate in verification chain
-&`smtp:connect           after    transport  `& per connection
-&`smtp:ehlo              after    transport  `& per connection
-.endd
+.itable all 0 0 4 25* left 10* center 15* center 50* left
+.row auth:fail             after    main       "per driver per authentication attempt"
+.row dane:fail              after    transport  "per connection"
+.row msg:complete           after    main       "per message"
+.row msg:defer              after    transport  "per message per delivery try"
+.row msg:delivery           after    transport  "per recipient"
+.row msg:rcpt:host:defer    after    transport  "per recipient per host"
+.row msg:rcpt:defer         after    transport  "per recipient"
+.row msg:host:defer         after    transport  "per host per delivery try; host errors"
+.row msg:fail:delivery      after    transport  "per recipient"
+.row msg:fail:internal      after    main       "per recipient"
+.row tcp:connect            before   transport  "per connection"
+.row tcp:close              after    transport  "per connection"
+.row tls:cert               before   both       "per certificate in verification chain"
+.row tls:fail:connect       after    main       "per connection"
+.row smtp:connect           after    transport  "per connection"
+.row smtp:ehlo              after    transport  "per connection"
+.endtable
 New event types may be added in future.
 
 The event name is a colon-separated list, defining the type of
@@ -42523,23 +42742,25 @@ should define the event action.
 
 An additional variable, &$event_data$&, is filled with information varying
 with the event type:
-.display
-&`dane:fail            `& failure reason
-&`msg:defer            `& error string
-&`msg:delivery         `& smtp confirmation message
-&`msg:fail:internal    `& failure reason
-&`msg:fail:delivery    `& smtp error message
-&`msg:host:defer       `& error string
-&`msg:rcpt:host:defer  `& error string
-&`msg:rcpt:defer       `& error string
-&`tls:cert             `& verification chain depth
-&`smtp:connect         `& smtp banner
-&`smtp:ehlo            `& smtp ehlo response
-.endd
+.itable all 0 0 2 20* left 80* left
+.row auth:fail           "smtp response"
+.row dane:fail            "failure reason"
+.row msg:defer            "error string"
+.row msg:delivery         "smtp confirmation message"
+.row msg:fail:internal    "failure reason"
+.row msg:fail:delivery    "smtp error message"
+.row msg:host:defer       "error string"
+.row msg:rcpt:host:defer  "error string"
+.row msg:rcpt:defer       "error string"
+.row tls:cert             "verification chain depth"
+.row tls:fail:connect     "error string"
+.row smtp:connect         "smtp banner"
+.row smtp:ehlo            "smtp ehlo response"
+.endtable
 
 The :defer events populate one extra variable: &$event_defer_errno$&.
 
-For complex operations an ACL expansion can be used in &%event_action%&
+For complex operations an ACL expansion can be used in &%event_action%&,
 however due to the multiple contexts that Exim operates in during
 the course of its processing:
 .ilist
@@ -42555,11 +42776,11 @@ a useful way of writing to the main log.
 The expansion of the event_action option should normally
 return an empty string.  Should it return anything else the
 following will be forced:
-.display
-&`tcp:connect      `&  do not connect
-&`tls:cert         `&  refuse verification
-&`smtp:connect     `&  close connection
-.endd
+.itable all 0 0 2 20* left 80* left
+.row tcp:connect      "do not connect"
+.row tls:cert         "refuse verification"
+.row smtp:connect     "close connection"
+.endtable
 All other message types ignore the result string, and
 no other use is made of it.