Fix daemon-SIGHUP on FreeBSD

[exim.git] / doc / doc-docbook / spec.xfpt
diff --git a/doc/doc-docbook/spec.xfpt b/doc/doc-docbook/spec.xfpt

index 96d477df383ab0c7097eadc4c8bb708dc8ddb108..112234bd91f3e2fea88c7d01104e714b6a561cce 100644 (file)
--- a/doc/doc-docbook/spec.xfpt
+++ b/doc/doc-docbook/spec.xfpt
@@ -3847,7 +3847,9 @@ id, and the remaining ones must be email addresses. However, if the message is
  active (in the middle of a delivery attempt), it is not altered. This option
  can be used only by an admin user.
  
  active (in the middle of a delivery attempt), it is not altered. This option
  can be used only by an admin user.
  
-.vitem "&%-MC%&&~<&'transport'&>&~<&'hostname'&>&~<&'sequence&~number'&>&&&
+.vitem "&%-MC%&&~<&'transport'&>&~<&'hostname'&>&&&
+       &~<&'host&~IP'&>&&&
+       &~<&'sequence&~number'&>&&&
          &~<&'message&~id'&>"
  .oindex "&%-MC%&"
  .cindex "SMTP" "passed connection"
          &~<&'message&~id'&>"
  .oindex "&%-MC%&"
  .cindex "SMTP" "passed connection"
@@ -3919,6 +3921,18 @@ This option is not intended for use by external callers. It is used internally
  by Exim in conjunction with the &%-MC%& option, and passes on the fact that the
  host to which Exim is connected supports TLS encryption.
  
  by Exim in conjunction with the &%-MC%& option, and passes on the fact that the
  host to which Exim is connected supports TLS encryption.
  
+.new
+.vitem &%-MCr%&&~<&'SNI'&> &&&
+       &%-MCs%&&~<&'SNI'&>
+.oindex "&%-MCs%&"
+.oindex "&%-MCr%&"
+These options are not intended for use by external callers. It is used internally
+by Exim in conjunction with the &%-MCt%& option, and passes on the fact that
+a TLS Server Name Indication was sent as part of the channel establishment.
+The argument gives the SNI string.
+The "r" variant indicates a DANE-verified connection.
+.wen
+
  .vitem &%-MCt%&&~<&'IP&~address'&>&~<&'port'&>&~<&'cipher'&>
  .oindex "&%-MCt%&"
  This option is not intended for use by external callers. It is used internally
  .vitem &%-MCt%&&~<&'IP&~address'&>&~<&'port'&>&~<&'cipher'&>
  .oindex "&%-MCt%&"
  This option is not intended for use by external callers. It is used internally
@@ -8735,8 +8749,13 @@ The value for a match will be the list element string.
  .cindex "tainted data" "de-tainting"
  Note that this is commonly untainted
  (depending on the way the list was created).
  .cindex "tainted data" "de-tainting"
  Note that this is commonly untainted
  (depending on the way the list was created).
+Specifically, explicit text in the configuration file in not tainted.
  This is a useful way of obtaining an untainted equivalent to
  the domain, for later operations.
  This is a useful way of obtaining an untainted equivalent to
  the domain, for later operations.
+
+However if the list (including one-element lists)
+is created by expanding a variable containing tainted data,
+it is tainted and so will the match value be.
  .endlist
  
  
  .endlist
  
  
@@ -12453,17 +12472,23 @@ Often &$domain_data$& is usable in this role.
  
  .vitem &$domain_data$&
  .vindex "&$domain_data$&"
  
  .vitem &$domain_data$&
  .vindex "&$domain_data$&"
-When the &%domains%& option on a router matches a domain by
-means of a lookup, the data read by the lookup is available during the running
-of the router as &$domain_data$&. In addition, if the driver routes the
+When the &%domains%& condition on a router
+.new
+or an ACL
+matches a domain
+against a list, the match value is copied to &$domain_data$&.
+This is an enhancement over previous versions of Exim, when it only
+applied to the data read by a lookup.
+For details on match values see section &<<SECTlistresults>>& et. al.
+.wen
+
+If the router routes the
  address to a transport, the value is available in that transport. If the
  transport is handling multiple addresses, the value from the first address is
  used.
  
  address to a transport, the value is available in that transport. If the
  transport is handling multiple addresses, the value from the first address is
  used.
  
-&$domain_data$& is also set when the &%domains%& condition in an ACL matches a
-domain by means of a lookup. The data read by the lookup is available during
-the rest of the ACL statement. In all other situations, this variable expands
-to nothing.
+&$domain_data$& set in an ACL is available during
+the rest of the ACL statement.
  
  .vitem &$exim_gid$&
  .vindex "&$exim_gid$&"
  
  .vitem &$exim_gid$&
  .vindex "&$exim_gid$&"
@@ -12697,21 +12722,19 @@ to process local parts in a case-dependent manner in a router, you can set the
  
  .vitem &$local_part_data$&
  .vindex "&$local_part_data$&"
  
  .vitem &$local_part_data$&
  .vindex "&$local_part_data$&"
-When the &%local_parts%& option on a router matches a local part by means of a
-lookup, the data read by the lookup is available during the running of the
-router as &$local_part_data$&. In addition, if the driver routes the address
-to a transport, the value is available in that transport. If the transport is
-handling multiple addresses, the value from the first address is used.
+When the &%local_parts%& condition on a router or ACL
+matches a local part list
+.new
+the match value is copied to &$local_part_data$&.
+This is an enhancement over previous versions of Exim, when it only
+applied to the data read by a lookup.
+For details on match values see section &<<SECTlistresults>>& et. al.
+.wen
  
  .new
  The &%check_local_user%& router option also sets this variable.
  .wen
  
  
  .new
  The &%check_local_user%& router option also sets this variable.
  .wen
  
-&$local_part_data$& is also set when the &%local_parts%& condition in an ACL
-matches a local part by means of a lookup. The data read by the lookup is
-available during the rest of the ACL statement. In all other situations, this
-variable expands to nothing.
-
  .vindex &$local_part_prefix$& &&&
         &$local_part_prefix_v$& &&&
         &$local_part_suffix$& &&&
  .vindex &$local_part_prefix$& &&&
         &$local_part_prefix_v$& &&&
         &$local_part_suffix$& &&&
@@ -16837,7 +16860,7 @@ not count as protocol errors (see &%smtp_max_synprot_errors%&).
  .option pipelining_connect_advertise_hosts main "host list&!!" *
  .cindex "pipelining" "early connection"
  .cindex "pipelining" PIPE_CONNECT
  .option pipelining_connect_advertise_hosts main "host list&!!" *
  .cindex "pipelining" "early connection"
  .cindex "pipelining" PIPE_CONNECT
-.cindex "ESMTP extensions" X_PIPE_CONNECT
+.cindex "ESMTP extensions" PIPE_CONNECT
  If Exim is built with the SUPPORT_PIPE_CONNECT build option
  this option controls which hosts the facility is advertised to
  and from which pipeline early-connection (before MAIL) SMTP
  If Exim is built with the SUPPORT_PIPE_CONNECT build option
  this option controls which hosts the facility is advertised to
  and from which pipeline early-connection (before MAIL) SMTP
@@ -16846,7 +16869,9 @@ When used, the pipelining saves on roundtrip times.
  
  See also the &%hosts_pipe_connect%& smtp transport option.
  
  
  See also the &%hosts_pipe_connect%& smtp transport option.
  
-Currently the option name &"X_PIPE_CONNECT"& is used.
+.new
+The SMTP service extension keyword advertised is &"PIPE_CONNECT"&.
+.wen
  
  
  .option prdr_enable main boolean false
  
  
  .option prdr_enable main boolean false
@@ -25660,7 +25685,11 @@ ciphers is a preference order.
  .option tls_sni smtp string&!! unset
  .cindex "TLS" "Server Name Indication"
  .vindex "&$tls_sni$&"
  .option tls_sni smtp string&!! unset
  .cindex "TLS" "Server Name Indication"
  .vindex "&$tls_sni$&"
-If this option is set then it sets the $tls_out_sni variable and causes any
+If this option is set
+.new
+and the connection is not DANE-validated
+.wen
+then it sets the $tls_out_sni variable and causes any
  TLS session to pass this value as the Server Name Indication extension to
  the remote side, which can be used by the remote side to select an appropriate
  certificate and private key for the session.
  TLS session to pass this value as the Server Name Indication extension to
  the remote side, which can be used by the remote side to select an appropriate
  certificate and private key for the session.
@@ -27614,7 +27643,14 @@ fixed_plain:
    client_send = ^username^mysecret
  .endd
  The lack of colons means that the entire text is sent with the AUTH
    client_send = ^username^mysecret
  .endd
  The lack of colons means that the entire text is sent with the AUTH
-command, with the circumflex characters converted to NULs. A similar example
+command, with the circumflex characters converted to NULs.
+.new
+Note that due to the ambiguity of parsing three consectutive circumflex characters
+there is no way to provide a password having a leading circumflex.
+.wen
+
+
+A similar example
  that uses the LOGIN mechanism is:
  .code
  fixed_login:
  that uses the LOGIN mechanism is:
  .code
  fixed_login:
@@ -28680,6 +28716,12 @@ Some other recently added features may only be available in one or the other.
  This should be documented with the feature.  If the documentation does not
  explicitly state that the feature is infeasible in the other TLS
  implementation, then patches are welcome.
  This should be documented with the feature.  If the documentation does not
  explicitly state that the feature is infeasible in the other TLS
  implementation, then patches are welcome.
+.new
+.next
+The output from "exim -bV" will show which (if any) support was included
+in the build.
+Also, the macro "_HAVE_OPENSSL" or "_HAVE_GNUTLS" will be defined.
+.wen
  .endlist
  
  
  .endlist
  
  
@@ -29218,8 +29260,14 @@ certificate verification to the listed servers.  Verification either must
  or need not succeed respectively.
  
  The &%tls_verify_cert_hostnames%& option lists hosts for which additional
  or need not succeed respectively.
  
  The &%tls_verify_cert_hostnames%& option lists hosts for which additional
-checks are made: that the host name (the one in the DNS A record)
-is valid for the certificate.
+name checks are made on the server certificate.
+.new
+The match against this list is, as per other Exim usage, the
+IP for the host.  That is most closely associated with the
+name on the DNS A (or AAAA) record for the host.
+However, the name that needs to be in the certificate
+is the one at the head of any CNAME chain leading to the A record.
+.wen
  The option defaults to always checking.
  
  The &(smtp)& transport has two OCSP-related options:
  The option defaults to always checking.
  
  The &(smtp)& transport has two OCSP-related options:
@@ -29300,6 +29348,11 @@ nothing more to it.  Choosing a sensible value not derived insecurely is the
  only point of caution.  The &$tls_out_sni$& variable will be set to this string
  for the lifetime of the client connection (including during authentication).
  
  only point of caution.  The &$tls_out_sni$& variable will be set to this string
  for the lifetime of the client connection (including during authentication).
  
+.new
+If DAVE validated the connection attempt then the value of the &%tls_sni%& option
+is forced to the domain part of the recipient address.
+.wen
+
  Except during SMTP client sessions, if &$tls_in_sni$& is set then it is a string
  received from a client.
  It can be logged with the &%log_selector%& item &`+tls_sni`&.
  Except during SMTP client sessions, if &$tls_in_sni$& is set then it is a string
  received from a client.
  It can be logged with the &%log_selector%& item &`+tls_sni`&.
@@ -29503,7 +29556,7 @@ by (a) is thought to be smaller than that of the set of root CAs.
  It also allows the server to declare (implicitly) that connections to it should use TLS.  An MITM could simply
  fail to pass on a server's STARTTLS.
  
  It also allows the server to declare (implicitly) that connections to it should use TLS.  An MITM could simply
  fail to pass on a server's STARTTLS.
  
-DANE scales better than having to maintain (and side-channel communicate) copies of server certificates
+DANE scales better than having to maintain (and communicate via side-channel) copies of server certificates
  for every possible target server.  It also scales (slightly) better than having to maintain on an SMTP
  client a copy of the standard CAs bundle.  It also means not having to pay a CA for certificates.
  
  for every possible target server.  It also scales (slightly) better than having to maintain on an SMTP
  client a copy of the standard CAs bundle.  It also means not having to pay a CA for certificates.
  
@@ -29648,6 +29701,7 @@ If DANE is requested and useable (see above) the following transport options are
    tls_verify_certificates
    tls_crl
    tls_verify_cert_hostnames
    tls_verify_certificates
    tls_crl
    tls_verify_cert_hostnames
+  tls_sni
  .endd
  
  If DANE is not usable, whether requested or not, and CA-anchored
  .endd
  
  If DANE is not usable, whether requested or not, and CA-anchored
@@ -38564,9 +38618,9 @@ the next chapter. The utilities described here are:
    "check address acceptance from given IP"
  .irow &<<SECTdbmbuild>>&      &'exim_dbmbuild'& "build a DBM file"
  .irow &<<SECTfinindret>>&     &'exinext'&       "extract retry information"
    "check address acceptance from given IP"
  .irow &<<SECTdbmbuild>>&      &'exim_dbmbuild'& "build a DBM file"
  .irow &<<SECTfinindret>>&     &'exinext'&       "extract retry information"
-.irow &<<SECThindatmai>>&     &'exim_dumpdb'&   "dump a hints database"
-.irow &<<SECThindatmai>>&     &'exim_tidydb'&   "clean up a hints database"
-.irow &<<SECThindatmai>>&     &'exim_fixdb'&    "patch a hints database"
+.irow &<<SECTdumpdb>>&        &'exim_dumpdb'&   "dump a hints database"
+.irow &<<SECTtidydb>>&        &'exim_tidydb'&   "clean up a hints database"
+.irow &<<SECTfixdb>>&         &'exim_fixdb'&    "patch a hints database"
  .irow &<<SECTmailboxmaint>>&  &'exim_lock'&     "lock a mailbox file"
  .endtable
  
  .irow &<<SECTmailboxmaint>>&  &'exim_lock'&     "lock a mailbox file"
  .endtable
  
@@ -39068,7 +39122,7 @@ in a transport)
  
  
  
  
  
  
-.section "exim_dumpdb" "SECID261"
+.section "exim_dumpdb" "SECTdumpdb"
  .cindex "&'exim_dumpdb'&"
  The entire contents of a database are written to the standard output by the
  &'exim_dumpdb'& program, which has no options or arguments other than the
  .cindex "&'exim_dumpdb'&"
  The entire contents of a database are written to the standard output by the
  &'exim_dumpdb'& program, which has no options or arguments other than the
@@ -39105,7 +39159,7 @@ cross-references.
  
  
  
  
  
  
-.section "exim_tidydb" "SECID262"
+.section "exim_tidydb" "SECTtidydb"
  .cindex "&'exim_tidydb'&"
  The &'exim_tidydb'& utility program is used to tidy up the contents of a hints
  database. If run with no options, it removes all records that are more than 30
  .cindex "&'exim_tidydb'&"
  The &'exim_tidydb'& utility program is used to tidy up the contents of a hints
  database. If run with no options, it removes all records that are more than 30
@@ -39154,7 +39208,7 @@ databases is likely to keep on increasing.
  
  
  
  
  
  
-.section "exim_fixdb" "SECID263"
+.section "exim_fixdb" "SECTfixdb"
  .cindex "&'exim_fixdb'&"
  The &'exim_fixdb'& program is a utility for interactively modifying databases.
  Its main use is for testing Exim, but it might also be occasionally useful for
  .cindex "&'exim_fixdb'&"
  The &'exim_fixdb'& program is a utility for interactively modifying databases.
  Its main use is for testing Exim, but it might also be occasionally useful for