Build: remove hints-DB interface from macro-predef phase
[exim.git] / doc / doc-docbook / spec.xfpt
index 4c79e87cf81aae44eb0bbd798ddd53f058d7ee79..6c885176fdbbc31fdc3537f359745bd144f84dd9 100644 (file)
 . Update the Copyright year (only) when changing content.
 . /////////////////////////////////////////////////////////////////////////////
 
 . Update the Copyright year (only) when changing content.
 . /////////////////////////////////////////////////////////////////////////////
 
-.set previousversion "4.94"
+.set previousversion "4.95"
 .include ./local_params
 
 .set ACL "access control lists (ACLs)"
 .set I   "    "
 
 .include ./local_params
 
 .set ACL "access control lists (ACLs)"
 .set I   "    "
 
+.set drivernamemax "64"
+
 .macro copyyear
 .macro copyyear
-2020
+2021
 .endmacro
 
 . /////////////////////////////////////////////////////////////////////////////
 .endmacro
 
 . /////////////////////////////////////////////////////////////////////////////
 .macro index
 .echo "** Don't use .index; use .cindex or .oindex or .vindex"
 .endmacro
 .macro index
 .echo "** Don't use .index; use .cindex or .oindex or .vindex"
 .endmacro
+
+
+. use this for a concept-index entry for a header line
+.macro chindex
+.cindex "&'$1'& header line"
+.cindex "header lines" $1
+.endmacro
 . ////////////////////////////////////////////////////////////////////////////
 
 
 . ////////////////////////////////////////////////////////////////////////////
 
 
 </revision></revhistory>
 <copyright><year>
 .copyyear
 </revision></revhistory>
 <copyright><year>
 .copyyear
-           </year><holder>University of Cambridge</holder></copyright>
+           </year><holder>The Exim Maintainers</holder></copyright>
 </bookinfo>
 .literal off
 
 </bookinfo>
 .literal off
 
 . This chunk of literal XML implements index entries of the form "x, see y" and
 . "x, see also y". However, the DocBook DTD doesn't allow <indexterm> entries
 . at the top level, so we have to put the .chapter directive first.
 . This chunk of literal XML implements index entries of the form "x, see y" and
 . "x, see also y". However, the DocBook DTD doesn't allow <indexterm> entries
 . at the top level, so we have to put the .chapter directive first.
+
+. These do not turn up in the HTML output, unfortunately.  The PDF does get them.
 . /////////////////////////////////////////////////////////////////////////////
 
 .chapter "Introduction" "CHID1"
 . /////////////////////////////////////////////////////////////////////////////
 
 .chapter "Introduction" "CHID1"
   <primary>zero, binary</primary>
   <see><emphasis>binary zero</emphasis></see>
 </indexterm>
   <primary>zero, binary</primary>
   <see><emphasis>binary zero</emphasis></see>
 </indexterm>
+<indexterm role="concept">
+  <primary>headers</primary>
+  <see><emphasis>header lines</emphasis></see>
+</indexterm>
 
 .literal off
 
 
 .literal off
 
@@ -743,17 +758,17 @@ the Exim documentation, &"spool"& is always used in the first sense.
 .chapter "Incorporated code" "CHID2"
 .cindex "incorporated code"
 .cindex "regular expressions" "library"
 .chapter "Incorporated code" "CHID2"
 .cindex "incorporated code"
 .cindex "regular expressions" "library"
-.cindex "PCRE"
+.cindex "PCRE2"
 .cindex "OpenDMARC"
 A number of pieces of external code are included in the Exim distribution.
 
 .ilist
 Regular expressions are supported in the main Exim program and in the
 .cindex "OpenDMARC"
 A number of pieces of external code are included in the Exim distribution.
 
 .ilist
 Regular expressions are supported in the main Exim program and in the
-Exim monitor using the freely-distributable PCRE library, copyright
-&copy; University of Cambridge. The source to PCRE is no longer shipped with
-Exim, so you will need to use the version of PCRE shipped with your system,
+Exim monitor using the freely-distributable PCRE2 library, copyright
+&copy; University of Cambridge. The source to PCRE2 is not longer shipped with
+Exim, so you will need to use the version of PCRE2 shipped with your system,
 or obtain and install the full version of the library from
 or obtain and install the full version of the library from
-&url(ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre).
+&url(https://github.com/PhilipHazel/pcre2/releases).
 .next
 .cindex "cdb" "acknowledgment"
 Support for the cdb (Constant DataBase) lookup method is provided by code
 .next
 .cindex "cdb" "acknowledgment"
 Support for the cdb (Constant DataBase) lookup method is provided by code
@@ -1398,7 +1413,6 @@ check an address given in the SMTP EXPN command (see the &%expn%& option).
 .next
 If the &%domains%& option is set, the domain of the address must be in the set
 of domains that it defines.
 .next
 If the &%domains%& option is set, the domain of the address must be in the set
 of domains that it defines.
-.new
 .cindex "tainted data" "de-tainting"
 A match verifies the variable &$domain$& (which carries tainted data)
 and assigns an untainted value to the &$domain_data$& variable.
 .cindex "tainted data" "de-tainting"
 A match verifies the variable &$domain$& (which carries tainted data)
 and assigns an untainted value to the &$domain_data$& variable.
@@ -1408,7 +1422,6 @@ refer to section &<<SECTdomainlist>>&.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
-.wen
 
 .next
 .vindex "&$local_part_prefix$&"
 
 .next
 .vindex "&$local_part_prefix$&"
@@ -1419,7 +1432,6 @@ rather than the generic &%condition%& option.
 .cindex affix "router precondition"
 If the &%local_parts%& option is set, the local part of the address must be in
 the set of local parts that it defines.
 .cindex affix "router precondition"
 If the &%local_parts%& option is set, the local part of the address must be in
 the set of local parts that it defines.
-.new
 A match verifies the variable &$local_part$& (which carries tainted data)
 and assigns an untainted value to the &$local_part_data$& variable.
 Such an untainted value is often needed in the transport.
 A match verifies the variable &$local_part$& (which carries tainted data)
 and assigns an untainted value to the &$local_part_data$& variable.
 Such an untainted value is often needed in the transport.
@@ -1428,7 +1440,6 @@ refer to section &<<SECTlocparlis>>&.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
 
 When an untainted value is wanted, use this option
 rather than the generic &%condition%& option.
-.wen
 
 If &%local_part_prefix%& or
 &%local_part_suffix%& is in use, the prefix or suffix is removed from the local
 
 If &%local_part_prefix%& or
 &%local_part_suffix%& is in use, the prefix or suffix is removed from the local
@@ -1469,7 +1480,6 @@ If the &%condition%& option is set, it is evaluated and tested. This option
 uses an expanded string to allow you to set up your own custom preconditions.
 Expanded strings are described in chapter &<<CHAPexpand>>&.
 
 uses an expanded string to allow you to set up your own custom preconditions.
 Expanded strings are described in chapter &<<CHAPexpand>>&.
 
-.new
 Note that while using
 this option for address matching technically works,
 it does not set any de-tainted values.
 Note that while using
 this option for address matching technically works,
 it does not set any de-tainted values.
@@ -1477,7 +1487,6 @@ Such values are often needed, either for router-specific options or
 for transport options.
 Using the &%domains%& and &%local_parts%& options is usually the most
 convenient way to obtain them.
 for transport options.
 Using the &%domains%& and &%local_parts%& options is usually the most
 convenient way to obtain them.
-.wen
 .endlist
 
 
 .endlist
 
 
@@ -1728,20 +1737,20 @@ overridden if necessary.
 A C99-capable compiler will be required for the build.
 
 
 A C99-capable compiler will be required for the build.
 
 
-.section "PCRE library" "SECTpcre"
-.cindex "PCRE library"
-Exim no longer has an embedded PCRE library as the vast majority of
-modern systems include PCRE as a system library, although you may need to
-install the PCRE package or the PCRE development package for your operating
-system. If your system has a normal PCRE installation the Exim build
+.section "PCRE2 library" "SECTpcre"
+.cindex "PCRE2 library"
+Exim no longer has an embedded regular-expression library as the vast majority of
+modern systems include PCRE2 as a system library, although you may need to
+install the PCRE2 package or the PCRE2 development package for your operating
+system. If your system has a normal PCRE2 installation the Exim build
 process will need no further configuration. If the library or the
 process will need no further configuration. If the library or the
-headers are in an unusual location you will need to either set the PCRE_LIBS
+headers are in an unusual location you will need to either set the PCRE2_LIBS
 and INCLUDE directives appropriately,
 and INCLUDE directives appropriately,
-or set PCRE_CONFIG=yes to use the installed &(pcre-config)& command.
+or set PCRE2_CONFIG=yes to use the installed &(pcre-config)& command.
 If your operating system has no
 If your operating system has no
-PCRE support then you will need to obtain and build the current PCRE
-from &url(ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/).
-More information on PCRE is available at &url(https://www.pcre.org/).
+PCRE2 support then you will need to obtain and build the current PCRE2
+from &url(https://github.com/PhilipHazel/pcre2/releases).
+More information on PCRE2 is available at &url(https://www.pcre.org/).
 
 .section "DBM libraries" "SECTdb"
 .cindex "DBM libraries" "discussion of"
 
 .section "DBM libraries" "SECTdb"
 .cindex "DBM libraries" "discussion of"
@@ -1794,9 +1803,13 @@ the traditional &'ndbm'& interface.
 .next
 To complicate things further, there are several very different versions of the
 Berkeley DB package. Version 1.85 was stable for a very long time, releases
 .next
 To complicate things further, there are several very different versions of the
 Berkeley DB package. Version 1.85 was stable for a very long time, releases
-2.&'x'& and 3.&'x'& were current for a while, but the latest versions when Exim last revamped support were numbered 4.&'x'&.
-Maintenance of some of the earlier releases has ceased. All versions of
-Berkeley DB could be obtained from
+2.&'x'& and 3.&'x'& were current for a while,
+.new
+but the latest versions when Exim last revamped support were numbered 5.&'x'&.
+Maintenance of some of the earlier releases has ceased,
+and Exim no longer supports versions before 3.&'x'&.
+.wen
+All versions of Berkeley DB could be obtained from
 &url(http://www.sleepycat.com/), which is now a redirect to their new owner's
 page with far newer versions listed.
 It is probably wise to plan to move your storage configurations away from
 &url(http://www.sleepycat.com/), which is now a redirect to their new owner's
 page with far newer versions listed.
 It is probably wise to plan to move your storage configurations away from
@@ -1820,6 +1833,9 @@ USE_DB=yes
 .endd
 Similarly, for gdbm you set USE_GDBM, and for tdb you set USE_TDB. An
 error is diagnosed if you set more than one of these.
 .endd
 Similarly, for gdbm you set USE_GDBM, and for tdb you set USE_TDB. An
 error is diagnosed if you set more than one of these.
+.new
+You can set USE_NDBM if needed to override an operating system default.
+.wen
 
 At the lowest level, the build-time configuration sets none of these options,
 thereby assuming an interface of type (1). However, some operating system
 
 At the lowest level, the build-time configuration sets none of these options,
 thereby assuming an interface of type (1). However, some operating system
@@ -1834,7 +1850,11 @@ in one of these lines:
 .code
 DBMLIB = -ldb
 DBMLIB = -ltdb
 .code
 DBMLIB = -ldb
 DBMLIB = -ltdb
+DBMLIB = -lgdbm -lgdbm_compat
 .endd
 .endd
+.new
+The last of those was for a Linux having GDBM provide emulated NDBM facilities.
+.wen
 Settings like that will work if the DBM library is installed in the standard
 place. Sometimes it is not, and the library's header file may also not be in
 the default path. You may need to set INCLUDE to specify where the header
 Settings like that will work if the DBM library is installed in the standard
 place. Sometimes it is not, and the library's header file may also not be in
 the default path. You may need to set INCLUDE to specify where the header
@@ -2570,6 +2590,25 @@ use of Exim's filtering capabilities, you should make the document entitled
 
 
 
 
 
 
+.section "Running the daemon" SECTdaemonLaunch
+The most common command line for launching the Exim daemon looks like
+.code
+exim -bd -q5m
+.endd
+This starts a daemon which
+.ilist
+listens for incoming smtp connections, launching handler processes for
+each new one
+.next
+starts a queue-runner process every five minutes, to inspect queued messages
+and run delivery attempts on any that have arrived at their retry time
+.endlist
+Should a queue run take longer than the time between queue-runner starts,
+they will run in parallel.
+Numbers of jobs of the various types are subject to policy controls
+defined in the configuration.
+
+
 .section "Upgrading Exim" "SECID36"
 .cindex "upgrading Exim"
 If you are already running Exim on your host, building and installing a new
 .section "Upgrading Exim" "SECID36"
 .cindex "upgrading Exim"
 If you are already running Exim on your host, building and installing a new
@@ -2683,10 +2722,8 @@ Exim through the local interface (see the &%-bm%& and &%-f%& options below).
 See the &%untrusted_set_sender%& option for a way of permitting non-trusted
 users to set envelope senders.
 
 See the &%untrusted_set_sender%& option for a way of permitting non-trusted
 users to set envelope senders.
 
-.cindex "&'From:'& header line"
-.cindex "&'Sender:'& header line"
-.cindex "header lines" "From:"
-.cindex "header lines" "Sender:"
+.chindex From:
+.chindex Sender:
 For a trusted user, there is never any check on the contents of the &'From:'&
 header line, and a &'Sender:'& line is never added. Furthermore, any existing
 &'Sender:'& line in incoming local (non-TCP/IP) messages is not removed.
 For a trusted user, there is never any check on the contents of the &'From:'&
 header line, and a &'Sender:'& line is never added. Furthermore, any existing
 &'Sender:'& line in incoming local (non-TCP/IP) messages is not removed.
@@ -3837,9 +3874,11 @@ headers.)
 .cindex "Solaris" "&'mail'& command"
 .cindex "dot" "in incoming non-SMTP message"
 This option, which has the same effect as &%-oi%&, specifies that a dot on a
 .cindex "Solaris" "&'mail'& command"
 .cindex "dot" "in incoming non-SMTP message"
 This option, which has the same effect as &%-oi%&, specifies that a dot on a
-line by itself should not terminate an incoming, non-SMTP message. I can find
-no documentation for this option in Solaris 2.4 Sendmail, but the &'mailx'&
-command in Solaris 2.4 uses it. See also &%-ti%&.
+line by itself should not terminate an incoming, non-SMTP message.
+Solaris 2.4 (SunOS 5.4) Sendmail has a similar &%-i%& processing option
+&url(https://docs.oracle.com/cd/E19457-01/801-6680-1M/801-6680-1M.pdf),
+p. 1M-529), and therefore a &%-oi%& command line option, which both are used
+by its &'mailx'& command.
 
 .vitem &%-L%&&~<&'tag'&>
 .oindex "&%-L%&"
 
 .vitem &%-L%&&~<&'tag'&>
 .oindex "&%-L%&"
@@ -3929,12 +3968,27 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that a
 remote host supports the ESMTP &_CHUNKING_& extension.
 
 by Exim in conjunction with the &%-MC%& option. It signifies that a
 remote host supports the ESMTP &_CHUNKING_& extension.
 
+.vitem &%-MCL%&
+.oindex "&%-MCL%&"
+This option is not intended for use by external callers. It is used internally
+by Exim in conjunction with the &%-MC%& option. It signifies that the server to
+which Exim is connected advertised limits on numbers of mails, recipients or
+recipient domains.
+The limits are given by the following three arguments.
+
 .vitem &%-MCP%&
 .oindex "&%-MCP%&"
 This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that the server to
 which Exim is connected supports pipelining.
 
 .vitem &%-MCP%&
 .oindex "&%-MCP%&"
 This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option. It signifies that the server to
 which Exim is connected supports pipelining.
 
+.vitem &%-MCp%&
+.oindex "&%-MCp%&"
+This option is not intended for use by external callers. It is used internally
+by Exim in conjunction with the &%-MC%& option. It signifies that the connection
+t a remote server is via a SOCKS proxy, using addresses and ports given by
+the following four arguments.
+
 .vitem &%-MCQ%&&~<&'process&~id'&>&~<&'pipe&~fd'&>
 .oindex "&%-MCQ%&"
 This option is not intended for use by external callers. It is used internally
 .vitem &%-MCQ%&&~<&'process&~id'&>&~<&'pipe&~fd'&>
 .oindex "&%-MCQ%&"
 This option is not intended for use by external callers. It is used internally
@@ -3944,12 +3998,10 @@ together with the file descriptor number of an open pipe. Closure of the pipe
 signals the final completion of the sequence of processes that are passing
 messages through the same SMTP connection.
 
 signals the final completion of the sequence of processes that are passing
 messages through the same SMTP connection.
 
-.new
 .vitem &%-MCq%&&~<&'recipient&~address'&>&~<&'size'&>
 .oindex "&%-MCq%&"
 This option is not intended for use by external callers. It is used internally
 by Exim to implement quota checking for local users.
 .vitem &%-MCq%&&~<&'recipient&~address'&>&~<&'size'&>
 .oindex "&%-MCq%&"
 This option is not intended for use by external callers. It is used internally
 by Exim to implement quota checking for local users.
-.wen
 
 .vitem &%-MCS%&
 .oindex "&%-MCS%&"
 
 .vitem &%-MCS%&
 .oindex "&%-MCS%&"
@@ -3964,7 +4016,6 @@ This option is not intended for use by external callers. It is used internally
 by Exim in conjunction with the &%-MC%& option, and passes on the fact that the
 host to which Exim is connected supports TLS encryption.
 
 by Exim in conjunction with the &%-MC%& option, and passes on the fact that the
 host to which Exim is connected supports TLS encryption.
 
-.new
 .vitem &%-MCr%&&~<&'SNI'&> &&&
        &%-MCs%&&~<&'SNI'&>
 .oindex "&%-MCs%&"
 .vitem &%-MCr%&&~<&'SNI'&> &&&
        &%-MCs%&&~<&'SNI'&>
 .oindex "&%-MCs%&"
@@ -3974,7 +4025,6 @@ by Exim in conjunction with the &%-MCt%& option, and passes on the fact that
 a TLS Server Name Indication was sent as part of the channel establishment.
 The argument gives the SNI string.
 The "r" variant indicates a DANE-verified connection.
 a TLS Server Name Indication was sent as part of the channel establishment.
 The argument gives the SNI string.
 The "r" variant indicates a DANE-verified connection.
-.wen
 
 .vitem &%-MCt%&&~<&'IP&~address'&>&~<&'port'&>&~<&'cipher'&>
 .oindex "&%-MCt%&"
 
 .vitem &%-MCt%&&~<&'IP&~address'&>&~<&'port'&>&~<&'cipher'&>
 .oindex "&%-MCt%&"
@@ -4140,8 +4190,9 @@ the standard output. This option can be used only by an admin user.
 
 .vitem &%-m%&
 .oindex "&%-m%&"
 
 .vitem &%-m%&
 .oindex "&%-m%&"
-This is apparently a synonym for &%-om%& that is accepted by Sendmail, so Exim
-treats it that way too.
+This is a synonym for &%-om%& that is accepted by Sendmail
+(&url(https://docs.oracle.com/cd/E19457-01/801-6680-1M/801-6680-1M.pdf)
+p. 1M-258), so Exim treats it that way too.
 
 .vitem &%-N%&
 .oindex "&%-N%&"
 
 .vitem &%-N%&
 .oindex "&%-N%&"
@@ -4495,7 +4546,6 @@ of the syntax, and how it interacts with configuration file options, are given
 in chapter &<<CHAPinterfaces>>&. When &%-oX%& is used to start a daemon, no pid
 file is written unless &%-oP%& is also present to specify a pid filename.
 
 in chapter &<<CHAPinterfaces>>&. When &%-oX%& is used to start a daemon, no pid
 file is written unless &%-oP%& is also present to specify a pid filename.
 
-.new
 .vitem &%-oY%&
 .oindex &%-oY%&
 .cindex "daemon notifier socket"
 .vitem &%-oY%&
 .oindex &%-oY%&
 .cindex "daemon notifier socket"
@@ -4514,7 +4564,6 @@ fast ramp-up of queue runner processes
 .next
 obtaining a current queue size
 .endlist
 .next
 obtaining a current queue size
 .endlist
-.wen
 
 .vitem &%-pd%&
 .oindex "&%-pd%&"
 
 .vitem &%-pd%&
 .oindex "&%-pd%&"
@@ -4784,9 +4833,9 @@ recognized when Exim is run normally. It allows for the setting up of explicit
 .vitem &%-t%&
 .oindex "&%-t%&"
 .cindex "recipient" "extracting from header lines"
 .vitem &%-t%&
 .oindex "&%-t%&"
 .cindex "recipient" "extracting from header lines"
-.cindex "&'Bcc:'& header line"
-.cindex "&'Cc:'& header line"
-.cindex "&'To:'& header line"
+.chindex Bcc:
+.chindex Cc:
+.chindex To:
 When Exim is receiving a locally-generated, non-SMTP message on its standard
 input, the &%-t%& option causes the recipients of the message to be obtained
 from the &'To:'&, &'Cc:'&, and &'Bcc:'& header lines in the message instead of
 When Exim is receiving a locally-generated, non-SMTP message on its standard
 input, the &%-t%& option causes the recipients of the message to be obtained
 from the &'To:'&, &'Cc:'&, and &'Bcc:'& header lines in the message instead of
@@ -5478,8 +5527,8 @@ local_interfaces = 127.0.0.1 : ::::1
 contains two IP addresses, the IPv4 address 127.0.0.1 and the IPv6 address ::1.
 
 &*Note*&: Although leading and trailing white space is ignored in individual
 contains two IP addresses, the IPv4 address 127.0.0.1 and the IPv6 address ::1.
 
 &*Note*&: Although leading and trailing white space is ignored in individual
-list items, it is not ignored when parsing the list. The space after the first
-colon in the example above is necessary. If it were not there, the list would
+list items, it is not ignored when parsing the list. The spaces around the first
+colon in the example above are necessary. If they were not there, the list would
 be interpreted as the two items 127.0.0.1:: and 1.
 
 .section "Changing list separators" "SECTlistsepchange"
 be interpreted as the two items 127.0.0.1:: and 1.
 
 .section "Changing list separators" "SECTlistsepchange"
@@ -5938,7 +5987,7 @@ Libraries you use may depend on specific environment settings.  This
 imposes a security risk (e.g. PATH). There are two lists:
 &%keep_environment%& for the variables to import as they are, and
 &%add_environment%& for variables we want to set to a fixed value.
 imposes a security risk (e.g. PATH). There are two lists:
 &%keep_environment%& for the variables to import as they are, and
 &%add_environment%& for variables we want to set to a fixed value.
-Note that TZ is handled separately, by the $%timezone%$ runtime
+Note that TZ is handled separately, by the &%timezone%& runtime
 option and by the TIMEZONE_DEFAULT buildtime option.
 .code
 # keep_environment = ^LDAP
 option and by the TIMEZONE_DEFAULT buildtime option.
 .code
 # keep_environment = ^LDAP
@@ -6413,9 +6462,9 @@ smarthost_smtp:
   # request with your smarthost provider to get things fixed:
   hosts_require_tls = *
   tls_verify_hosts = *
   # request with your smarthost provider to get things fixed:
   hosts_require_tls = *
   tls_verify_hosts = *
-  # As long as tls_verify_hosts is enabled, this won't matter, but if you
-  # have to comment it out then this will at least log whether you succeed
-  # or not:
+  # As long as tls_verify_hosts is enabled, this this will have no effect,
+  # but if you have to comment it out then this will at least log whether
+  # you succeed or not:
   tls_try_verify_hosts = *
   #
   # The SNI name should match the name which we'll expect to verify;
   tls_try_verify_hosts = *
   #
   # The SNI name should match the name which we'll expect to verify;
@@ -6608,9 +6657,9 @@ Chapter &<<CHAPplaintext>>& covers both.
 .chapter "Regular expressions" "CHAPregexp"
 
 .cindex "regular expressions" "library"
 .chapter "Regular expressions" "CHAPregexp"
 
 .cindex "regular expressions" "library"
-.cindex "PCRE"
+.cindex "PCRE2"
 Exim supports the use of regular expressions in many of its options. It
 Exim supports the use of regular expressions in many of its options. It
-uses the PCRE regular expression library; this provides regular expression
+uses the PCRE2 regular expression library; this provides regular expression
 matching that is compatible with Perl 5. The syntax and semantics of
 regular expressions is discussed in
 online Perl manpages, in
 matching that is compatible with Perl 5. The syntax and semantics of
 regular expressions is discussed in
 online Perl manpages, in
@@ -6622,10 +6671,10 @@ O'Reilly (see &url(http://www.oreilly.com/catalog/regex2/)).
 . --- to the old URL for now.  2018-09-07.
 
 The documentation for the syntax and semantics of the regular expressions that
 . --- to the old URL for now.  2018-09-07.
 
 The documentation for the syntax and semantics of the regular expressions that
-are supported by PCRE is included in the PCRE distribution, and no further
-description is included here. The PCRE functions are called from Exim using
-the default option settings (that is, with no PCRE options set), except that
-the PCRE_CASELESS option is set when the matching is required to be
+are supported by PCRE2 is included in the PCRE2 distribution, and no further
+description is included here. The PCRE2 functions are called from Exim using
+the default option settings (that is, with no PCRE2 options set), except that
+the PCRE2_CASELESS option is set when the matching is required to be
 case-insensitive.
 
 In most cases, when a regular expression is required in an Exim configuration,
 case-insensitive.
 
 In most cases, when a regular expression is required in an Exim configuration,
@@ -6709,6 +6758,9 @@ domains = ${lookup{$sender_host_address}lsearch{/some/file}}
 domains = lsearch;/some/file
 .endd
 The first uses a string expansion, the result of which must be a domain list.
 domains = lsearch;/some/file
 .endd
 The first uses a string expansion, the result of which must be a domain list.
+.new
+The key for an expansion-style lookup must be given explicitly.
+.wen
 No strings have been specified for a successful or a failing lookup; the
 defaults in this case are the looked-up data and an empty string, respectively.
 The expansion takes place before the string is processed as a list, and the
 No strings have been specified for a successful or a failing lookup; the
 defaults in this case are the looked-up data and an empty string, respectively.
 The expansion takes place before the string is processed as a list, and the
@@ -6733,6 +6785,12 @@ domain2:
 Any data that follows the keys is not relevant when checking that the domain
 matches the list item.
 
 Any data that follows the keys is not relevant when checking that the domain
 matches the list item.
 
+.new
+The key for a list-style lookup is implicit, from the lookup context, if
+the lookup is a single-key type (see below).
+For query-style lookup types the key must be given explicitly.
+.wen
+
 It is possible, though no doubt confusing, to use both kinds of lookup at once.
 Consider a file containing lines like this:
 .code
 It is possible, though no doubt confusing, to use both kinds of lookup at once.
 Consider a file containing lines like this:
 .code
@@ -6742,7 +6800,6 @@ If the value of &$sender_host_address$& is 192.168.5.6, expansion of the
 first &%domains%& setting above generates the second setting, which therefore
 causes a second lookup to occur.
 
 first &%domains%& setting above generates the second setting, which therefore
 causes a second lookup to occur.
 
-.new
 The lookup type may optionally be followed by a comma
 and a comma-separated list of options.
 Each option is a &"name=value"& pair.
 The lookup type may optionally be followed by a comma
 and a comma-separated list of options.
 Each option is a &"name=value"& pair.
@@ -6752,7 +6809,6 @@ All lookups support the option &"cache=no_rd"&.
 If this is given then the cache that Exim manages for lookup results
 is not checked before doing the lookup.
 The result of the lookup is still written to the cache.
 If this is given then the cache that Exim manages for lookup results
 is not checked before doing the lookup.
 The result of the lookup is still written to the cache.
-.wen
 
 The rest of this chapter describes the different lookup types that are
 available. Any of them can be used in any part of the configuration where a
 
 The rest of this chapter describes the different lookup types that are
 available. Any of them can be used in any part of the configuration where a
@@ -6769,7 +6825,7 @@ The &'single-key'& type requires the specification of a file in which to look,
 and a single key to search for. The key must be a non-empty string for the
 lookup to succeed. The lookup type determines how the file is searched.
 .cindex "tainted data" "single-key lookups"
 and a single key to search for. The key must be a non-empty string for the
 lookup to succeed. The lookup type determines how the file is searched.
 .cindex "tainted data" "single-key lookups"
-The file string may not be tainted
+The file string may not be tainted.
 
 .cindex "tainted data" "de-tainting"
 All single-key lookups support the option &"ret=key"&.
 
 .cindex "tainted data" "de-tainting"
 All single-key lookups support the option &"ret=key"&.
@@ -6783,6 +6839,12 @@ version of the lookup key.
 The &'query-style'& type accepts a generalized database query. No particular
 key value is assumed by Exim for query-style lookups. You can use whichever
 Exim variables you need to construct the database query.
 The &'query-style'& type accepts a generalized database query. No particular
 key value is assumed by Exim for query-style lookups. You can use whichever
 Exim variables you need to construct the database query.
+.cindex "tainted data" "quoting for lookups"
+.new
+If tainted data is used in the query then it should be quuted by
+using the &*${quote_*&<&'lookup-type'&>&*:*&<&'string'&>&*}*& expansion operator
+appropriate for the lookup.
+.wen
 .endlist
 
 The code for each lookup type is in a separate source file that is included in
 .endlist
 
 The code for each lookup type is in a separate source file that is included in
@@ -6935,11 +6997,9 @@ the implicit key is the host's IP address rather than its name (see section
 IPv4, in dotted-quad form. (Exim converts IPv4-mapped IPv6 addresses to this
 notation before executing the lookup.)
 
 IPv4, in dotted-quad form. (Exim converts IPv4-mapped IPv6 addresses to this
 notation before executing the lookup.)
 
-.new
 One option is supported, "ret=full", to request the return of the entire line
 One option is supported, "ret=full", to request the return of the entire line
-rather than omitting the key porttion.
+rather than omitting the key portion.
 Note however that the key portion will have been de-quoted.
 Note however that the key portion will have been de-quoted.
-.wen
 
 .next
 .cindex lookup json
 
 .next
 .cindex lookup json
@@ -6960,7 +7020,6 @@ is returned.
 For elements of type string, the returned value is de-quoted.
 
 
 For elements of type string, the returned value is de-quoted.
 
 
-.new
 .next
 .cindex LMDB
 .cindex lookup lmdb
 .next
 .cindex LMDB
 .cindex lookup lmdb
@@ -6978,7 +7037,6 @@ To enable LMDB support in Exim set LOOKUP_LMDB=yes in &_Local/Makefile_&.
 
 You will need to separately create the LMDB database file,
 possibly using the &"mdb_load"& utility.
 
 You will need to separately create the LMDB database file,
 possibly using the &"mdb_load"& utility.
-.wen
 
 
 .next
 
 
 .next
@@ -7380,6 +7438,10 @@ lookups. However, because (apart from the daemon) Exim operates as a collection
 of independent, short-lived processes, this caching applies only within a
 single Exim process. There is no inter-process lookup caching facility.
 
 of independent, short-lived processes, this caching applies only within a
 single Exim process. There is no inter-process lookup caching facility.
 
+If an option &"cache=no_rd"& is used on the lookup then
+the cache is only written to, cached data is not used for the operation
+and a real lookup is done.
+
 For single-key lookups, Exim keeps the relevant files open in case there is
 another lookup that needs them. In some types of configuration this can lead to
 many files being kept open for messages with many recipients. To avoid hitting
 For single-key lookups, Exim keeps the relevant files open in case there is
 another lookup that needs them. In some types of configuration this can lead to
 many files being kept open for messages with many recipients. To avoid hitting
@@ -8236,7 +8298,6 @@ SQLite is different to the other SQL lookups because a filename is required in
 addition to the SQL query. An SQLite database is a single file, and there is no
 daemon as in the other SQL databases.
 
 addition to the SQL query. An SQLite database is a single file, and there is no
 daemon as in the other SQL databases.
 
-.new
 .oindex &%sqlite_dbfile%&
 There are two ways of
 specifying the file.
 .oindex &%sqlite_dbfile%&
 There are two ways of
 specifying the file.
@@ -8246,7 +8307,6 @@ is to use an option appended, comma-separated, to the &"sqlite"&
 lookup type word.  The option is the word &"file"&, then an equals,
 then the filename.
 The filename in this case cannot contain whitespace or open-brace charachters.
 lookup type word.  The option is the word &"file"&, then an equals,
 then the filename.
 The filename in this case cannot contain whitespace or open-brace charachters.
-.wen
 
 A deprecated method is available, prefixing the query with the filename
 separated by white space.
 
 A deprecated method is available, prefixing the query with the filename
 separated by white space.
@@ -8470,10 +8530,8 @@ will store a result in the &$host_data$& variable.
 A &%local_parts%& router option or &%local_parts%& ACL condition
 will store a result in the &$local_part_data$& variable.
 .vitem domains
 A &%local_parts%& router option or &%local_parts%& ACL condition
 will store a result in the &$local_part_data$& variable.
 .vitem domains
-.new
 A &%domains%& router option or &%domains%& ACL condition
 A &%domains%& router option or &%domains%& ACL condition
-will store a result in the &$domain_data$& variable
-.wen
+will store a result in the &$domain_data$& variable.
 .vitem senders
 A &%senders%& router option or &%senders%& ACL condition
 will store a result in the &$sender_data$& variable.
 .vitem senders
 A &%senders%& router option or &%senders%& ACL condition
 will store a result in the &$sender_data$& variable.
@@ -8777,6 +8835,11 @@ other statements in the same ACL.
 .cindex "tainted data" "de-tainting"
 The value will be untainted.
 
 .cindex "tainted data" "de-tainting"
 The value will be untainted.
 
+&*Note*&: If the data result of the lookup (as opposed to the key)
+is empty, then this empty value is stored in &$domain_data$&.
+The option to return the key for the lookup, as the value,
+may be what is wanted.
+
 
 .next
 Any of the single-key lookup type names may be preceded by
 
 .next
 Any of the single-key lookup type names may be preceded by
@@ -8818,7 +8881,7 @@ If the pattern starts with the name of a lookup type
 of either kind (single-key or query-style) it may be
 followed by a comma and options,
 The options are lookup-type specific and consist of a comma-separated list.
 of either kind (single-key or query-style) it may be
 followed by a comma and options,
 The options are lookup-type specific and consist of a comma-separated list.
-Each item starts with a tag and and equals "=".
+Each item starts with a tag and and equals "=" sign.
 
 .next
 .cindex "domain list" "matching literal domain name"
 
 .next
 .cindex "domain list" "matching literal domain name"
@@ -8937,9 +9000,13 @@ accept hosts = @[]
 .endd
 .next
 .cindex "CIDR notation"
 .endd
 .next
 .cindex "CIDR notation"
-If the pattern is an IP address followed by a slash and a mask length (for
-example 10.11.42.0/24), it is matched against the IP address of the subject
-host under the given mask. This allows, an entire network of hosts to be
+If the pattern is an IP address followed by a slash and a mask length, for
+example
+.code
+10.11.42.0/24
+.endd
+, it is matched against the IP address of the subject
+host under the given mask. This allows an entire network of hosts to be
 included (or excluded) by a single item. The mask uses CIDR notation; it
 specifies the number of address bits that must match, starting from the most
 significant end of the address.
 included (or excluded) by a single item. The mask uses CIDR notation; it
 specifies the number of address bits that must match, starting from the most
 significant end of the address.
@@ -9558,11 +9625,8 @@ reasons,
 .cindex "tainted data" definition
 .cindex expansion "tainted data"
 and expansion of data deriving from the sender (&"tainted data"&)
 .cindex "tainted data" definition
 .cindex expansion "tainted data"
 and expansion of data deriving from the sender (&"tainted data"&)
-.new
 is not permitted (including acessing a file using a tainted name).
 is not permitted (including acessing a file using a tainted name).
-.wen
 
 
-.new
 Common ways of obtaining untainted equivalents of variables with
 tainted values
 .cindex "tainted data" "de-tainting"
 Common ways of obtaining untainted equivalents of variables with
 tainted values
 .cindex "tainted data" "de-tainting"
@@ -9571,7 +9635,6 @@ This database could be the filesystem structure,
 or the password file,
 or accessed via a DBMS.
 Specific methods are indexed under &"de-tainting"&.
 or the password file,
 or accessed via a DBMS.
 Specific methods are indexed under &"de-tainting"&.
-.wen
 
 
 
 
 
 
@@ -9718,7 +9781,7 @@ If the ACL returns defer the result is a forced-fail.  Otherwise the expansion f
 
 .vitem "&*${authresults{*&<&'authserv-id'&>&*}}*&"
 .cindex authentication "results header"
 
 .vitem "&*${authresults{*&<&'authserv-id'&>&*}}*&"
 .cindex authentication "results header"
-.cindex headers "authentication-results:"
+.chindex Authentication-Results:
 .cindex authentication "expansion item"
 This item returns a string suitable for insertion as an
 &'Authentication-Results:'&
 .cindex authentication "expansion item"
 This item returns a string suitable for insertion as an
 &'Authentication-Results:'&
@@ -10128,7 +10191,7 @@ They are visible in DKIM, PRDR and DATA ACLs.
 Header lines that are added in a RCPT ACL (for example)
 are saved until the message's incoming header lines are available, at which
 point they are added.
 Header lines that are added in a RCPT ACL (for example)
 are saved until the message's incoming header lines are available, at which
 point they are added.
-When any of the above ACLs ar
+When any of the above ACLs are
 running, however, header lines added by earlier ACLs are visible.
 
 Upper case and lower case letters are synonymous in header names. If the
 running, however, header lines added by earlier ACLs are visible.
 
 Upper case and lower case letters are synonymous in header names. If the
@@ -10284,7 +10347,6 @@ extracted is used.
 You can use &`fail`& instead of {<&'string3'&>} as in a string extract.
 
 
 You can use &`fail`& instead of {<&'string3'&>} as in a string extract.
 
 
-.new
 .vitem &*${listquote{*&<&'separator'&>&*}{*&<&'string'&>&*}}*&
 .cindex quoting "for list"
 .cindex list quoting
 .vitem &*${listquote{*&<&'separator'&>&*}{*&<&'string'&>&*}}*&
 .cindex quoting "for list"
 .cindex list quoting
@@ -10293,7 +10355,6 @@ in the given string.
 An empty string is replaced with a single space.
 This converts the string into a safe form for use as a list element,
 in a list using the given separator.
 An empty string is replaced with a single space.
 This converts the string into a safe form for use as a list element,
 in a list using the given separator.
-.wen
 
 
 .vitem "&*${lookup&~{*&<&'key'&>&*}&~*&<&'search&~type'&>&*&~&&&
 
 
 .vitem "&*${lookup&~{*&<&'key'&>&*}&~*&<&'search&~type'&>&*&~&&&
@@ -10404,10 +10465,11 @@ additional arguments need be given; the maximum number permitted, including the
 name of the subroutine, is nine.
 
 The return value of the subroutine is inserted into the expanded string, unless
 name of the subroutine, is nine.
 
 The return value of the subroutine is inserted into the expanded string, unless
-the return value is &%undef%&. In that case, the expansion fails in the same
-way as an explicit &"fail"& on a lookup item. The return value is a scalar.
-Whatever you return is evaluated in a scalar context. For example, if you
-return the name of a Perl vector, the return value is the size of the vector,
+the return value is &%undef%&. In that case, the entire expansion is
+forced to fail, in the same way as an explicit &"fail"& on a lookup item
+does (see section &<<SECTforexpfai>>&).  Whatever you return is evaluated
+in a scalar context, thus the return value is a scalar.  For example, if you
+return a Perl vector, the return value is the size of the vector,
 not its contents.
 
 If the subroutine exits by calling Perl's &%die%& function, the expansion fails
 not its contents.
 
 If the subroutine exits by calling Perl's &%die%& function, the expansion fails
@@ -10457,7 +10519,7 @@ For more discussion and an example, see section &<<SECTverifyPRVS>>&.
 .cindex "expansion" "inserting an entire file"
 .cindex "file" "inserting into expansion"
 .cindex "&%readfile%& expansion item"
 .cindex "expansion" "inserting an entire file"
 .cindex "file" "inserting into expansion"
 .cindex "&%readfile%& expansion item"
-The filename and end-of-line string are first expanded separately. The file is
+The filename and end-of-line (eol) string are first expanded separately. The file is
 then read, and its contents replace the entire item. All newline characters in
 the file are replaced by the end-of-line string if it is present. Otherwise,
 newlines are left in the string.
 then read, and its contents replace the entire item. All newline characters in
 the file are replaced by the end-of-line string if it is present. Otherwise,
 newlines are left in the string.
@@ -10494,7 +10556,7 @@ ${readsocket{inet:[::1]:1234}{request string}}
 Only a single host name may be given, but if looking it up yields more than
 one IP address, they are each tried in turn until a connection is made. For
 both kinds of socket, Exim makes a connection, writes the request string
 Only a single host name may be given, but if looking it up yields more than
 one IP address, they are each tried in turn until a connection is made. For
 both kinds of socket, Exim makes a connection, writes the request string
-unless it is an empty string; and no terminating NUL is ever sent)
+(unless it is an empty string; no terminating NUL is ever sent)
 and reads from the socket until an end-of-file
 is read. A timeout of 5 seconds is applied. Additional, optional arguments
 extend what can be done. Firstly, you can vary the timeout. For example:
 and reads from the socket until an end-of-file
 is read. A timeout of 5 seconds is applied. Additional, optional arguments
 extend what can be done. Firstly, you can vary the timeout. For example:
@@ -10529,7 +10591,7 @@ sending the request. Values are &"yes"& (the default) or &"no"&
 &*tls*&
 Controls the use of TLS on the connection.
 Values are &"yes"& or &"no"& (the default).
 &*tls*&
 Controls the use of TLS on the connection.
 Values are &"yes"& or &"no"& (the default).
-If it is enabled, a shutdown as descripbed above is never done.
+If it is enabled, a shutdown as described above is never done.
 .endlist
 
 
 .endlist
 
 
@@ -10601,16 +10663,28 @@ expansion items.
 This item inserts &"raw"& header lines. It is described with the &%header%&
 expansion item in section &<<SECTexpansionitems>>& above.
 
 This item inserts &"raw"& header lines. It is described with the &%header%&
 expansion item in section &<<SECTexpansionitems>>& above.
 
-.vitem "&*${run{*&<&'command'&>&*&~*&<&'args'&>&*}{*&<&'string1'&>&*}&&&
+.vitem "&*${run <&'options'&> {*&<&'command&~arg&~list'&>&*}{*&<&'string1'&>&*}&&&
         {*&<&'string2'&>&*}}*&"
 .cindex "expansion" "running a command"
 .cindex "&%run%& expansion item"
         {*&<&'string2'&>&*}}*&"
 .cindex "expansion" "running a command"
 .cindex "&%run%& expansion item"
-The command and its arguments are first expanded as one string. The string is
-split apart into individual arguments by spaces, and then the command is run
+This item runs an external command, as a subprocess.
+.new
+One option is supported after the word &'run'&, comma-separated.
+
+If the option &'preexpand'& is not used,
+the command string is split into individual arguments by spaces
+and then each argument is expanded.
+Then the command is run
 in a separate process, but under the same uid and gid.  As in other command
 executions from Exim, a shell is not used by default. If the command requires
 a shell, you must explicitly code it.
 in a separate process, but under the same uid and gid.  As in other command
 executions from Exim, a shell is not used by default. If the command requires
 a shell, you must explicitly code it.
+The command name may not be tainted, but the remaining arguments can be.
 
 
+If the option &'preexpand'& is used,
+.wen
+the command and its arguments are first expanded as one string. The result is
+split apart into individual arguments by spaces, and then the command is run
+as above.
 Since the arguments are split by spaces, when there is a variable expansion
 which has an empty result, it will cause the situation that the argument will
 simply be omitted when the program is actually executed by Exim. If the
 Since the arguments are split by spaces, when there is a variable expansion
 which has an empty result, it will cause the situation that the argument will
 simply be omitted when the program is actually executed by Exim. If the
@@ -10621,6 +10695,9 @@ in a string containing quotes, because it would interfere with the quotes
 around the command arguments. A possible guard against this is to wrap the
 variable in the &%sg%& operator to change any quote marks to some other
 character.
 around the command arguments. A possible guard against this is to wrap the
 variable in the &%sg%& operator to change any quote marks to some other
 character.
+.new
+Neither the command nor any argument may be tainted.
+.wen
 
 The standard input for the command exists, but is empty. The standard output
 and standard error are set to the same file descriptor.
 
 The standard input for the command exists, but is empty. The standard output
 and standard error are set to the same file descriptor.
@@ -10733,10 +10810,8 @@ will sort an MX lookup into priority order.
 
 
 
 
 
 
-.new
 .vitem &*${srs_encode&~{*&<&'secret'&>&*}{*&<&'return&~path'&>&*}{*&<&'original&~domain'&>&*}}*&
 SRS encoding.  See SECT &<<SECTSRS>>& for details.
 .vitem &*${srs_encode&~{*&<&'secret'&>&*}{*&<&'return&~path'&>&*}{*&<&'original&~domain'&>&*}}*&
 SRS encoding.  See SECT &<<SECTSRS>>& for details.
-.wen
 
 
 
 
 
 
@@ -10960,7 +11035,7 @@ is controlled by the &%print_topbitchars%& option.
 .vitem &*${escape8bit:*&<&'string'&>&*}*&
 .cindex "expansion" "escaping 8-bit characters"
 .cindex "&%escape8bit%& expansion item"
 .vitem &*${escape8bit:*&<&'string'&>&*}*&
 .cindex "expansion" "escaping 8-bit characters"
 .cindex "&%escape8bit%& expansion item"
-If the string contains and characters with the most significant bit set,
+If the string contains any characters with the most significant bit set,
 they are converted to escape sequences starting with a backslash.
 Backslashes and DEL characters are also converted.
 
 they are converted to escape sequences starting with a backslash.
 Backslashes and DEL characters are also converted.
 
@@ -11156,6 +11231,8 @@ If the optional type is given it must be one of "a", "d", "h" or "l"
 and selects address-, domain-, host- or localpart- lists to search among respectively.
 Otherwise all types are searched in an undefined order and the first
 matching list is returned.
 and selects address-, domain-, host- or localpart- lists to search among respectively.
 Otherwise all types are searched in an undefined order and the first
 matching list is returned.
+&*Note*&: Neither string-expansion of lists referenced by named-list syntax elements,
+nor expansion of lookup elements, is done by the &%listnamed%& operator.
 
 
 .vitem &*${local_part:*&<&'string'&>&*}*&
 
 
 .vitem &*${local_part:*&<&'string'&>&*}*&
@@ -11167,7 +11244,8 @@ empty.
 The parsing correctly handles SMTPUTF8 Unicode in the string.
 
 
 The parsing correctly handles SMTPUTF8 Unicode in the string.
 
 
-.vitem &*${mask:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*&
+.vitem &*${mask:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*& &&&
+       &*${mask_n:*&<&'IP&~address'&>&*/*&<&'bit&~count'&>&*}*&
 .cindex "masked IP address"
 .cindex "IP address" "masking"
 .cindex "CIDR notation"
 .cindex "masked IP address"
 .cindex "IP address" "masking"
 .cindex "CIDR notation"
@@ -11181,8 +11259,14 @@ the result back to text, with mask appended. For example,
 .code
 ${mask:10.111.131.206/28}
 .endd
 .code
 ${mask:10.111.131.206/28}
 .endd
-returns the string &"10.111.131.192/28"&. Since this operation is expected to
-be mostly used for looking up masked addresses in files, the result for an IPv6
+returns the string &"10.111.131.192/28"&.
+
+Since this operation is expected to
+be mostly used for looking up masked addresses in files, the
+.new
+normal
+.wen
+result for an IPv6
 address uses dots to separate components instead of colons, because colon
 terminates a key string in lsearch files. So, for example,
 .code
 address uses dots to separate components instead of colons, because colon
 terminates a key string in lsearch files. So, for example,
 .code
@@ -11192,6 +11276,10 @@ returns the string
 .code
 3ffe.ffff.836f.0a00.000a.0800.2000.0000/99
 .endd
 .code
 3ffe.ffff.836f.0a00.000a.0800.2000.0000/99
 .endd
+.new
+If the optional form &*mask_n*& is used, IPv6 address result are instead
+returned in normailsed form, using colons and with zero-compression.
+.wen
 Letters in IPv6 addresses are always output in lower case.
 
 
 Letters in IPv6 addresses are always output in lower case.
 
 
@@ -11423,7 +11511,7 @@ Now deprecated, a synonym for the &%base64%& expansion operator.
 .cindex "expansion" "string length"
 .cindex "string" "length in expansion"
 .cindex "&%strlen%& expansion item"
 .cindex "expansion" "string length"
 .cindex "string" "length in expansion"
 .cindex "&%strlen%& expansion item"
-The item is replace by the length of the expanded string, expressed as a
+The item is replaced by the length of the expanded string, expressed as a
 decimal number. &*Note*&: Do not confuse &%strlen%& with &%length%&.
 All measurement is done in bytes and is not UTF-8 aware.
 
 decimal number. &*Note*&: Do not confuse &%strlen%& with &%length%&.
 All measurement is done in bytes and is not UTF-8 aware.
 
@@ -11718,10 +11806,9 @@ condition is true if the named file (or directory) exists. The existence test
 is done by calling the &[stat()]& function. The use of the &%exists%& test in
 users' filter files may be locked out by the system administrator.
 
 is done by calling the &[stat()]& function. The use of the &%exists%& test in
 users' filter files may be locked out by the system administrator.
 
-.new
 &*Note:*& Testing a path using this condition is not a sufficient way of
 de-tainting it.
 &*Note:*& Testing a path using this condition is not a sufficient way of
 de-tainting it.
-.wen
+Consider using a dsearch lookup.
 
 .vitem &*first_delivery*&
 .cindex "delivery" "first"
 
 .vitem &*first_delivery*&
 .cindex "delivery" "first"
@@ -11808,10 +11895,8 @@ case-independent.
 Case and collation order are defined per the system C locale.
 
 
 Case and collation order are defined per the system C locale.
 
 
-.new
 .vitem &*inbound_srs&~{*&<&'local&~part'&>&*}{*&<&'secret'&>&*}*&
 SRS decode.  See SECT &<<SECTSRS>>& for details.
 .vitem &*inbound_srs&~{*&<&'local&~part'&>&*}{*&<&'secret'&>&*}*&
 SRS decode.  See SECT &<<SECTSRS>>& for details.
-.wen
 
 
 .vitem &*inlist&~{*&<&'string1'&>&*}{*&<&'string2'&>&*}*& &&&
 
 
 .vitem &*inlist&~{*&<&'string1'&>&*}{*&<&'string2'&>&*}*& &&&
@@ -11832,6 +11917,19 @@ ${if inlisti{Needle}{fOo:NeeDLE:bAr}}
   ${if forany{fOo:NeeDLE:bAr}{eqi{$item}{Needle}}}
 .endd
 
   ${if forany{fOo:NeeDLE:bAr}{eqi{$item}{Needle}}}
 .endd
 
+.new
+The variable &$value$& will be set for a successful match and can be
+used in the success clause of an &%if%& expansion item using the condition.
+.cindex "tainted data" "de-tainting"
+It will have the same taint status as the list; expansions such as
+.code
+${if inlist {$h_mycode:} {0 : 1 : 42} {$value}}
+.endd
+can be used for de-tainting.
+Any previous &$value$& is restored after the if.
+.wen
+
+
 .vitem &*isip&~{*&<&'string'&>&*}*&  &&&
        &*isip4&~{*&<&'string'&>&*}*& &&&
        &*isip6&~{*&<&'string'&>&*}*&
 .vitem &*isip&~{*&<&'string'&>&*}*&  &&&
        &*isip4&~{*&<&'string'&>&*}*& &&&
        &*isip6&~{*&<&'string'&>&*}*&
@@ -12028,6 +12126,18 @@ item can be used, as in all address lists, to cause subsequent items to
 have their local parts matched casefully. Domains are always matched
 caselessly.
 
 have their local parts matched casefully. Domains are always matched
 caselessly.
 
+.new
+The variable &$value$& will be set for a successful match and can be
+used in the success clause of an &%if%& expansion item using the condition.
+.cindex "tainted data" "de-tainting"
+It will have the same taint status as the list; expansions such as
+.code
+${if match_local_part {$local_part} {alice : bill : charlotte : dave} {$value}}
+.endd
+can be used for de-tainting.
+Any previous &$value$& is restored after the if.
+.wen
+
 Note that <&'string2'&> is not itself subject to string expansion, unless
 Exim was built with the EXPAND_LISTMATCH_RHS option.
 
 Note that <&'string2'&> is not itself subject to string expansion, unless
 Exim was built with the EXPAND_LISTMATCH_RHS option.
 
@@ -12044,8 +12154,9 @@ matched using &%match_ip%&.
 .cindex "&%pam%& expansion condition"
 &'Pluggable Authentication Modules'&
 (&url(https://mirrors.edge.kernel.org/pub/linux/libs/pam/)) are a facility that is
 .cindex "&%pam%& expansion condition"
 &'Pluggable Authentication Modules'&
 (&url(https://mirrors.edge.kernel.org/pub/linux/libs/pam/)) are a facility that is
-available in the latest releases of Solaris and in some GNU/Linux
-distributions. The Exim support, which is intended for use in conjunction with
+available in Solaris
+and in some GNU/Linux distributions.
+The Exim support, which is intended for use in conjunction with
 the SMTP AUTH command, is available only if Exim is compiled with
 .code
 SUPPORT_PAM=yes
 the SMTP AUTH command, is available only if Exim is compiled with
 .code
 SUPPORT_PAM=yes
@@ -12270,8 +12381,8 @@ this variable has the number of arguments.
 .vitem &$acl_verify_message$&
 .vindex "&$acl_verify_message$&"
 After an address verification has failed, this variable contains the failure
 .vitem &$acl_verify_message$&
 .vindex "&$acl_verify_message$&"
 After an address verification has failed, this variable contains the failure
-message. It retains its value for use in subsequent modifiers. The message can
-be preserved by coding like this:
+message. It retains its value for use in subsequent modifiers of the verb.
+The message can be preserved by coding like this:
 .code
 warn !verify = sender
      set acl_m0 = $acl_verify_message
 .code
 warn !verify = sender
      set acl_m0 = $acl_verify_message
@@ -12279,6 +12390,7 @@ warn !verify = sender
 You can use &$acl_verify_message$& during the expansion of the &%message%& or
 &%log_message%& modifiers, to include information about the verification
 failure.
 You can use &$acl_verify_message$& during the expansion of the &%message%& or
 &%log_message%& modifiers, to include information about the verification
 failure.
+&*Note*&: The variable is cleared at the end of processing the ACL verb.
 
 .vitem &$address_data$&
 .vindex "&$address_data$&"
 
 .vitem &$address_data$&
 .vindex "&$address_data$&"
@@ -12326,7 +12438,7 @@ to the relevant file.
 When, as a result of aliasing or forwarding, a message is directed to a pipe,
 this variable holds the pipe command when the transport is running.
 
 When, as a result of aliasing or forwarding, a message is directed to a pipe,
 this variable holds the pipe command when the transport is running.
 
-.vitem "&$auth1$& &-- &$auth3$&"
+.vitem "&$auth1$& &-- &$auth4$&"
 .vindex "&$auth1$&, &$auth2$&, etc"
 These variables are used in SMTP authenticators (see chapters
 &<<CHAPplaintext>>&&--&<<CHAPtlsauth>>&). Elsewhere, they are empty.
 .vindex "&$auth1$&, &$auth2$&, etc"
 These variables are used in SMTP authenticators (see chapters
 &<<CHAPplaintext>>&&--&<<CHAPtlsauth>>&). Elsewhere, they are empty.
@@ -12582,14 +12694,12 @@ Often &$domain_data$& is usable in this role.
 .vitem &$domain_data$&
 .vindex "&$domain_data$&"
 When the &%domains%& condition on a router
 .vitem &$domain_data$&
 .vindex "&$domain_data$&"
 When the &%domains%& condition on a router
-.new
 or an ACL
 matches a domain
 against a list, the match value is copied to &$domain_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
 or an ACL
 matches a domain
 against a list, the match value is copied to &$domain_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
-.wen
 
 If the router routes the
 address to a transport, the value is available in that transport. If the
 
 If the router routes the
 address to a transport, the value is available in that transport. If the
@@ -12737,13 +12847,11 @@ option in the &(appendfile)& transport. The variable contains the inode number
 of the temporary file which is about to be renamed. It can be used to construct
 a unique name for the file.
 
 of the temporary file which is about to be renamed. It can be used to construct
 a unique name for the file.
 
-.vitem &$interface_address$&
+.vitem &$interface_address$& &&&
+       &$interface_port$&
 .vindex "&$interface_address$&"
 .vindex "&$interface_address$&"
-This is an obsolete name for &$received_ip_address$&.
-
-.vitem &$interface_port$&
 .vindex "&$interface_port$&"
 .vindex "&$interface_port$&"
-This is an obsolete name for &$received_port$&.
+These are obsolete names for &$received_ip_address$& and &$received_port$&.
 
 .vitem &$item$&
 .vindex "&$item$&"
 
 .vitem &$item$&
 .vindex "&$item$&"
@@ -12832,12 +12940,10 @@ to process local parts in a case-dependent manner in a router, you can set the
 .vindex "&$local_part_data$&"
 When the &%local_parts%& condition on a router or ACL
 matches a local part list
 .vindex "&$local_part_data$&"
 When the &%local_parts%& condition on a router or ACL
 matches a local part list
-.new
 the match value is copied to &$local_part_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
 the match value is copied to &$local_part_data$&.
 This is an enhancement over previous versions of Exim, when it only
 applied to the data read by a lookup.
 For details on match values see section &<<SECTlistresults>>& et. al.
-.wen
 
 The &%check_local_user%& router option also sets this variable.
 
 
 The &%check_local_user%& router option also sets this variable.
 
@@ -12933,7 +13039,7 @@ when the ACL &%malware%& condition is true (see section &<<SECTscanvirus>>&).
 This variable contains the number of bytes in the longest line that was
 received as part of the message, not counting the line termination
 character(s).
 This variable contains the number of bytes in the longest line that was
 received as part of the message, not counting the line termination
 character(s).
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &$message_age$&
 .cindex "message" "age of"
 
 .vitem &$message_age$&
 .cindex "message" "age of"
@@ -12977,7 +13083,7 @@ separates the body from the header. Newlines are included in the count. See
 also &$message_size$&, &$body_linecount$&, and &$body_zerocount$&.
 
 If the spool file is wireformat
 also &$message_size$&, &$body_linecount$&, and &$body_zerocount$&.
 
 If the spool file is wireformat
-(see the &%spool_files_wireformat%& main option)
+(see the &%spool_wireformat%& main option)
 the CRLF line-terminators are included in the count.
 
 .vitem &$message_exim_id$&
 the CRLF line-terminators are included in the count.
 
 .vitem &$message_exim_id$&
@@ -13030,7 +13136,7 @@ deny condition = \
 In the MAIL and RCPT ACLs, the value is zero because at that stage the
 message has not yet been received.
 
 In the MAIL and RCPT ACLs, the value is zero because at that stage the
 message has not yet been received.
 
-This variable is not valid if the &%spool_files_wireformat%& option is used.
+This variable is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &$message_size$&
 .cindex "size" "of message"
 
 .vitem &$message_size$&
 .cindex "size" "of message"
@@ -13050,7 +13156,22 @@ While running a per message ACL (mail/rcpt/predata), &$message_size$&
 contains the size supplied on the MAIL command, or -1 if no size was given. The
 value may not, of course, be truthful.
 
 contains the size supplied on the MAIL command, or -1 if no size was given. The
 value may not, of course, be truthful.
 
-.vitem &$mime_$&&'xxx'&
+.vitem &$mime_anomaly_level$& &&&
+       &$mime_anomaly_text$& &&&
+       &$mime_boundary$& &&&
+       &$mime_charset$& &&&
+       &$mime_content_description$& &&&
+       &$mime_content_disposition$& &&&
+       &$mime_content_id$& &&&
+       &$mime_content_size$& &&&
+       &$mime_content_transfer_encoding$& &&&
+       &$mime_content_type$& &&&
+       &$mime_decoded_filename$& &&&
+       &$mime_filename$& &&&
+       &$mime_is_coverletter$& &&&
+       &$mime_is_multipart$& &&&
+       &$mime_is_rfc822$& &&&
+       &$mime_part_count$&
 A number of variables whose names start with &$mime$& are
 available when Exim is compiled with the content-scanning extension. For
 details, see section &<<SECTscanmimepart>>&.
 A number of variables whose names start with &$mime$& are
 available when Exim is compiled with the content-scanning extension. For
 details, see section &<<SECTscanmimepart>>&.
@@ -13163,18 +13284,10 @@ For details see chapter &<<SECTproxyInbound>>&.
 This variable is set to &"yes"& if PRDR was requested by the client for the
 current message, otherwise &"no"&.
 
 This variable is set to &"yes"& if PRDR was requested by the client for the
 current message, otherwise &"no"&.
 
-.vitem &$prvscheck_address$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
-which is described in sections &<<SECTexpansionitems>>& and
-&<<SECTverifyPRVS>>&.
-
-.vitem &$prvscheck_keynum$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
-which is described in sections &<<SECTexpansionitems>>& and
-&<<SECTverifyPRVS>>&.
-
-.vitem &$prvscheck_result$&
-This variable is used in conjunction with the &%prvscheck%& expansion item,
+.vitem &$prvscheck_address$& &&&
+       &$prvscheck_keynum$& &&&
+       &$prvscheck_result$&
+These variables are used in conjunction with the &%prvscheck%& expansion item,
 which is described in sections &<<SECTexpansionitems>>& and
 &<<SECTverifyPRVS>>&.
 
 which is described in sections &<<SECTexpansionitems>>& and
 &<<SECTverifyPRVS>>&.
 
@@ -13243,11 +13356,13 @@ variable contains that address when the &'Received:'& header line is being
 built. The value is copied after recipient rewriting has happened, but before
 the &[local_scan()]& function is run.
 
 built. The value is copied after recipient rewriting has happened, but before
 the &[local_scan()]& function is run.
 
-.vitem &$received_ip_address$&
+.vitem &$received_ip_address$& &&&
+       &$received_port$&
 .vindex "&$received_ip_address$&"
 .vindex "&$received_ip_address$&"
-As soon as an Exim server starts processing an incoming TCP/IP connection, this
-variable is set to the address of the local IP interface, and &$received_port$&
-is set to the local port number. (The remote IP address and port are in
+.vindex "&$received_port$&"
+As soon as an Exim server starts processing an incoming TCP/IP connection, these
+variables are set to the address and port on the local IP interface.
+(The remote IP address and port are in
 &$sender_host_address$& and &$sender_host_port$&.) When testing with &%-bh%&,
 the port value is -1 unless it has been set using the &%-oMi%& command line
 option.
 &$sender_host_address$& and &$sender_host_port$&.) When testing with &%-bh%&,
 the port value is -1 unless it has been set using the &%-oMi%& command line
 option.
@@ -13260,10 +13375,6 @@ messages that are received, thus making these variables available at delivery
 time.
 For outbound connections see &$sending_ip_address$&.
 
 time.
 For outbound connections see &$sending_ip_address$&.
 
-.vitem &$received_port$&
-.vindex "&$received_port$&"
-See &$received_ip_address$&.
-
 .vitem &$received_protocol$&
 .vindex "&$received_protocol$&"
 When a message is being processed, this variable contains the name of the
 .vitem &$received_protocol$&
 .vindex "&$received_protocol$&"
 When a message is being processed, this variable contains the name of the
@@ -13906,14 +14017,12 @@ If certificate verification fails it may refer to a failing chain element
 which is not the leaf.
 
 
 which is not the leaf.
 
 
-.new
 .vitem &$tls_in_resumption$& &&&
        &$tls_out_resumption$&
 .vindex &$tls_in_resumption$&
 .vindex &$tls_out_resumption$&
 .cindex TLS resumption
 Observability for TLS session resumption.  See &<<SECTresumption>>& for details.
 .vitem &$tls_in_resumption$& &&&
        &$tls_out_resumption$&
 .vindex &$tls_in_resumption$&
 .vindex &$tls_out_resumption$&
 .cindex TLS resumption
 Observability for TLS session resumption.  See &<<SECTresumption>>& for details.
-.wen
 
 
 .vitem &$tls_in_sni$&
 
 
 .vitem &$tls_in_sni$&
@@ -14099,9 +14208,7 @@ taint mode of the Perl interpreter. You are encouraged to set this
 option to a true value. To avoid breaking existing installations, it
 defaults to false.
 
 option to a true value. To avoid breaking existing installations, it
 defaults to false.
 
-.new
 &*Note*&: This is entirely separate from Exim's tainted-data tracking.
 &*Note*&: This is entirely separate from Exim's tainted-data tracking.
-.wen
 
 
 .section "Calling Perl subroutines" "SECID86"
 
 
 .section "Calling Perl subroutines" "SECID86"
@@ -14537,9 +14644,11 @@ listed in more than one group.
 
 .section "Miscellaneous" "SECID96"
 .table2
 
 .section "Miscellaneous" "SECID96"
 .table2
+.row &%add_environment%&             "environment variables"
 .row &%bi_command%&                  "to run for &%-bi%& command line option"
 .row &%debug_store%&                 "do extra internal checks"
 .row &%disable_ipv6%&                "do no IPv6 processing"
 .row &%bi_command%&                  "to run for &%-bi%& command line option"
 .row &%debug_store%&                 "do extra internal checks"
 .row &%disable_ipv6%&                "do no IPv6 processing"
+.row &%keep_environment%&            "environment variables"
 .row &%keep_malformed%&              "for broken files &-- should not happen"
 .row &%localhost_number%&            "for unique message ids in clusters"
 .row &%message_body_newlines%&       "retain newlines in &$message_body$&"
 .row &%keep_malformed%&              "for broken files &-- should not happen"
 .row &%localhost_number%&            "for unique message ids in clusters"
 .row &%message_body_newlines%&       "retain newlines in &$message_body$&"
@@ -14660,6 +14769,7 @@ listed in more than one group.
 .row &%notifier_socket%&             "override compiled-in value"
 .row &%pid_file_path%&               "override compiled-in value"
 .row &%queue_run_max%&               "maximum simultaneous queue runners"
 .row &%notifier_socket%&             "override compiled-in value"
 .row &%pid_file_path%&               "override compiled-in value"
 .row &%queue_run_max%&               "maximum simultaneous queue runners"
+.row &%smtp_backlog_monitor%&        "level to log listen backlog"
 .endtable
 
 
 .endtable
 
 
@@ -14760,8 +14870,10 @@ listed in more than one group.
 .table2
 .row &%gnutls_compat_mode%&          "use GnuTLS compatibility mode"
 .row &%gnutls_allow_auto_pkcs11%&    "allow GnuTLS to autoload PKCS11 modules"
 .table2
 .row &%gnutls_compat_mode%&          "use GnuTLS compatibility mode"
 .row &%gnutls_allow_auto_pkcs11%&    "allow GnuTLS to autoload PKCS11 modules"
+.row &%hosts_require_alpn%&          "mandatory ALPN"
 .row &%openssl_options%&             "adjust OpenSSL compatibility options"
 .row &%tls_advertise_hosts%&         "advertise TLS to these hosts"
 .row &%openssl_options%&             "adjust OpenSSL compatibility options"
 .row &%tls_advertise_hosts%&         "advertise TLS to these hosts"
+.row &%tls_alpn%&                   "acceptable protocol names"
 .row &%tls_certificate%&             "location of server certificate"
 .row &%tls_crl%&                     "certificate revocation list"
 .row &%tls_dh_max_bits%&             "clamp D-H bit count suggestion"
 .row &%tls_certificate%&             "location of server certificate"
 .row &%tls_crl%&                     "certificate revocation list"
 .row &%tls_dh_max_bits%&             "clamp D-H bit count suggestion"
@@ -15146,7 +15258,6 @@ domains (defined in the named domain list &%local_domains%& in the default
 configuration). This &"magic string"& matches the domain literal form of all
 the local host's IP addresses.
 
 configuration). This &"magic string"& matches the domain literal form of all
 the local host's IP addresses.
 
-
 .option allow_mx_to_ip main boolean false
 .cindex "MX record" "pointing to IP address"
 It appears that more and more DNS zone administrators are breaking the rules
 .option allow_mx_to_ip main boolean false
 .cindex "MX record" "pointing to IP address"
 It appears that more and more DNS zone administrators are breaking the rules
@@ -15807,8 +15918,8 @@ described in section &<<SECTlineendings>>&.
 .cindex "ESMTP extensions" DSN
 DSN extensions (RFC3461) will be advertised in the EHLO message to,
 and accepted from, these hosts.
 .cindex "ESMTP extensions" DSN
 DSN extensions (RFC3461) will be advertised in the EHLO message to,
 and accepted from, these hosts.
-Hosts may use the NOTIFY and ENVID options on RCPT TO commands,
-and RET and ORCPT options on MAIL FROM commands.
+Hosts may use the NOTIFY and ORCPT options on RCPT TO commands,
+and RET and ENVID options on MAIL FROM commands.
 A NOTIFY=SUCCESS option requests success-DSN messages.
 A NOTIFY= option with no argument requests that no delay or failure DSNs
 are sent.
 A NOTIFY=SUCCESS option requests success-DSN messages.
 A NOTIFY= option with no argument requests that no delay or failure DSNs
 are sent.
@@ -16250,6 +16361,18 @@ hosts_connection_nolog = :
 If the &%smtp_connection%& log selector is not set, this option has no effect.
 
 
 If the &%smtp_connection%& log selector is not set, this option has no effect.
 
 
+.option hosts_require_alpn main "host list&!!" unset
+.cindex ALPN "require negotiation in server"
+.cindex TLS ALPN
+.cindex TLS "Application Layer Protocol Names"
+If the TLS library supports ALPN
+then a successful negotiation of ALPN will be required for any client
+matching the list, for TLS to be used.
+See also the &%tls_alpn%& option.
+
+&*Note*&: prevention of fallback to in-clear connection is not
+managed by this option, and should be done separately.
+
 
 .option hosts_proxy main "host list&!!" unset
 .cindex proxy "proxy protocol"
 
 .option hosts_proxy main "host list&!!" unset
 .cindex proxy "proxy protocol"
@@ -16787,14 +16910,11 @@ The option is expanded before use.
 If the platform supports Linux-style abstract socket names, the result
 is used with a nul byte prefixed.
 Otherwise,
 If the platform supports Linux-style abstract socket names, the result
 is used with a nul byte prefixed.
 Otherwise,
-.new "if nonempty,"
 it should be a full path name and use a directory accessible
 to Exim.
 
 it should be a full path name and use a directory accessible
 to Exim.
 
-.new
 If this option is set as empty,
 or the command line &%-oY%& option is used, or
 If this option is set as empty,
 or the command line &%-oY%& option is used, or
-.wen
 the command line uses a &%-oX%& option and does not use &%-oP%&,
 then a notifier socket is not created.
 
 the command line uses a &%-oX%& option and does not use &%-oP%&,
 then a notifier socket is not created.
 
@@ -16992,9 +17112,7 @@ When used, the pipelining saves on roundtrip times.
 
 See also the &%hosts_pipe_connect%& smtp transport option.
 
 
 See also the &%hosts_pipe_connect%& smtp transport option.
 
-.new
 The SMTP service extension keyword advertised is &"PIPE_CONNECT"&.
 The SMTP service extension keyword advertised is &"PIPE_CONNECT"&.
-.wen
 
 
 .option prdr_enable main boolean false
 
 
 .option prdr_enable main boolean false
@@ -17075,12 +17193,10 @@ admin user unless &%prod_requires_admin%& is set false. See also
 &%queue_list_requires_admin%& and &%commandline_checks_require_admin%&.
 
 
 &%queue_list_requires_admin%& and &%commandline_checks_require_admin%&.
 
 
-.new
 .option proxy_protocol_timeout main time 3s
 .cindex proxy "proxy protocol"
 This option sets the timeout for proxy protocol negotiation.
 For details see section &<<SECTproxyInbound>>&.
 .option proxy_protocol_timeout main time 3s
 .cindex proxy "proxy protocol"
 This option sets the timeout for proxy protocol negotiation.
 For details see section &<<SECTproxyInbound>>&.
-.wen
 
 
 .option qualify_domain main string "see below"
 
 
 .option qualify_domain main string "see below"
@@ -17118,7 +17234,6 @@ domains that do not match are processed. All other deliveries wait until the
 next queue run. See also &%hold_domains%& and &%queue_smtp_domains%&.
 
 
 next queue run. See also &%hold_domains%& and &%queue_smtp_domains%&.
 
 
-.new
 .option queue_fast_ramp main boolean false
 .cindex "queue runner" "two phase"
 .cindex "queue" "double scanning"
 .option queue_fast_ramp main boolean false
 .cindex "queue runner" "two phase"
 .cindex "queue" "double scanning"
@@ -17126,7 +17241,6 @@ If set to true, two-phase queue runs, initiated using &%-qq%& on the
 command line, may start parallel delivery processes during their first
 phase.  This will be done when a threshold number of messages have been
 routed for a single host.
 command line, may start parallel delivery processes during their first
 phase.  This will be done when a threshold number of messages have been
 routed for a single host.
-.wen
 
 
 .option queue_list_requires_admin main boolean true
 
 
 .option queue_list_requires_admin main boolean true
@@ -17340,7 +17454,7 @@ or if the message was submitted locally (not using TCP/IP), and the &%-bnq%&
 option was not set.
 
 
 option was not set.
 
 
-.option recipients_max main integer 0
+.option recipients_max main integer 50000
 .cindex "limit" "number of recipients"
 .cindex "recipient" "maximum number"
 If this option is set greater than zero, it specifies the maximum number of
 .cindex "limit" "number of recipients"
 .cindex "recipient" "maximum number"
 If this option is set greater than zero, it specifies the maximum number of
@@ -17556,7 +17670,7 @@ live with.
 . searchable.  NM changed this occurrence for bug 1197 to no longer allow
 . the option name to split.
 
 . searchable.  NM changed this occurrence for bug 1197 to no longer allow
 . the option name to split.
 
-.option "smtp_accept_max_per_connection" main integer 1000 &&&
+.option "smtp_accept_max_per_connection" main integer&!! 1000 &&&
          smtp_accept_max_per_connection
 .cindex "SMTP" "limiting incoming message count"
 .cindex "limit" "messages per SMTP connection"
          smtp_accept_max_per_connection
 .cindex "SMTP" "limiting incoming message count"
 .cindex "limit" "messages per SMTP connection"
@@ -17566,6 +17680,9 @@ results in the transfer of a message. After the limit is reached, a 421
 response is given to subsequent MAIL commands. This limit is a safety
 precaution against a client that goes mad (incidents of this type have been
 seen).
 response is given to subsequent MAIL commands. This limit is a safety
 precaution against a client that goes mad (incidents of this type have been
 seen).
+The option is expanded after the HELO or EHLO is received
+and may depend on values available at that time.
+An empty or zero value after expansion removes the limit.
 
 
 .option smtp_accept_max_per_host main string&!! unset
 
 
 .option smtp_accept_max_per_host main string&!! unset
@@ -17673,6 +17790,14 @@ messages, it is also used as the default for HELO commands in callout
 verification if there is no remote transport from which to obtain a
 &%helo_data%& value.
 
 verification if there is no remote transport from which to obtain a
 &%helo_data%& value.
 
+.option smtp_backlog_monitor main integer 0
+.cindex "connection backlog" monitoring
+If this option is set to greater than zero, and the backlog of available
+TCP connections on a socket listening for SMTP is larger than it, a line
+is logged giving the value and the socket address and port.
+The value is retrived jsut before an accept call.
+This facility is only available on Linux.
+
 .option smtp_banner main string&!! "see below"
 .cindex "SMTP" "welcome banner"
 .cindex "banner for SMTP"
 .option smtp_banner main string&!! "see below"
 .cindex "SMTP" "welcome banner"
 .cindex "banner for SMTP"
@@ -17703,7 +17828,7 @@ is zero). If there isn't enough space, a temporary error code is returned.
 
 
 .option smtp_connect_backlog main integer 20
 
 
 .option smtp_connect_backlog main integer 20
-.cindex "connection backlog"
+.cindex "connection backlog" "set maximum"
 .cindex "SMTP" "connection backlog"
 .cindex "backlog of connections"
 This option specifies a maximum number of waiting SMTP connections. Exim passes
 .cindex "SMTP" "connection backlog"
 .cindex "backlog of connections"
 This option specifies a maximum number of waiting SMTP connections. Exim passes
@@ -18263,7 +18388,18 @@ using the &%tls_certificate%& option.  If TLS support for incoming connections
 is not required the &%tls_advertise_hosts%& option should be set empty.
 
 
 is not required the &%tls_advertise_hosts%& option should be set empty.
 
 
-.option tls_certificate main string list&!! unset
+.option tls_alpn main "string list&!!" "smtp : esmtp"
+.cindex TLS "Application Layer Protocol Names"
+.cindex TLS ALPN
+.cindex ALPN "set acceptable names for server"
+If this option is set,
+the TLS library supports ALPN,
+and the client offers either more than
+ALPN name or a name which does not match the list,
+the TLS connection is declined.
+
+
+.option tls_certificate main "string list&!!" unset
 .cindex "TLS" "server certificate; location of"
 .cindex "certificate" "server, location of"
 The value of this option is expanded, and must then be a list of absolute paths to
 .cindex "TLS" "server certificate; location of"
 .cindex "certificate" "server, location of"
 The value of this option is expanded, and must then be a list of absolute paths to
@@ -18292,8 +18428,10 @@ if the OpenSSL build supports TLS extensions and the TLS client sends the
 Server Name Indication extension, then this option and others documented in
 &<<SECTtlssni>>& will be re-expanded.
 
 Server Name Indication extension, then this option and others documented in
 &<<SECTtlssni>>& will be re-expanded.
 
-If this option is unset or empty a fresh self-signed certificate will be
-generated for every connection.
+If this option is unset or empty a self-signed certificate will be
+used.
+Under Linux this is generated at daemon startup; on other platforms it will be
+generated fresh for every connection.
 
 .option tls_crl main string&!! unset
 .cindex "TLS" "server certificate revocation list"
 
 .option tls_crl main string&!! unset
 .cindex "TLS" "server certificate revocation list"
@@ -18336,12 +18474,7 @@ larger prime than requested.
 The value of this option is expanded and indicates the source of DH parameters
 to be used by Exim.
 
 The value of this option is expanded and indicates the source of DH parameters
 to be used by Exim.
 
-This option is ignored for GnuTLS version 3.6.0 and later.
-The library manages parameter negotiation internally.
-
-&*Note: The Exim Maintainers strongly recommend,
-for other TLS library versions,
-using a filename with site-generated
+&*Note: The Exim Maintainers strongly recommend using a filename with site-generated
 local DH parameters*&, which has been supported across all versions of Exim.  The
 other specific constants available are a fallback so that even when
 "unconfigured", Exim can offer Perfect Forward Secrecy in older ciphersuites in TLS.
 local DH parameters*&, which has been supported across all versions of Exim.  The
 other specific constants available are a fallback so that even when
 "unconfigured", Exim can offer Perfect Forward Secrecy in older ciphersuites in TLS.
@@ -18392,8 +18525,17 @@ of the later IKE values, which led into RFC7919 providing new fixed constants
 (the "ffdhe" identifiers).
 
 At this point, all of the "ike" values should be considered obsolete;
 (the "ffdhe" identifiers).
 
 At this point, all of the "ike" values should be considered obsolete;
-they're still in Exim to avoid breaking unusual configurations, but are
+they are still in Exim to avoid breaking unusual configurations, but are
 candidates for removal the next time we have backwards-incompatible changes.
 candidates for removal the next time we have backwards-incompatible changes.
+.new
+Two of them in particular (&`ike1`& and &`ike22`&) are called out by RFC 8247
+as MUST NOT use for IPSEC, and two more (&`ike23`& and &`ike24`&) as
+SHOULD NOT.
+Because of this, Exim regards them as deprecated; if either of the first pair
+are used, warnings will be logged in the paniclog, and if any are used then
+warnings will be logged in the mainlog.
+All four will be removed in a future Exim release.
+.wen
 
 The TLS protocol does not negotiate an acceptable size for this; clients tend
 to hard-drop connections if what is offered by the server is unacceptable,
 
 The TLS protocol does not negotiate an acceptable size for this; clients tend
 to hard-drop connections if what is offered by the server is unacceptable,
@@ -18470,7 +18612,7 @@ further details, see section &<<SECTsupobssmt>>&.
 
 
 
 
 
 
-.option tls_privatekey main string list&!! unset
+.option tls_privatekey main "string list&!!" unset
 .cindex "TLS" "server private key; location of"
 The value of this option is expanded, and must then be a list of absolute paths to
 files which contains the server's private keys.
 .cindex "TLS" "server private key; location of"
 The value of this option is expanded, and must then be a list of absolute paths to
 files which contains the server's private keys.
@@ -18504,12 +18646,10 @@ preference order of the available ciphers. Details are given in sections
 &<<SECTreqciphssl>>& and &<<SECTreqciphgnu>>&.
 
 
 &<<SECTreqciphssl>>& and &<<SECTreqciphgnu>>&.
 
 
-.new
 .option tls_resumption_hosts main "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to offer the TLS resumption feature.
 See &<<SECTresumption>>& for details.
 .option tls_resumption_hosts main "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to offer the TLS resumption feature.
 See &<<SECTresumption>>& for details.
-.wen
 
 
 .option tls_try_verify_hosts main "host list&!!" unset
 
 
 .option tls_try_verify_hosts main "host list&!!" unset
@@ -18568,7 +18708,8 @@ either &%tls_verify_hosts%& or &%tls_try_verify_hosts%& is set and
 Any client that matches &%tls_verify_hosts%& is constrained by
 &%tls_verify_certificates%&. When the client initiates a TLS session, it must
 present one of the listed certificates. If it does not, the connection is
 Any client that matches &%tls_verify_hosts%& is constrained by
 &%tls_verify_certificates%&. When the client initiates a TLS session, it must
 present one of the listed certificates. If it does not, the connection is
-aborted. &*Warning*&: Including a host in &%tls_verify_hosts%& does not require
+aborted.
+&*Warning*&: Including a host in &%tls_verify_hosts%& does not require
 the host to use TLS. It can still send SMTP commands through unencrypted
 connections. Forcing a client to use TLS has to be done separately using an
 ACL to reject inappropriate commands when the connection is not encrypted.
 the host to use TLS. It can still send SMTP commands through unencrypted
 connections. Forcing a client to use TLS has to be done separately using an
 ACL to reject inappropriate commands when the connection is not encrypted.
@@ -18741,6 +18882,9 @@ which the preconditions are tested. The order of expansion of the options that
 provide data for a transport is: &%errors_to%&, &%headers_add%&,
 &%headers_remove%&, &%transport%&.
 
 provide data for a transport is: &%errors_to%&, &%headers_add%&,
 &%headers_remove%&, &%transport%&.
 
+The name of a router is limited to be &drivernamemax; ASCII characters long;
+prior to Exim 4.95 names would be silently truncated at this length, but now
+it is enforced.
 
 
 .option address_data routers string&!! unset
 
 
 .option address_data routers string&!! unset
@@ -18997,7 +19141,7 @@ transport option of the same name.
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_request_domains%& will be done with
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_request_domains%& will be done with
-the dnssec request bit set.
+the DNSSEC request bit set.
 This applies to all of the SRV, MX, AAAA, A lookup sequence.
 
 .option dnssec_require_domains routers "domain list&!!" unset
 This applies to all of the SRV, MX, AAAA, A lookup sequence.
 
 .option dnssec_require_domains routers "domain list&!!" unset
@@ -19006,7 +19150,7 @@ This applies to all of the SRV, MX, AAAA, A lookup sequence.
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_require_domains%& will be done with
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_require_domains%& will be done with
-the dnssec request bit set.  Any returns not having the Authenticated Data bit
+the DNSSEC request bit set.  Any returns not having the Authenticated Data bit
 (AD bit) set will be ignored and logged as a host-lookup failure.
 This applies to all of the SRV, MX, AAAA, A lookup sequence.
 
 (AD bit) set will be ignored and logged as a host-lookup failure.
 This applies to all of the SRV, MX, AAAA, A lookup sequence.
 
@@ -19732,10 +19876,8 @@ Values containing a list-separator should have them doubled.
 When a router runs, the strings are evaluated in order,
 to create variables which are added to the set associated with
 the address.
 When a router runs, the strings are evaluated in order,
 to create variables which are added to the set associated with
 the address.
-.new
 This is done immediately after all the preconditions, before the
 evaluation of the &%address_data%& option.
 This is done immediately after all the preconditions, before the
 evaluation of the &%address_data%& option.
-.wen
 The variable is set with the expansion of the value.
 The variables can be used by the router options
 (not including any preconditions)
 The variable is set with the expansion of the value.
 The variables can be used by the router options
 (not including any preconditions)
@@ -21447,7 +21589,7 @@ The text is not included in the response to an EXPN command. In non-SMTP cases
 the text is included in the error message that Exim generates.
 
 .cindex "SMTP" "error codes"
 the text is included in the error message that Exim generates.
 
 .cindex "SMTP" "error codes"
-By default, Exim sends a 451 SMTP code for a &':defer:'&, and 550 for
+By default for verify, Exim sends a 451 SMTP code for a &':defer:'&, and 550 for
 &':fail:'&. However, if the message starts with three digits followed by a
 space, optionally followed by an extended code of the form &'n.n.n'&, also
 followed by a space, and the very first digit is the same as the default error
 &':fail:'&. However, if the message starts with three digits followed by a
 space, optionally followed by an extended code of the form &'n.n.n'&, also
 followed by a space, and the very first digit is the same as the default error
@@ -22284,6 +22426,10 @@ and &$original_domain$& is never set.
 .scindex IIDgenoptra1 "generic options" "transport"
 .scindex IIDgenoptra2 "options" "generic; for transports"
 .scindex IIDgenoptra3 "transport" "generic options for"
 .scindex IIDgenoptra1 "generic options" "transport"
 .scindex IIDgenoptra2 "options" "generic; for transports"
 .scindex IIDgenoptra3 "transport" "generic options for"
+The name of a transport is limited to be &drivernamemax; ASCII characters long;
+prior to Exim 4.95 names would be silently truncated at this length, but now
+it is enforced.
+
 The following generic options apply to all transports:
 
 
 The following generic options apply to all transports:
 
 
@@ -22353,6 +22499,12 @@ header, Exim has a configuration option (&%envelope_to_remove%&) which requests
 its removal from incoming messages, so that delivered messages can safely be
 resent to other recipients.
 
 its removal from incoming messages, so that delivered messages can safely be
 resent to other recipients.
 
+&*Note:*& If used on a transport handling multiple recipients
+(the smtp transport unless &%rcpt_max%& is 1, the appendfile, pipe or lmtp
+transport if &%batch_max%& is greater than 1)
+then information about Bcc recipients will be leaked.
+Doing so is generally not advised.
+
 
 .option event_action transports string&!! unset
 .cindex events
 
 .option event_action transports string&!! unset
 .cindex events
@@ -22583,7 +22735,7 @@ This defaults to the incoming sender address, but can be changed by setting
 
 
 .option return_path_add transports boolean false
 
 
 .option return_path_add transports boolean false
-.cindex "&'Return-path:'& header line"
+.chindex Return-path:
 If this option is true, a &'Return-path:'& header is added to the message.
 Although the return path is normally available in the prefix line of BSD
 mailboxes, this is commonly not displayed by MUAs, and so the user does not
 If this option is true, a &'Return-path:'& header is added to the message.
 Although the return path is normally available in the prefix line of BSD
 mailboxes, this is commonly not displayed by MUAs, and so the user does not
@@ -22959,6 +23111,11 @@ If &%file%& or &%directory%& is set for a delivery from a redirection, it is
 used to determine the file or directory name for the delivery. Normally, the
 contents of &$address_file$& are used in some way in the string expansion.
 .endlist
 used to determine the file or directory name for the delivery. Normally, the
 contents of &$address_file$& are used in some way in the string expansion.
 .endlist
+If the &%create_file%& option is set to a path which
+matches (see the option definition below for details)
+a file or directory name
+for the delivery, that name becomes de-tainted.
+
 .cindex "tainted data" "in filenames"
 .cindex appendfile "tainted data"
 Tainted data may not be used for a file or directory name.
 .cindex "tainted data" "in filenames"
 .cindex appendfile "tainted data"
 Tainted data may not be used for a file or directory name.
@@ -23107,13 +23264,29 @@ delivery, it applies to the top level directory, not the maildir directories
 beneath.
 
 The option must be set to one of the words &"anywhere"&, &"inhome"&, or
 beneath.
 
 The option must be set to one of the words &"anywhere"&, &"inhome"&, or
-&"belowhome"&. In the second and third cases, a home directory must have been
-set for the transport. This option is not useful when an explicit filename is
+&"belowhome"&, or to an absolute path.
+
+In the second and third cases, a home directory must have been
+set for the transport, and the file or directory being created must
+reside within it.
+The "belowhome" checking additionally checks for attempts to use "../"
+to evade the testing.
+This option is not useful when an explicit filename is
 given for normal mailbox deliveries. It is intended for the case when filenames
 are generated from users' &_.forward_& files. These are usually handled
 by an &(appendfile)& transport called &%address_file%&. See also
 &%file_must_exist%&.
 
 given for normal mailbox deliveries. It is intended for the case when filenames
 are generated from users' &_.forward_& files. These are usually handled
 by an &(appendfile)& transport called &%address_file%&. See also
 &%file_must_exist%&.
 
+In the fourth case,
+the value given for this option must be an absolute path for an
+existing directory.
+The value is used for checking instead of a home directory;
+checking is done in "belowhome" mode.
+
+.cindex "tainted data" "de-tainting"
+If "belowhome" checking is used, the file or directory path
+becomes de-tainted.
+
 
 .option directory appendfile string&!! unset
 This option is mutually exclusive with the &%file%& option, but one of &%file%&
 
 .option directory appendfile string&!! unset
 This option is mutually exclusive with the &%file%& option, but one of &%file%&
@@ -23126,6 +23299,9 @@ appended to a single mailbox file. A number of different formats are provided
 (see &%maildir_format%& and &%mailstore_format%&), and see section
 &<<SECTopdir>>& for further details of this form of delivery.
 
 (see &%maildir_format%& and &%mailstore_format%&), and see section
 &<<SECTopdir>>& for further details of this form of delivery.
 
+The result of expansion must not be tainted, unless the &%create_file%& option
+specifies a path.
+
 
 .option directory_file appendfile string&!! "see below"
 .cindex "base62"
 
 .option directory_file appendfile string&!! "see below"
 .cindex "base62"
@@ -23158,6 +23334,9 @@ specifies a single file, to which the message is appended. One or more of
 &%use_fcntl_lock%&, &%use_flock_lock%&, or &%use_lockfile%& must be set with
 &%file%&.
 
 &%use_fcntl_lock%&, &%use_flock_lock%&, or &%use_lockfile%& must be set with
 &%file%&.
 
+The result of expansion must not be tainted, unless the &%create_file%& option
+specifies a path.
+
 .cindex "NFS" "lock file"
 .cindex "locking files"
 .cindex "lock files"
 .cindex "NFS" "lock file"
 .cindex "locking files"
 .cindex "lock files"
@@ -25162,7 +25341,7 @@ of the message. Its value must not be zero. See also &%final_timeout%&.
 
 .option dkim_canon smtp string&!! unset
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
 
 .option dkim_canon smtp string&!! unset
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
-.option dkim_domain smtp string list&!! unset
+.option dkim_domain smtp "string list&!!" unset
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
 .option dkim_hash smtp string&!! sha256
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
 .option dkim_hash smtp string&!! sha256
 DKIM signing option.  For details see section &<<SECDKIMSIGN>>&.
@@ -25225,7 +25404,7 @@ details.
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_request_domains%& will be done with
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_request_domains%& will be done with
-the dnssec request bit set. Setting this transport option is only useful if the
+the DNSSEC request bit set. Setting this transport option is only useful if the
 transport overrides or sets the host names. See the &%dnssec_request_domains%&
 router option.
 
 transport overrides or sets the host names. See the &%dnssec_request_domains%&
 router option.
 
@@ -25237,7 +25416,7 @@ router option.
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_require_domains%& will be done with
 .cindex "security" "MX lookup"
 .cindex "DNS" "DNSSEC"
 DNS lookups for domains matching &%dnssec_require_domains%& will be done with
-the dnssec request bit set.  Setting this transport option is only
+the DNSSEC request bit set.  Setting this transport option is only
 useful if the transport overrides or sets the host names. See the
 &%dnssec_require_domains%& router option.
 
 useful if the transport overrides or sets the host names. See the
 &%dnssec_require_domains%& router option.
 
@@ -25513,16 +25692,33 @@ Exim will request a Certificate Status on a
 TLS session for any host that matches this list.
 &%tls_verify_certificates%& should also be set for the transport.
 
 TLS session for any host that matches this list.
 &%tls_verify_certificates%& should also be set for the transport.
 
+.option hosts_require_alpn smtp "host list&!!" unset
+.cindex ALPN "require negotiation in client"
+.cindex TLS ALPN
+.cindex TLS "Application Layer Protocol Names"
+If the TLS library supports ALPN
+then a successful negotiation of ALPN will be required for any host
+matching the list, for TLS to be used.
+See also the &%tls_alpn%& option.
+
+&*Note*&: prevention of fallback to in-clear connection is not
+managed by this option; see &%hosts_require_tls%&.
+
 .option hosts_require_dane smtp "host list&!!" unset
 .cindex DANE "transport options"
 .cindex DANE "requiring for certain servers"
 If built with DANE support, Exim  will require that a DNSSEC-validated
 TLSA record is present for any host matching the list,
 .option hosts_require_dane smtp "host list&!!" unset
 .cindex DANE "transport options"
 .cindex DANE "requiring for certain servers"
 If built with DANE support, Exim  will require that a DNSSEC-validated
 TLSA record is present for any host matching the list,
-and that a DANE-verified TLS connection is made. See
-the &%dnssec_request_domains%& router and transport options.
+and that a DANE-verified TLS connection is made.
 There will be no fallback to in-clear communication.
 There will be no fallback to in-clear communication.
+See the &%dnssec_request_domains%& router and transport options.
 See section &<<SECDANE>>&.
 
 See section &<<SECDANE>>&.
 
+.option hosts_require_helo smtp "host list&!!" *
+.cindex "HELO/EHLO" requiring
+Exim will require an accepted HELO or EHLO command from a host matching
+this list, before accepting a MAIL command.
+
 .option hosts_require_ocsp smtp "host list&!!" unset
 .cindex "TLS" "requiring for certain servers"
 Exim will request, and check for a valid Certificate Status being given, on a
 .option hosts_require_ocsp smtp "host list&!!" unset
 .cindex "TLS" "requiring for certain servers"
 Exim will request, and check for a valid Certificate Status being given, on a
@@ -25541,9 +25737,7 @@ incoming messages, use an appropriate ACL.
 This option provides a list of servers to which, provided they announce
 authentication support, Exim will attempt to authenticate as a client when it
 connects. If authentication fails
 This option provides a list of servers to which, provided they announce
 authentication support, Exim will attempt to authenticate as a client when it
 connects. If authentication fails
-.new
 and &%hosts_require_auth%& permits,
 and &%hosts_require_auth%& permits,
-.wen
 Exim will try to transfer the message unauthenticated.
 See also chapter &<<CHAPSMTPAUTH>>& for details of authentication.
 
 Exim will try to transfer the message unauthenticated.
 See also chapter &<<CHAPSMTPAUTH>>& for details of authentication.
 
@@ -25559,11 +25753,12 @@ BDAT will not be used in conjunction with a transport filter.
 .option hosts_try_dane smtp "host list&!!" *
 .cindex DANE "transport options"
 .cindex DANE "attempting for certain servers"
 .option hosts_try_dane smtp "host list&!!" *
 .cindex DANE "transport options"
 .cindex DANE "attempting for certain servers"
-If built with DANE support, Exim  will require that a DNSSEC-validated
-TLSA record is present for any host matching the list,
-and that a DANE-verified TLS connection is made. See
-the &%dnssec_request_domains%& router and transport options.
-There will be no fallback to in-clear communication.
+If built with DANE support, Exim  will look up a
+TLSA record for any host matching the list,
+If one is found and that lookup was DNSSEC-validated,
+then Exim requires that a DANE-verified TLS connection is made for that host;
+there will be no fallback to in-clear communication.
+See the &%dnssec_request_domains%& router and transport options.
 See section &<<SECDANE>>&.
 
 .option hosts_try_fastopen smtp "host list&!!" *
 See section &<<SECDANE>>&.
 
 .option hosts_try_fastopen smtp "host list&!!" *
@@ -25648,10 +25843,9 @@ has advertised support for IGNOREQUOTA in its response to the LHLO command.
 This option limits the number of RCPT commands that are sent in a single
 SMTP message transaction. Each set of addresses is treated independently, and
 so can cause parallel connections to the same host if &%remote_max_parallel%&
 This option limits the number of RCPT commands that are sent in a single
 SMTP message transaction. Each set of addresses is treated independently, and
 so can cause parallel connections to the same host if &%remote_max_parallel%&
-permits this.
+permits this. A value setting of zero disables the limit.
 
 
 
 
-.new
 .option message_linelength_limit smtp integer 998
 .cindex "line length" limit
 This option sets the maximum line length, in bytes, that the transport
 .option message_linelength_limit smtp integer 998
 .cindex "line length" limit
 This option sets the maximum line length, in bytes, that the transport
@@ -25662,7 +25856,6 @@ The default value is that defined by the SMTP standards.
 
 It is generally wise to also check in the data ACL so that messages
 received via SMTP can be refused without producing a bounce.
 
 It is generally wise to also check in the data ACL so that messages
 received via SMTP can be refused without producing a bounce.
-.wen
 
 
 .option multi_domain smtp boolean&!! true
 
 
 .option multi_domain smtp boolean&!! true
@@ -25678,11 +25871,9 @@ It is expanded per-address and can depend on any of
 &$address_data$&, &$domain_data$&, &$local_part_data$&,
 &$host$&, &$host_address$& and &$host_port$&.
 
 &$address_data$&, &$domain_data$&, &$local_part_data$&,
 &$host$&, &$host_address$& and &$host_port$&.
 
-.new
 If the connection is DANE-enabled then this option is ignored;
 only messages having the domain used for the DANE TLSA lookup are
 sent on the connection.
 If the connection is DANE-enabled then this option is ignored;
 only messages having the domain used for the DANE TLSA lookup are
 sent on the connection.
-.wen
 
 .option port smtp string&!! "see below"
 .cindex "port" "sending TCP/IP"
 
 .option port smtp string&!! "see below"
 .cindex "port" "sending TCP/IP"
@@ -25721,7 +25912,7 @@ If this option is set to &"smtps"&, the default value for the &%port%& option
 changes to &"smtps"&, and the transport initiates TLS immediately after
 connecting, as an outbound SSL-on-connect, instead of using STARTTLS to upgrade.
 The Internet standards bodies used to strongly discourage use of this mode,
 changes to &"smtps"&, and the transport initiates TLS immediately after
 connecting, as an outbound SSL-on-connect, instead of using STARTTLS to upgrade.
 The Internet standards bodies used to strongly discourage use of this mode,
-but as of RFC 8314 it is perferred over STARTTLS for message submission
+but as of RFC 8314 it is preferred over STARTTLS for message submission
 (as distinct from MTA-MTA communication).
 
 
 (as distinct from MTA-MTA communication).
 
 
@@ -25788,6 +25979,19 @@ This option enables use of SOCKS proxies for connections made by the
 transport.  For details see section &<<SECTproxySOCKS>>&.
 
 
 transport.  For details see section &<<SECTproxySOCKS>>&.
 
 
+.option tls_alpn smtp string&!! unset
+.cindex TLS "Application Layer Protocol Names"
+.cindex TLS ALPN
+.cindex ALPN "set name in client"
+If this option is set
+and the TLS library supports ALPN,
+the value given is used.
+
+As of writing no value has been standardised for email use.
+The authors suggest using &"smtp"&.
+
+
+
 .option tls_certificate smtp string&!! unset
 .cindex "TLS" "client certificate, location of"
 .cindex "certificate" "client, location of"
 .option tls_certificate smtp string&!! unset
 .cindex "TLS" "client certificate, location of"
 .cindex "certificate" "client, location of"
@@ -25852,12 +26056,10 @@ is used in different ways by OpenSSL and GnuTLS (see sections
 ciphers is a preference order.
 
 
 ciphers is a preference order.
 
 
-.new
 .option tls_resumption_hosts smtp "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to use the TLS resumption feature.
 See &<<SECTresumption>>& for details.
 .option tls_resumption_hosts smtp "host list&!!" unset
 .cindex TLS resumption
 This option controls which connections to use the TLS resumption feature.
 See &<<SECTresumption>>& for details.
-.wen
 
 
 
 
 
 
@@ -25867,9 +26069,7 @@ See &<<SECTresumption>>& for details.
 .cindex SNI "setting in client"
 .vindex "&$tls_sni$&"
 If this option is set
 .cindex SNI "setting in client"
 .vindex "&$tls_sni$&"
 If this option is set
-.new
 and the connection is not DANE-validated
 and the connection is not DANE-validated
-.wen
 then it sets the $tls_out_sni variable and causes any
 TLS session to pass this value as the Server Name Indication extension to
 the remote side, which can be used by the remote side to select an appropriate
 then it sets the $tls_out_sni variable and causes any
 TLS session to pass this value as the Server Name Indication extension to
 the remote side, which can be used by the remote side to select an appropriate
@@ -25964,6 +26164,10 @@ certificate verification must succeed.
 The &%tls_verify_certificates%& option must also be set.
 If both this option and &%tls_try_verify_hosts%& are unset
 operation is as if this option selected all hosts.
 The &%tls_verify_certificates%& option must also be set.
 If both this option and &%tls_try_verify_hosts%& are unset
 operation is as if this option selected all hosts.
+&*Warning*&: Including a host in &%tls_verify_hosts%& does not require
+that connections use TLS.
+Fallback to in-clear communication will be done unless restricted by 
+the &%hosts_require_tls%& option.
 
 .option utf8_downconvert smtp integer&!! -1
 .cindex utf8 "address downconversion"
 
 .option utf8_downconvert smtp integer&!! -1
 .cindex utf8 "address downconversion"
@@ -27082,6 +27286,10 @@ permitted to use it as a relay. SMTP authentication is not of relevance to the
 transfer of mail between servers that have no managerial connection with each
 other.
 
 transfer of mail between servers that have no managerial connection with each
 other.
 
+The name of an authenticator is limited to be &drivernamemax; ASCII characters long;
+prior to Exim 4.95 names would be silently truncated at this length, but now
+it is enforced.
+
 .cindex "AUTH" "description of"
 .cindex "ESMTP extensions" AUTH
 Very briefly, the way SMTP authentication works is as follows:
 .cindex "AUTH" "description of"
 .cindex "ESMTP extensions" AUTH
 Very briefly, the way SMTP authentication works is as follows:
@@ -27824,7 +28032,12 @@ fixed_plain:
   client_send = ^username^mysecret
 .endd
 The lack of colons means that the entire text is sent with the AUTH
   client_send = ^username^mysecret
 .endd
 The lack of colons means that the entire text is sent with the AUTH
-command, with the circumflex characters converted to NULs. A similar example
+command, with the circumflex characters converted to NULs.
+Note that due to the ambiguity of parsing three consectutive circumflex characters
+there is no way to provide a password having a leading circumflex.
+
+
+A similar example
 that uses the LOGIN mechanism is:
 .code
 fixed_login:
 that uses the LOGIN mechanism is:
 .code
 fixed_login:
@@ -28098,7 +28311,7 @@ connection, a client certificate has been verified, the &"valid-client-cert"&
 option is passed. When authentication succeeds, the identity of the user
 who authenticated is placed in &$auth1$&.
 
 option is passed. When authentication succeeds, the identity of the user
 who authenticated is placed in &$auth1$&.
 
-The Dovecot configuration to match the above wil look
+The Dovecot configuration to match the above will look
 something like:
 .code
 conf.d/10-master.conf :-
 something like:
 .code
 conf.d/10-master.conf :-
@@ -28148,6 +28361,10 @@ realease for the SCRAM-SHA-256 method.
 The macro _HAVE_AUTH_GSASL_SCRAM_SHA_256 will be defined
 when this happens.
 
 The macro _HAVE_AUTH_GSASL_SCRAM_SHA_256 will be defined
 when this happens.
 
+To see the list of mechanisms supported by the library run Exim with "auth" debug
+enabled and look for a line containing "GNU SASL supports".
+Note however that some may not have been tested from Exim.
+
 
 .option client_authz gsasl string&!! unset
 This option can be used to supply an &'authorization id'&
 
 .option client_authz gsasl string&!! unset
 This option can be used to supply an &'authorization id'&
@@ -28167,25 +28384,40 @@ the password to be used, in clear.
 This option is exapanded before use, and should result in
 the account name to be used.
 
 This option is exapanded before use, and should result in
 the account name to be used.
 
+
 .option client_spassword gsasl string&!! unset
 .option client_spassword gsasl string&!! unset
+This option is only supported for library versions 1.9.1 and greater.
+The macro _HAVE_AUTH_GSASL_SCRAM_S_KEY will be defined when this is so.
+
 If a SCRAM mechanism is being used and this option is set
 If a SCRAM mechanism is being used and this option is set
+and correctly sized
 it is used in preference to &%client_password%&.
 The value after expansion should be
 a 40 (for SHA-1) or 64 (for SHA-256) character string
 with the PBKDF2-prepared password, hex-encoded.
 it is used in preference to &%client_password%&.
 The value after expansion should be
 a 40 (for SHA-1) or 64 (for SHA-256) character string
 with the PBKDF2-prepared password, hex-encoded.
+
 Note that this value will depend on the salt and iteration-count
 supplied by the server.
 Note that this value will depend on the salt and iteration-count
 supplied by the server.
+The option is expanded before use.
+During the expansion &$auth1$& is set with the client username,
+&$auth2$& with the iteration count, and
+&$auth3$& with the salt.
 
 
+The intent of this option
+is to support clients that can cache thes salted password
+to save on recalculation costs.
+The cache lookup should return an unusable value
+(eg. an empty string)
+if the salt or iteration count has changed
 
 
+If the authentication succeeds then the above variables are set,
+.vindex "&$auth4$&"
+plus the calculated salted password value value in &$auth4$&,
+during the expansion of the &%client_set_id%& option.
+A side-effect of this expansion can be used to prime the cache.
 
 
-.option server_channelbinding gsasl boolean false
-Do not set this true and rely on the properties
-without consulting a cryptographic engineer.
-. Unsure what that's about.  It might be the "Triple Handshake"
-. vulnerability; cf. https://www.mitls.org/pages/attacks/3SHAKE
-. If so, we're ok, requiring Extended Master Secret if TLS
-. Session Resumption was used.
 
 
+.option server_channelbinding gsasl boolean false
 Some authentication mechanisms are able to use external context at both ends
 of the session to bind the authentication to that context, and fail the
 authentication process if that context differs.  Specifically, some TLS
 Some authentication mechanisms are able to use external context at both ends
 of the session to bind the authentication to that context, and fail the
 authentication process if that context differs.  Specifically, some TLS
@@ -28205,9 +28437,14 @@ This defaults off to ensure smooth upgrade across Exim releases, in case
 this option causes some clients to start failing.  Some future release
 of Exim might have switched the default to be true.
 
 this option causes some clients to start failing.  Some future release
 of Exim might have switched the default to be true.
 
-However, Channel Binding in TLS has proven to be vulnerable in current versions.
-Do not plan to rely upon this feature for security, ever, without consulting
-with a subject matter expert (a cryptographic engineer).
+. However, Channel Binding in TLS has proven to be vulnerable in current versions.
+. Do not plan to rely upon this feature for security, ever, without consulting
+. with a subject matter expert (a cryptographic engineer).
+
+This option was deprecated in previous releases due to doubts over
+the "Triple Handshake" vulnerability.
+Exim takes suitable precausions (requiring Extended Master Secret if TLS
+Session Resumption was used) for safety.
 
 
 .option server_hostname gsasl string&!! "see below"
 
 
 .option server_hostname gsasl string&!! "see below"
@@ -28527,7 +28764,7 @@ and for clients to only attempt,
 this authentication method on a secure (eg. under TLS) connection.
 
 One possible use, compatible with the
 this authentication method on a secure (eg. under TLS) connection.
 
 One possible use, compatible with the
-K-9 Mail Andoid client (&url(https://k9mail.github.io/)),
+K-9 Mail Android client (&url(https://k9mail.github.io/)),
 is for using X509 client certificates.
 
 It thus overlaps in function with the TLS authenticator
 is for using X509 client certificates.
 
 It thus overlaps in function with the TLS authenticator
@@ -28880,12 +29117,10 @@ Some other recently added features may only be available in one or the other.
 This should be documented with the feature.  If the documentation does not
 explicitly state that the feature is infeasible in the other TLS
 implementation, then patches are welcome.
 This should be documented with the feature.  If the documentation does not
 explicitly state that the feature is infeasible in the other TLS
 implementation, then patches are welcome.
-.new
 .next
 The output from "exim -bV" will show which (if any) support was included
 in the build.
 Also, the macro "_HAVE_OPENSSL" or "_HAVE_GNUTLS" will be defined.
 .next
 The output from "exim -bV" will show which (if any) support was included
 in the build.
 Also, the macro "_HAVE_OPENSSL" or "_HAVE_GNUTLS" will be defined.
-.wen
 .endlist
 
 
 .endlist
 
 
@@ -29359,7 +29594,6 @@ There is no current way to staple a proof for a client certificate.
 .endd
 
 
 .endd
 
 
-.new
 .section "Caching of static server configuration items" "SECTserverTLScache"
 .cindex certificate caching
 .cindex privatekey caching
 .section "Caching of static server configuration items" "SECTserverTLScache"
 .cindex certificate caching
 .cindex privatekey caching
@@ -29411,7 +29645,6 @@ is acceptable in configurations for the Exim executavble.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 accepted by Exim.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 accepted by Exim.
-.wen
 
 
 
 
 
 
@@ -29483,13 +29716,11 @@ or need not succeed respectively.
 
 The &%tls_verify_cert_hostnames%& option lists hosts for which additional
 name checks are made on the server certificate.
 
 The &%tls_verify_cert_hostnames%& option lists hosts for which additional
 name checks are made on the server certificate.
-.new
 The match against this list is, as per other Exim usage, the
 IP for the host.  That is most closely associated with the
 name on the DNS A (or AAAA) record for the host.
 However, the name that needs to be in the certificate
 is the one at the head of any CNAME chain leading to the A record.
 The match against this list is, as per other Exim usage, the
 IP for the host.  That is most closely associated with the
 name on the DNS A (or AAAA) record for the host.
 However, the name that needs to be in the certificate
 is the one at the head of any CNAME chain leading to the A record.
-.wen
 The option defaults to always checking.
 
 The &(smtp)& transport has two OCSP-related options:
 The option defaults to always checking.
 
 The &(smtp)& transport has two OCSP-related options:
@@ -29537,7 +29768,6 @@ outgoing connection.
 
 
 
 
 
 
-.new
 .section "Caching of static client configuration items" "SECTclientTLScache"
 .cindex certificate caching
 .cindex privatekey caching
 .section "Caching of static client configuration items" "SECTclientTLScache"
 .cindex certificate caching
 .cindex privatekey caching
@@ -29588,7 +29818,6 @@ is acceptable in configurations for the Exim executavble.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 initiated by Exim.
 Caching of the system Certificate Authorities bundle can
 save siginificant time and processing on every TLS connection
 initiated by Exim.
-.wen
 
 
 
 
 
 
@@ -29628,10 +29857,8 @@ nothing more to it.  Choosing a sensible value not derived insecurely is the
 only point of caution.  The &$tls_out_sni$& variable will be set to this string
 for the lifetime of the client connection (including during authentication).
 
 only point of caution.  The &$tls_out_sni$& variable will be set to this string
 for the lifetime of the client connection (including during authentication).
 
-.new
 If DANE validated the connection attempt then the value of the &%tls_sni%& option
 is forced to the domain part of the recipient address.
 If DANE validated the connection attempt then the value of the &%tls_sni%& option
 is forced to the domain part of the recipient address.
-.wen
 
 Except during SMTP client sessions, if &$tls_in_sni$& is set then it is a string
 received from a client.
 
 Except during SMTP client sessions, if &$tls_in_sni$& is set then it is a string
 received from a client.
@@ -29673,6 +29900,33 @@ When Exim is built against GnuTLS, SNI support is available as of GnuTLS
 0.5.10.  (Its presence predates the current API which Exim uses, so if Exim
 built, then you have SNI support).
 
 0.5.10.  (Its presence predates the current API which Exim uses, so if Exim
 built, then you have SNI support).
 
+.cindex TLS ALPN
+.cindex ALPN "general information"
+.cindex TLS "Application Layer Protocol Names"
+There is a TLS feature related to SNI
+called Application Layer Protocol Name (ALPN).
+This is intended to declare, or select, what protocol layer will be using a TLS
+connection.
+The client for the connection proposes a set of protocol names, and
+the server responds with a selected one.
+It is not, as of 2021, commonly used for SMTP connections.
+However, to guard against misirected or malicious use of web clients
+(which often do use ALPN) against MTA ports, Exim by default check that
+there is no incompatible ALPN specified by a client for a TLS connection.
+If there is, the connection is rejected.
+
+As a client Exim does not supply ALPN by default.
+The behaviour of both client and server can be configured using the options
+&%tls_alpn%& and &%hosts_require_alpn%&.
+There are no variables providing observability.
+Some feature-specific logging may appear on denied connections, but this
+depends on the behavious of the peer
+(not all peers can send a feature-specific TLS Alert).
+
+This feature is available when Exim is built with
+OpenSSL 1.1.0 or later or GnuTLS 3.2.0 or later;
+the macro _HAVE_TLS_ALPN will be defined when this is so.
+
 
 
 .section "Multiple messages on the same encrypted TCP/IP connection" &&&
 
 
 .section "Multiple messages on the same encrypted TCP/IP connection" &&&
@@ -29746,7 +30000,7 @@ Ivan is the author of the popular TLS testing tools at
 
 
 .section "Certificate chains" "SECID186"
 
 
 .section "Certificate chains" "SECID186"
-The file named by &%tls_certificate%& may contain more than one
+A file named by &%tls_certificate%& may contain more than one
 certificate. This is useful in the case where the certificate that is being
 sent is validated by an intermediate certificate which the other end does
 not have. Multiple certificates must be in the correct order in the file.
 certificate. This is useful in the case where the certificate that is being
 sent is validated by an intermediate certificate which the other end does
 not have. Multiple certificates must be in the correct order in the file.
@@ -29819,7 +30073,6 @@ Open-source PKI book, available online at
 .ecindex IIDencsmtp2
 
 
 .ecindex IIDencsmtp2
 
 
-.new
 .section "TLS Resumption" "SECTresumption"
 .cindex TLS resumption
 TLS Session Resumption for TLS 1.2 and TLS 1.3 connections can be used (defined
 .section "TLS Resumption" "SECTresumption"
 .cindex TLS resumption
 TLS Session Resumption for TLS 1.2 and TLS 1.3 connections can be used (defined
@@ -29911,7 +30164,6 @@ Issues:
 .endlist
 
 .endlist
 .endlist
 
 .endlist
-.wen
 
 
 .section DANE "SECDANE"
 
 
 .section DANE "SECDANE"
@@ -30054,7 +30306,7 @@ the &%dnssec_request_domains%& router or transport option.
 
 DANE will only be usable if the target host has DNSSEC-secured MX, A and TLSA records.
 
 
 DANE will only be usable if the target host has DNSSEC-secured MX, A and TLSA records.
 
-A TLSA lookup will be done if either of the above options match and the host-lookup succeeded using dnssec.
+A TLSA lookup will be done if either of the above options match and the host-lookup succeeded using DNSSEC.
 If a TLSA lookup is done and succeeds, a DANE-verified TLS connection
 will be required for the host.  If it does not, the host will not
 be used; there is no fallback to non-DANE or non-TLS.
 If a TLSA lookup is done and succeeds, a DANE-verified TLS connection
 will be required for the host.  If it does not, the host will not
 be used; there is no fallback to non-DANE or non-TLS.
@@ -30261,6 +30513,11 @@ accepted by an &%accept%& verb that has a &%message%& modifier, the contents of
 the message override the banner message that is otherwise specified by the
 &%smtp_banner%& option.
 
 the message override the banner message that is otherwise specified by the
 &%smtp_banner%& option.
 
+.new
+For tls-on-connect connections, the ACL is run after the TLS connection
+is accepted (however, &%host_reject_connection%& is tested before).
+.wen
+
 
 .section "The EHLO/HELO ACL" "SECID192"
 .cindex "EHLO" "ACL for"
 
 .section "The EHLO/HELO ACL" "SECID192"
 .cindex "EHLO" "ACL for"
@@ -31189,8 +31446,9 @@ anyway. If the message contains newlines, this gives rise to a multi-line SMTP
 response.
 
 .vindex "&$acl_verify_message$&"
 response.
 
 .vindex "&$acl_verify_message$&"
-For ACLs that are called by an &%acl =%& ACL condition, the message is
-stored in &$acl_verify_message$&, from which the calling ACL may use it.
+While the text is being expanded, the &$acl_verify_message$& variable
+contains any message previously set.
+Afterwards, &$acl_verify_message$& is cleared.
 
 If &%message%& is used on a statement that verifies an address, the message
 specified overrides any message that is generated by the verification process.
 
 If &%message%& is used on a statement that verifies an address, the message
 specified overrides any message that is generated by the verification process.
@@ -31377,12 +31635,43 @@ sender when the destination system is doing content-scan based rejection.
 This control turns on debug logging, almost as though Exim had been invoked
 with &`-d`&, with the output going to a new logfile in the usual logs directory,
 by default called &'debuglog'&.
 This control turns on debug logging, almost as though Exim had been invoked
 with &`-d`&, with the output going to a new logfile in the usual logs directory,
 by default called &'debuglog'&.
-The filename can be adjusted with the &'tag'& option, which
-may access any variables already defined.  The logging may be adjusted with
-the &'opts'& option, which takes the same values as the &`-d`& command-line
-option.
-Logging started this way may be stopped, and the file removed,
-with the &'kill'& option.
+
+.new
+Options are a slash-separated list.
+If an option takes an argument, the option name and argument are separated by
+an equals character.
+Several options are supported:
+.wen
+.display
+tag=<&'suffix'&>         The filename can be adjusted with thise option.
+                    The argument, which may access any variables already defined,
+                     is appended to the default name.
+
+opts=<&'debug&~options'&> The argument specififes what is to be logged,
+                     using the same values as the &`-d`& command-line option.
+
+stop                 Logging started with this control may be
+                     stopped by using this option.
+
+kill                 Logging started with this control may be
+                     stopped by using this option.
+                     Additionally the debug file will be removed,
+                     providing one means for speculative debug tracing.
+
+pretrigger=<&'size'&>    This option specifies a memory buffuer to be used
+                     for pre-trigger debug capture.
+                     Debug lines are recorded in the buffer until
+                     and if) a trigger occurs; at which time they are
+                     dumped to the debug file.  Newer lines displace the
+                     oldest if the buffer is full.  After a trigger,
+                     immediate writes to file are done as normal.
+
+trigger=<&'reason'&>     This option selects cause for the pretrigger buffer
+                     see above) to be copied to file.  A reason of $*now*
+                     take effect immediately; one of &*paniclog*& triggers
+                     on a write to the panic log.
+.endd
+
 Some examples (which depend on variables that don't exist in all
 contexts):
 .code
 Some examples (which depend on variables that don't exist in all
 contexts):
 .code
@@ -31391,6 +31680,8 @@ contexts):
       control = debug/opts=+expand+acl
       control = debug/tag=.$message_exim_id/opts=+expand
       control = debug/kill
       control = debug/opts=+expand+acl
       control = debug/tag=.$message_exim_id/opts=+expand
       control = debug/kill
+      control = debug/opts=+all/pretrigger=1024/trigger=paniclog
+      control = debug/trigger=now
 .endd
 
 
 .endd
 
 
@@ -32021,6 +32312,14 @@ content-scanning extension, and is available only in the DATA, MIME, and
 non-SMTP ACLs. It causes the incoming message to be scanned for a match with
 any of the regular expressions. For details, see chapter &<<CHAPexiscan>>&.
 
 non-SMTP ACLs. It causes the incoming message to be scanned for a match with
 any of the regular expressions. For details, see chapter &<<CHAPexiscan>>&.
 
+.new
+.vitem &*seen&~=&~*&<&'parameters'&>
+.cindex "&%sseen%& ACL condition"
+This condition can be used to test if a situation has been previously met,
+for example for greylisting.
+Details are given in section &<<SECTseen>>&.
+.wen
+
 .vitem &*sender_domains&~=&~*&<&'domain&~list'&>
 .cindex "&%sender_domains%& ACL condition"
 .cindex "sender" "ACL checking"
 .vitem &*sender_domains&~=&~*&<&'domain&~list'&>
 .cindex "&%sender_domains%& ACL condition"
 .cindex "sender" "ACL checking"
@@ -32445,6 +32744,11 @@ Section &<<SECTaddmatcon>>& below describes how you can distinguish between
 different values. Some DNS lists may return more than one address record;
 see section &<<SECThanmuldnsrec>>& for details of how they are checked.
 
 different values. Some DNS lists may return more than one address record;
 see section &<<SECThanmuldnsrec>>& for details of how they are checked.
 
+Values returned by a properly running DBSBL should be in the 127.0.0.0/8
+range. If a DNSBL operator loses control of the domain, lookups on it
+may start returning other addresses.  Because of this, Exim now ignores
+returned values outside the 127/8 region.
+
 
 .section "Variables set from DNS lists" "SECID204"
 .cindex "expansion" "variables, set from DNS list"
 
 .section "Variables set from DNS lists" "SECID204"
 .cindex "expansion" "variables, set from DNS list"
@@ -32581,6 +32885,14 @@ deny  dnslists = relays.ordb.org
 .endd
 which is less clear, and harder to maintain.
 
 .endd
 which is less clear, and harder to maintain.
 
+Negation can also be used with a bitwise-and restriction.
+The dnslists condition with only be trus if a result is returned
+by the lookup which, anded with the restriction, is all zeroes.
+For example:
+.code
+deny dnslists = zen.spamhaus.org!&0.255.255.0
+.endd
+
 
 
 
 
 
 
@@ -32730,6 +33042,59 @@ address you should specify alternate list separators for both the outer
        dnslists = <; dnsbl.example.com/<|$acl_m_addrslist
 .endd
 
        dnslists = <; dnsbl.example.com/<|$acl_m_addrslist
 .endd
 
+
+.new
+.section "Previously seen user and hosts" "SECTseen"
+.cindex "&%sseen%& ACL condition"
+.cindex greylisting
+The &%seen%& ACL condition can be used to test whether a
+situation has been previously met.
+It uses a hints database to record a timestamp against a key.
+host. The syntax of the condition is:
+.display
+&`seen =`& <&'time interval'&> &`/`& <&'options'&>
+.endd
+
+For example,
+.code
+defer  seen = -5m / key=${sender_host_address}_$local_part@$domain
+.endd
+in a RCPT ACL will implement simple greylisting.
+
+The parameters for the condition
+are an interval followed, slash-separated, by a list of options.
+The interval is taken as an offset before the current time,
+and used for the test.
+If the interval is preceded by a minus sign then the condition returns
+whether a record is found which is before the test time.
+Otherwise, the condition returns whether one is found which is since the
+test time.
+
+Options are read in order with later ones overriding earlier ones.
+
+The default key is &$sender_host_address$&.
+An explicit key can be set using a &%key=value%& option.
+
+If a &%readonly%& option is given then
+no record create or update is done.
+If a &%write%& option is given then
+a record create or update is always done.
+An update is done if the test is for &"since"&.
+
+Creates and updates are marked with the current time.
+
+Finally, a &"before"& test which succeeds, and for which the record
+is old enough, will be refreshed with a timestamp of the test time.
+This can prevent tidying of the database from removing the entry.
+The interval for this is, by default, 10 days.
+An explicit interval can be set using a
+&%refresh=value%& option.
+
+Note that &"seen"& should be added to the list of hints databases
+for maintenance if this ACL condition is used.
+.wen
+
+
 .section "Rate limiting incoming messages" "SECTratelimiting"
 .cindex "rate limiting" "client sending"
 .cindex "limiting client sending rates"
 .section "Rate limiting incoming messages" "SECTratelimiting"
 .cindex "rate limiting" "client sending"
 .cindex "limiting client sending rates"
@@ -33035,7 +33400,6 @@ The &%success_on_redirect%& option causes verification always to succeed
 immediately after a successful redirection. By default, if a redirection
 generates just one address, that address is also verified. See further
 discussion in section &<<SECTredirwhilveri>>&.
 immediately after a successful redirection. By default, if a redirection
 generates just one address, that address is also verified. See further
 discussion in section &<<SECTredirwhilveri>>&.
-.new
 .next
 If the &%quota%& option is specified for recipient verify,
 successful routing to an appendfile transport is followed by a call into
 .next
 If the &%quota%& option is specified for recipient verify,
 successful routing to an appendfile transport is followed by a call into
@@ -33043,7 +33407,6 @@ the transport to evaluate the quota status for the recipient.
 No actual delivery is done, but verification will succeed if the quota
 is sufficient for the message (if the sender gave a message size) or
 not already exceeded (otherwise).
 No actual delivery is done, but verification will succeed if the quota
 is sufficient for the message (if the sender gave a message size) or
 not already exceeded (otherwise).
-.wen
 .endlist
 
 .cindex "verifying address" "differentiating failures"
 .endlist
 
 .cindex "verifying address" "differentiating failures"
@@ -33060,6 +33423,7 @@ warn  !verify = sender
 If you are writing your own custom rejection message or log message when
 denying access, you can use this variable to include information about the
 verification failure.
 If you are writing your own custom rejection message or log message when
 denying access, you can use this variable to include information about the
 verification failure.
+This variable is cleared at the end of processing the ACL verb.
 
 In addition, &$sender_verify_failure$& or &$recipient_verify_failure$& (as
 appropriate) contains one of the following words:
 
 In addition, &$sender_verify_failure$& or &$recipient_verify_failure$& (as
 appropriate) contains one of the following words:
@@ -33077,7 +33441,6 @@ connection, HELO, or MAIL).
 &%recipient%&: The RCPT command in a callout was rejected.
 .next
 &%postmaster%&: The postmaster check in a callout was rejected.
 &%recipient%&: The RCPT command in a callout was rejected.
 .next
 &%postmaster%&: The postmaster check in a callout was rejected.
-.new
 .next
 &%quota%&: The quota check for a local recipient did non pass.
 .endlist
 .next
 &%quota%&: The quota check for a local recipient did non pass.
 .endlist
@@ -33409,7 +33772,6 @@ behaviour will be the same.
 
 
 
 
 
 
-.new
 .section "Quota caching" "SECTquotacache"
 .cindex "hints database" "quota cache"
 .cindex "quota" "cache, description of"
 .section "Quota caching" "SECTquotacache"
 .cindex "hints database" "quota cache"
 .cindex "quota" "cache, description of"
@@ -33439,7 +33801,6 @@ As above, for a negative entry.
 
 .vitem &*no_cache*&
 Set both positive and negative lifetimes to zero.
 
 .vitem &*no_cache*&
 Set both positive and negative lifetimes to zero.
-.wen
 
 .section "Sender address verification reporting" "SECTsenaddver"
 .cindex "verifying" "suppressing error details"
 
 .section "Sender address verification reporting" "SECTsenaddver"
 .cindex "verifying" "suppressing error details"
@@ -34963,11 +35324,11 @@ C variables are as follows:
 .vlist
 .vitem &*int&~body_linecount*&
 This variable contains the number of lines in the message's body.
 .vlist
 .vitem &*int&~body_linecount*&
 This variable contains the number of lines in the message's body.
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &*int&~body_zerocount*&
 This variable contains the number of binary zero bytes in the message's body.
 
 .vitem &*int&~body_zerocount*&
 This variable contains the number of binary zero bytes in the message's body.
-It is not valid if the &%spool_files_wireformat%& option is used.
+It is not valid if the &%spool_wireformat%& option is used.
 
 .vitem &*unsigned&~int&~debug_selector*&
 This variable is set to zero when no debugging is taking place. Otherwise, it
 
 .vitem &*unsigned&~int&~debug_selector*&
 This variable is set to zero when no debugging is taking place. Otherwise, it
@@ -35002,8 +35363,10 @@ discussed below.
 .vitem &*header_line&~*header_last*&
 A pointer to the last of the header lines.
 
 .vitem &*header_line&~*header_last*&
 A pointer to the last of the header lines.
 
-.vitem &*uschar&~*headers_charset*&
+.new
+.vitem &*const&~uschar&~*headers_charset*&
 The value of the &%headers_charset%& configuration option.
 The value of the &%headers_charset%& configuration option.
+.wen
 
 .vitem &*BOOL&~host_checking*&
 This variable is TRUE during a host checking session that is initiated by the
 
 .vitem &*BOOL&~host_checking*&
 This variable is TRUE during a host checking session that is initiated by the
@@ -36023,8 +36386,7 @@ incoming SMTP message from a source that is not permitted to send them.
 
 
 .section "Resent- header lines" "SECID220"
 
 
 .section "Resent- header lines" "SECID220"
-.cindex "&%Resent-%& header lines"
-.cindex "header lines" "Resent-"
+.chindex Resent-
 RFC 2822 makes provision for sets of header lines starting with the string
 &`Resent-`& to be added to a message when it is resent by the original
 recipient to somebody else. These headers are &'Resent-Date:'&,
 RFC 2822 makes provision for sets of header lines starting with the string
 &`Resent-`& to be added to a message when it is resent by the original
 recipient to somebody else. These headers are &'Resent-Date:'&,
@@ -36080,8 +36442,7 @@ existing &'Bcc:'& is not removed.
 
 
 .section "The Date: header line" "SECID223"
 
 
 .section "The Date: header line" "SECID223"
-.cindex "&'Date:'& header line"
-.cindex "header lines" "Date:"
+.cindex Date:
 If a locally-generated or submission-mode message has no &'Date:'& header line,
 Exim adds one, using the current date and time, unless the
 &%suppress_local_fixups%& control has been specified.
 If a locally-generated or submission-mode message has no &'Date:'& header line,
 Exim adds one, using the current date and time, unless the
 &%suppress_local_fixups%& control has been specified.
@@ -36098,8 +36459,7 @@ messages.
 
 
 .section "The Envelope-to: header line" "SECID225"
 
 
 .section "The Envelope-to: header line" "SECID225"
-.cindex "&'Envelope-to:'& header line"
-.cindex "header lines" "Envelope-to:"
+.chindex Envelope-to:
 .oindex "&%envelope_to_remove%&"
 &'Envelope-to:'& header lines are not part of the standard RFC 2822 header set.
 Exim can be configured to add them to the final delivery of messages. (See the
 .oindex "&%envelope_to_remove%&"
 &'Envelope-to:'& header lines are not part of the standard RFC 2822 header set.
 Exim can be configured to add them to the final delivery of messages. (See the
@@ -36110,8 +36470,7 @@ messages.
 
 
 .section "The From: header line" "SECTthefrohea"
 
 
 .section "The From: header line" "SECTthefrohea"
-.cindex "&'From:'& header line"
-.cindex "header lines" "From:"
+.chindex From:
 .cindex "Sendmail compatibility" "&""From""& line"
 .cindex "message" "submission"
 .cindex "submission mode"
 .cindex "Sendmail compatibility" "&""From""& line"
 .cindex "message" "submission"
 .cindex "submission mode"
@@ -36154,8 +36513,7 @@ name as described in section &<<SECTconstr>>&.
 
 
 .section "The Message-ID: header line" "SECID226"
 
 
 .section "The Message-ID: header line" "SECID226"
-.cindex "&'Message-ID:'& header line"
-.cindex "header lines" "Message-ID:"
+.chindex Message-ID:
 .cindex "message" "submission"
 .oindex "&%message_id_header_text%&"
 If a locally-generated or submission-mode incoming message does not contain a
 .cindex "message" "submission"
 .oindex "&%message_id_header_text%&"
 If a locally-generated or submission-mode incoming message does not contain a
@@ -36170,8 +36528,7 @@ in this header line by setting the &%message_id_header_text%& and/or
 
 
 .section "The Received: header line" "SECID227"
 
 
 .section "The Received: header line" "SECID227"
-.cindex "&'Received:'& header line"
-.cindex "header lines" "Received:"
+.chindex Received:
 A &'Received:'& header line is added at the start of every message. The
 contents are defined by the &%received_header_text%& configuration option, and
 Exim automatically adds a semicolon and a timestamp to the configured string.
 A &'Received:'& header line is added at the start of every message. The
 contents are defined by the &%received_header_text%& configuration option, and
 Exim automatically adds a semicolon and a timestamp to the configured string.
@@ -36187,8 +36544,7 @@ changed to the time of acceptance, which is (apart from a small delay while the
 
 
 .section "The References: header line" "SECID228"
 
 
 .section "The References: header line" "SECID228"
-.cindex "&'References:'& header line"
-.cindex "header lines" "References:"
+.chindex References:
 Messages created by the &(autoreply)& transport include a &'References:'&
 header line. This is constructed according to the rules that are described in
 section 3.64 of RFC 2822 (which states that replies should contain such a
 Messages created by the &(autoreply)& transport include a &'References:'&
 header line. This is constructed according to the rules that are described in
 section 3.64 of RFC 2822 (which states that replies should contain such a
@@ -36202,8 +36558,7 @@ incoming message. If there are more than 12, the first one and then the final
 
 
 .section "The Return-path: header line" "SECID229"
 
 
 .section "The Return-path: header line" "SECID229"
-.cindex "&'Return-path:'& header line"
-.cindex "header lines" "Return-path:"
+.chindex Return-path:
 .oindex "&%return_path_remove%&"
 &'Return-path:'& header lines are defined as something an MTA may insert when
 it does the final delivery of messages. (See the generic &%return_path_add%&
 .oindex "&%return_path_remove%&"
 &'Return-path:'& header lines are defined as something an MTA may insert when
 it does the final delivery of messages. (See the generic &%return_path_add%&
@@ -36216,7 +36571,7 @@ default), Exim removes &'Return-path:'& header lines from incoming messages.
 .section "The Sender: header line" "SECTthesenhea"
 .cindex "&'Sender:'& header line"
 .cindex "message" "submission"
 .section "The Sender: header line" "SECTthesenhea"
 .cindex "&'Sender:'& header line"
 .cindex "message" "submission"
-.cindex "header lines" "Sender:"
+.chindex Sender:
 For a locally-originated message from an untrusted user, Exim may remove an
 existing &'Sender:'& header line, and it may add a new one. You can modify
 these actions by setting the &%local_sender_retain%& option true, the
 For a locally-originated message from an untrusted user, Exim may remove an
 existing &'Sender:'& header line, and it may add a new one. You can modify
 these actions by setting the &%local_sender_retain%& option true, the
@@ -37396,8 +37751,8 @@ lists_request:
 lists_post:
   driver = redirect
   domains = lists.example
 lists_post:
   driver = redirect
   domains = lists.example
-  senders = ${if exists {/usr/lists/$local_part}\
-             {lsearch;/usr/lists/$local_part}{*}}
+  local_parts = ${lookup {$local_part} dsearch,filter=file,ret=full {/usr/lists}}
+  senders = ${if exists {$local_part_data} {lsearch;$local_part_data}{*}}
   file = ${lookup {$local_part} dsearch,ret=full {/usr/lists}}
   forbid_pipe
   forbid_file
   file = ${lookup {$local_part} dsearch,ret=full {/usr/lists}}
   forbid_pipe
   forbid_file
@@ -38004,7 +38359,7 @@ implying the use of a default path.
 When Exim encounters an empty item in the list, it searches the list defined by
 LOG_FILE_PATH, and uses the first item it finds that is neither empty nor
 &"syslog"&. This means that an empty item in &%log_file_path%& can be used to
 When Exim encounters an empty item in the list, it searches the list defined by
 LOG_FILE_PATH, and uses the first item it finds that is neither empty nor
 &"syslog"&. This means that an empty item in &%log_file_path%& can be used to
-mean &"use the path specified at build time"&. It no such item exists, log
+mean &"use the path specified at build time"&. If no such item exists, log
 files are written in the &_log_& subdirectory of the spool directory. This is
 equivalent to the setting:
 .code
 files are written in the &_log_& subdirectory of the spool directory. This is
 equivalent to the setting:
 .code
@@ -38317,9 +38672,7 @@ When more than one address is included in a single delivery (for example, two
 SMTP RCPT commands in one transaction) the second and subsequent addresses are
 flagged with &`->`& instead of &`=>`&. When two or more messages are delivered
 down a single SMTP connection, an asterisk follows the
 SMTP RCPT commands in one transaction) the second and subsequent addresses are
 flagged with &`->`& instead of &`=>`&. When two or more messages are delivered
 down a single SMTP connection, an asterisk follows the
-.new
 remote IP address (and port if enabled)
 remote IP address (and port if enabled)
-.wen
 in the log lines for the second and subsequent messages.
 When two or more messages are delivered down a single TLS connection, the
 DNS and some TLS-related information logged for the first message delivered
 in the log lines for the second and subsequent messages.
 When two or more messages are delivered down a single TLS connection, the
 DNS and some TLS-related information logged for the first message delivered
@@ -38549,6 +38902,7 @@ selection marked by asterisks:
 &` outgoing_port              `&  add remote port to => lines
 &`*queue_run                  `&  start and end queue runs
 &` queue_time                 `&  time on queue for one recipient
 &` outgoing_port              `&  add remote port to => lines
 &`*queue_run                  `&  start and end queue runs
 &` queue_time                 `&  time on queue for one recipient
+&`*queue_time_exclusive       `&  exclude recieve time from QT times
 &` queue_time_overall         `&  time on queue for whole message
 &` pid                        `&  Exim process id
 &` pipelining                 `&  PIPELINING use, on <= and => lines
 &` queue_time_overall         `&  time on queue for whole message
 &` pid                        `&  Exim process id
 &` pipelining                 `&  PIPELINING use, on <= and => lines
@@ -38697,9 +39051,7 @@ to the &"<="& line as an IP address in square brackets, tagged by I= and
 followed by a colon and the port number. The local interface and port are also
 added to other SMTP log lines, for example, &"SMTP connection from"&, to
 rejection lines, and (despite the name) to outgoing
 followed by a colon and the port number. The local interface and port are also
 added to other SMTP log lines, for example, &"SMTP connection from"&, to
 rejection lines, and (despite the name) to outgoing
-.new
 &"=>"&, &"->"&, &"=="& and &"**"& lines.
 &"=>"&, &"->"&, &"=="& and &"**"& lines.
-.wen
 The latter can be disabled by turning off the &%outgoing_interface%& option.
 .next
 .cindex log "incoming proxy address"
 The latter can be disabled by turning off the &%outgoing_interface%& option.
 .next
 .cindex log "incoming proxy address"
@@ -38790,18 +39142,13 @@ Delivery "L" fields have an asterisk appended if used.
 .cindex "log" "queue time"
 &%queue_time%&: The amount of time the message has been in the queue on the
 local host is logged as QT=<&'time'&> on delivery (&`=>`&) lines, for example,
 .cindex "log" "queue time"
 &%queue_time%&: The amount of time the message has been in the queue on the
 local host is logged as QT=<&'time'&> on delivery (&`=>`&) lines, for example,
-&`QT=3m45s`&. The clock starts when Exim starts to receive the message, so it
-includes reception time as well as the delivery time for the current address.
-This means that it may be longer than the difference between the arrival and
-delivery log line times, because the arrival log line is not written until the
-message has been successfully received.
+&`QT=3m45s`&.
 If millisecond logging is enabled, short times will be shown with greater
 precision, eg. &`QT=1.578s`&.
 .next
 &%queue_time_overall%&: The amount of time the message has been in the queue on
 the local host is logged as QT=<&'time'&> on &"Completed"& lines, for
 If millisecond logging is enabled, short times will be shown with greater
 precision, eg. &`QT=1.578s`&.
 .next
 &%queue_time_overall%&: The amount of time the message has been in the queue on
 the local host is logged as QT=<&'time'&> on &"Completed"& lines, for
-example, &`QT=3m45s`&. The clock starts when Exim starts to receive the
-message, so it includes reception time as well as the total delivery time.
+example, &`QT=3m45s`&.
 .next
 .cindex "log" "receive duration"
 &%receive_time%&: For each message, the amount of real time it has taken to
 .next
 .cindex "log" "receive duration"
 &%receive_time%&: For each message, the amount of real time it has taken to
@@ -38860,10 +39207,12 @@ it is too big.
 .cindex "log" "frozen messages; skipped"
 .cindex "frozen messages" "logging skipping"
 &%skip_delivery%&: A log line is written whenever a message is skipped during a
 .cindex "log" "frozen messages; skipped"
 .cindex "frozen messages" "logging skipping"
 &%skip_delivery%&: A log line is written whenever a message is skipped during a
-queue run because it is frozen or because another process is already delivering
-it.
+queue run because it another process is already delivering it or because
+it is frozen.
 .cindex "&""spool file is locked""&"
 .cindex "&""spool file is locked""&"
-The message that is written is &"spool file is locked"&.
+.cindex "&""message is frozen""&"
+The message that is written is either &"spool file is locked"& or
+&"message is frozen"&.
 .next
 .cindex "log" "smtp confirmation"
 .cindex "SMTP" "logging confirmation"
 .next
 .cindex "log" "smtp confirmation"
 .cindex "SMTP" "logging confirmation"
@@ -38966,7 +39315,7 @@ unchanged, or whether they should be rendered as escape sequences.
 when TLS is in use. The item is &`CV=yes`& if the peer's certificate was
 verified
 using a CA trust anchor,
 when TLS is in use. The item is &`CV=yes`& if the peer's certificate was
 verified
 using a CA trust anchor,
-&`CA=dane`& if using a DNS trust anchor,
+&`CV=dane`& if using a DNS trust anchor,
 and &`CV=no`& if not.
 .next
 .cindex "log" "TLS cipher"
 and &`CV=no`& if not.
 .next
 .cindex "log" "TLS cipher"
@@ -38982,11 +39331,9 @@ added to the log line, preceded by DN=.
 .next
 .cindex "log" "TLS resumption"
 .cindex "TLS" "logging session resumption"
 .next
 .cindex "log" "TLS resumption"
 .cindex "TLS" "logging session resumption"
-.new
 &%tls_resumption%&: When a message is sent or received over an encrypted
 connection and the TLS session resumed one used on a previous TCP connection,
 an asterisk is appended to the X= cipher field in the log line.
 &%tls_resumption%&: When a message is sent or received over an encrypted
 connection and the TLS session resumed one used on a previous TCP connection,
 an asterisk is appended to the X= cipher field in the log line.
-.wen
 .next
 .cindex "log" "TLS SNI"
 .cindex "TLS" "logging SNI"
 .next
 .cindex "log" "TLS SNI"
 .cindex "TLS" "logging SNI"
@@ -39115,9 +39462,6 @@ or (in case &*-a*& switch is specified)
 .code
 exim -bp
 .endd
 .code
 exim -bp
 .endd
-The &*-C*& option is used to specify an alternate &_exim.conf_& which might
-contain alternate exim configuration the queue management might be using.
-
 to obtain a queue listing, and then greps the output to select messages
 that match given criteria. The following selection options are available:
 
 to obtain a queue listing, and then greps the output to select messages
 that match given criteria. The following selection options are available:
 
@@ -39174,7 +39518,22 @@ Display messages in reverse order.
 Include delivered recipients in queue listing.
 .endlist
 
 Include delivered recipients in queue listing.
 .endlist
 
+The following options give alternates for configuration:
+
+.vlist
+.vitem &*-C*&&~<&'config&~file'&>
+is used to specify an alternate &_exim.conf_& which might
+contain alternate exim configuration the queue management might be using.
+
+.vitem &*-E*&&~<&'path'&>
+can be used to specify a path for the exim binary,
+overriding the built-in one.
+.endlist
+
 There is one more option, &%-h%&, which outputs a list of options.
 There is one more option, &%-h%&, which outputs a list of options.
+.new
+At least one selection option, or either the &*-c*& or &*-h*& option, must be given.
+.wen
 
 
 
 
 
 
@@ -39534,9 +39893,7 @@ for remote hosts
 .next
 &'ratelimit'&: the data for implementing the ratelimit ACL condition
 .next
 .next
 &'ratelimit'&: the data for implementing the ratelimit ACL condition
 .next
-.new
 &'tls'&: TLS session resumption data
 &'tls'&: TLS session resumption data
-.wen
 .next
 &'misc'&: other hints data
 .endlist
 .next
 &'misc'&: other hints data
 .endlist
@@ -39558,12 +39915,18 @@ in a transport)
 .section "exim_dumpdb" "SECTdumpdb"
 .cindex "&'exim_dumpdb'&"
 The entire contents of a database are written to the standard output by the
 .section "exim_dumpdb" "SECTdumpdb"
 .cindex "&'exim_dumpdb'&"
 The entire contents of a database are written to the standard output by the
-&'exim_dumpdb'& program, which has no options or arguments other than the
-spool and database names. For example, to dump the retry database:
+&'exim_dumpdb'& program,
+.new
+taking as arguments the spool and database names.
+An option &'-z'& may be given to regest times in UTC;
+otherwise times are in the local timezone.
+.wen
+For example, to dump the retry database:
 .code
 exim_dumpdb /var/spool/exim retry
 .endd
 .code
 exim_dumpdb /var/spool/exim retry
 .endd
-Two lines of output are produced for each entry:
+For the retry database
+two lines of output are produced for each entry:
 .code
 T:mail.ref.example:192.168.242.242 146 77 Connection refused
 31-Oct-1995 12:00:12 02-Nov-1995 12:21:39 02-Nov-1995 20:21:39 *
 .code
 T:mail.ref.example:192.168.242.242 146 77 Connection refused
 31-Oct-1995 12:00:12 02-Nov-1995 12:21:39 02-Nov-1995 20:21:39 *
@@ -39645,7 +40008,7 @@ databases is likely to keep on increasing.
 .cindex "&'exim_fixdb'&"
 The &'exim_fixdb'& program is a utility for interactively modifying databases.
 Its main use is for testing Exim, but it might also be occasionally useful for
 .cindex "&'exim_fixdb'&"
 The &'exim_fixdb'& program is a utility for interactively modifying databases.
 Its main use is for testing Exim, but it might also be occasionally useful for
-getting round problems in a live system. It has no options, and its interface
+getting round problems in a live system. Its interface
 is somewhat crude. On entry, it prompts for input with a right angle-bracket. A
 key of a database record can then be entered, and the data for that record is
 displayed.
 is somewhat crude. On entry, it prompts for input with a right angle-bracket. A
 key of a database record can then be entered, and the data for that record is
 displayed.
@@ -39662,6 +40025,12 @@ resets the time of the next delivery attempt. Time values are given as a
 sequence of digit pairs for year, month, day, hour, and minute. Colons can be
 used as optional separators.
 
 sequence of digit pairs for year, month, day, hour, and minute. Colons can be
 used as optional separators.
 
+.new
+Both displayed and input times are in the local timezone by default.
+If an option &'-z'& is used on the command line, displayed times
+are in UTC.
+.wen
+
 
 
 
 
 
 
@@ -40432,7 +40801,7 @@ Consider the use of the &%inlisti%& expansion condition instead.
 .cindex "security" "data sources"
 .cindex "security" "regular expressions"
 .cindex "regular expressions" "security"
 .cindex "security" "data sources"
 .cindex "security" "regular expressions"
 .cindex "regular expressions" "security"
-.cindex "PCRE" "security"
+.cindex "PCRE2" "security"
 If configuration data for Exim can come from untrustworthy sources, there
 are some issues to be aware of:
 
 If configuration data for Exim can come from untrustworthy sources, there
 are some issues to be aware of:
 
@@ -40442,7 +40811,7 @@ Use of &%${expand...}%& may provide a path for shell injection attacks.
 Letting untrusted data provide a regular expression is unwise.
 .next
 Using &%${match...}%& to apply a fixed regular expression against untrusted
 Letting untrusted data provide a regular expression is unwise.
 .next
 Using &%${match...}%& to apply a fixed regular expression against untrusted
-data may result in pathological behaviour within PCRE.  Be aware of what
+data may result in pathological behaviour within PCRE2.  Be aware of what
 "backtracking" means and consider options for being more strict with a regular
 expression. Avenues to explore include limiting what can match (avoiding &`.`&
 when &`[a-z0-9]`& or other character class will do), use of atomic grouping and
 "backtracking" means and consider options for being more strict with a regular
 expression. Avenues to explore include limiting what can match (avoiding &`.`&
 when &`[a-z0-9]`& or other character class will do), use of atomic grouping and
@@ -40683,8 +41052,18 @@ was received, in the conventional Unix form &-- the number of seconds since the
 start of the epoch. The second number is a count of the number of messages
 warning of delayed delivery that have been sent to the sender.
 
 start of the epoch. The second number is a count of the number of messages
 warning of delayed delivery that have been sent to the sender.
 
-There follow a number of lines starting with a hyphen. These can appear in any
-order, and are omitted when not relevant:
+.new
+There follow a number of lines starting with a hyphen.
+These contain variables, can appear in any
+order, and are omitted when not relevant.
+
+If there is a second hyphen after the first,
+the corresponding data is tainted.
+If there is a value in parentheses, the data is quoted for a lookup.
+
+The following word specifies a variable,
+and the remainder of the item depends on the variable.
+.wen
 
 .vlist
 .vitem "&%-acl%&&~<&'number'&>&~<&'length'&>"
 
 .vlist
 .vitem "&%-acl%&&~<&'number'&>&~<&'length'&>"
@@ -40840,9 +41219,6 @@ was received from the client, this records the Distinguished Name from that
 certificate.
 .endlist
 
 certificate.
 .endlist
 
-Any of the above may have an extra hyphen prepended, to indicate the the
-corresponding data is untrusted.
-
 Following the options there is a list of those addresses to which the message
 is not to be delivered. This set of addresses is initialized from the command
 line when the &%-t%& option is used and &%extract_addresses_remove_arguments%&
 Following the options there is a list of those addresses to which the message
 is not to be delivered. This set of addresses is initialized from the command
 line when the &%-t%& option is used and &%extract_addresses_remove_arguments%&
@@ -41046,6 +41422,13 @@ option along with &%$dkim_domain%&.
 If the option is empty after expansion, DKIM signing is not done for this domain,
 and no error will result even if &%dkim_strict%& is set.
 
 If the option is empty after expansion, DKIM signing is not done for this domain,
 and no error will result even if &%dkim_strict%& is set.
 
+To do, for example, dual-signing with RSA and EC keys
+this could be be used:
+.code
+dkim_selector = ec_sel : rsa_sel
+dkim_private_key = KEYS_DIR/$dkim_selector
+.endd
+
 .option dkim_private_key smtp string&!! unset
 This sets the private key to use.
 You can use the &%$dkim_domain%& and
 .option dkim_private_key smtp string&!! unset
 This sets the private key to use.
 You can use the &%$dkim_domain%& and
@@ -41522,6 +41905,9 @@ You may deny messages when this occurs.
 .vitem &%temperror%&
 This indicates a temporary error during all processing, including Exim's
 SPF processing.  You may defer messages when this occurs.
 .vitem &%temperror%&
 This indicates a temporary error during all processing, including Exim's
 SPF processing.  You may defer messages when this occurs.
+
+.vitem &%invalid%&
+There was an error during processing of the SPF lookup
 .endlist
 
 You can prefix each string with an exclamation mark to  invert
 .endlist
 
 You can prefix each string with an exclamation mark to  invert
@@ -41558,10 +41944,14 @@ variables:
 
 .vitem &$spf_received$&
 .vindex &$spf_received$&
 
 .vitem &$spf_received$&
 .vindex &$spf_received$&
-  This contains a complete Received-SPF: header that can be
-  added to the message. Please note that according to the SPF
-  draft, this header must be added at the top of the header
-  list. Please see section 10 on how you can do this.
+  This contains a complete Received-SPF: header (name and
+  content) that can be added to the message. Please note that
+  according to the SPF draft, this header must be added at the
+  top of the header list, i.e. with
+.code
+add_header = :at_start:$spf_received
+.endd
+  See section &<<SECTaddheadacl>>& for further details.
 
   Note: in case of "Best-guess" (see below), the convention is
   to put this string in a header called X-SPF-Guess: instead.
 
   Note: in case of "Best-guess" (see below), the convention is
   to put this string in a header called X-SPF-Guess: instead.
@@ -41569,8 +41959,8 @@ variables:
 .vitem &$spf_result$&
 .vindex &$spf_result$&
   This contains the outcome of the SPF check in string form,
 .vitem &$spf_result$&
 .vindex &$spf_result$&
   This contains the outcome of the SPF check in string form,
-  one of pass, fail, softfail, none, neutral, permerror or
-  temperror.
+  currently one of pass, fail, softfail, none, neutral, permerror,
+  temperror, or &"(invalid)"&.
 
 .vitem &$spf_result_guessed$&
 .vindex &$spf_result_guessed$&
 
 .vitem &$spf_result_guessed$&
 .vindex &$spf_result_guessed$&
@@ -41647,7 +42037,6 @@ The lookup will return the same result strings as can appear in
 .section "SRS (Sender Rewriting Scheme)" SECTSRS
 .cindex SRS "sender rewriting scheme"
 
 .section "SRS (Sender Rewriting Scheme)" SECTSRS
 .cindex SRS "sender rewriting scheme"
 
-.new
 SRS can be used to modify sender addresses when forwarding so that
 SPF verification does not object to them.
 It operates by encoding the original envelope sender in a new
 SRS can be used to modify sender addresses when forwarding so that
 SPF verification does not object to them.
 It operates by encoding the original envelope sender in a new
@@ -41742,7 +42131,6 @@ Example usage:
 .endd
 
 
 .endd
 
 
-.wen
 
 
 
 
 
 
@@ -42311,6 +42699,7 @@ Events have names which correspond to the point in process at which they fire.
 The name is placed in the variable &$event_name$& and the event action
 expansion must check this, as it will be called for every possible event type.
 
 The name is placed in the variable &$event_name$& and the event action
 expansion must check this, as it will be called for every possible event type.
 
+.new
 The current list of events is:
 .display
 &`dane:fail              after    transport  `& per connection
 The current list of events is:
 .display
 &`dane:fail              after    transport  `& per connection
@@ -42325,9 +42714,11 @@ The current list of events is:
 &`tcp:connect            before   transport  `& per connection
 &`tcp:close              after    transport  `& per connection
 &`tls:cert               before   both       `& per certificate in verification chain
 &`tcp:connect            before   transport  `& per connection
 &`tcp:close              after    transport  `& per connection
 &`tls:cert               before   both       `& per certificate in verification chain
+&`tls:fail:connect       after    main       `& per connection
 &`smtp:connect           after    transport  `& per connection
 &`smtp:ehlo              after    transport  `& per connection
 .endd
 &`smtp:connect           after    transport  `& per connection
 &`smtp:ehlo              after    transport  `& per connection
 .endd
+.wen
 New event types may be added in future.
 
 The event name is a colon-separated list, defining the type of
 New event types may be added in future.
 
 The event name is a colon-separated list, defining the type of
@@ -42353,6 +42744,7 @@ with the event type:
 &`msg:rcpt:host:defer  `& error string
 &`msg:rcpt:defer       `& error string
 &`tls:cert             `& verification chain depth
 &`msg:rcpt:host:defer  `& error string
 &`msg:rcpt:defer       `& error string
 &`tls:cert             `& verification chain depth
+&`tls:fail:connect     `& error string
 &`smtp:connect         `& smtp banner
 &`smtp:ehlo            `& smtp ehlo response
 .endd
 &`smtp:connect         `& smtp banner
 &`smtp:ehlo            `& smtp ehlo response
 .endd