Move ESMPT LIMITS extension from experimental to mainline

[exim.git] / src / src / transports / smtp.c
diff --git a/src/src/transports/smtp.c b/src/src/transports/smtp.c

index e2368da132ea914d5de5cd21367f7b8aa80ecaad..596a328c36bce6183ed464d6090f33bbff9ab984 100644 (file)
--- a/src/src/transports/smtp.c
+++ b/src/src/transports/smtp.c
@@ -2,9 +2,10 @@
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
+/* Copyright (c) The Exim Maintainers 2020 - 2023 */
  /* Copyright (c) University of Cambridge 1995 - 2018 */
  /* Copyright (c) University of Cambridge 1995 - 2018 */
-/* Copyright (c) The Exim Maintainers 2020 - 2021 */
  /* See the file NOTICE for conditions of use and distribution. */
  /* See the file NOTICE for conditions of use and distribution. */
+/* SPDX-License-Identifier: GPL-2.0-or-later */
  
  #include "../exim.h"
  #include "smtp.h"
  
  #include "../exim.h"
  #include "smtp.h"
@@ -113,7 +114,7 @@ optionlist smtp_transport_options[] = {
    { "interface",            opt_stringptr, LOFF(interface) },
    { "keepalive",            opt_bool,     LOFF(keepalive) },
    { "lmtp_ignore_quota",    opt_bool,     LOFF(lmtp_ignore_quota) },
    { "interface",            opt_stringptr, LOFF(interface) },
    { "keepalive",            opt_bool,     LOFF(keepalive) },
    { "lmtp_ignore_quota",    opt_bool,     LOFF(lmtp_ignore_quota) },
-  { "max_rcpt",             opt_int | opt_public,
+  { "max_rcpt",             opt_stringptr | opt_public,
        OPT_OFF(transport_instance, max_addresses) },
    { "message_linelength_limit", opt_int,   LOFF(message_linelength_limit) },
    { "multi_domain",         opt_expand_bool | opt_public,
        OPT_OFF(transport_instance, max_addresses) },
    { "message_linelength_limit", opt_int,   LOFF(message_linelength_limit) },
    { "multi_domain",         opt_expand_bool | opt_public,
@@ -202,9 +203,6 @@ smtp_transport_options_block smtp_transport_option_defaults = {
    .tls_tempfail_tryclear =     TRUE,
    .tls_try_verify_hosts =      US"*",
    .tls_verify_cert_hostnames = US"*",
    .tls_tempfail_tryclear =     TRUE,
    .tls_try_verify_hosts =      US"*",
    .tls_verify_cert_hostnames = US"*",
-# ifndef DISABLE_TLS_RESUME
-  .host_name_extract =         US"${if and {{match{$host}{.outlook.com\\$}} {match{$item}{\\N^250-([\\w.]+)\\s\\N}}} {$1}}",
-# endif
  #endif
  #ifdef SUPPORT_I18N
    .utf8_downconvert =          US"-1",
  #endif
  #ifdef SUPPORT_I18N
    .utf8_downconvert =          US"-1",
@@ -237,6 +235,17 @@ static BOOL    pipelining_active;  /* current transaction is in pipe mode */
  
  static unsigned ehlo_response(uschar * buf, unsigned checks);
  
  
  static unsigned ehlo_response(uschar * buf, unsigned checks);
  
+/* sync_responses() return codes */
+
+#define RESP_BIT_HAD_5XX       BIT(1)
+#define RESP_BIT_HAD_2XX       BIT(0)
+#define RESP_HAD_2_AND_5       (RESP_BIT_HAD_2XX | RESP_BIT_HAD_5XX)
+#define RESP_NOERROR           0
+#define RESP_RCPT_TIMEO                -1
+#define RESP_RCPT_ERROR                -2
+#define RESP_MAIL_OR_DATA_ERROR        -3
+#define RESP_EPIPE_EHLO_ERR    -4
+#define RESP_EHLO_ERR_TLS      -5
  
  /******************************************************************************/
  
  
  /******************************************************************************/
  
@@ -268,14 +277,14 @@ struct list
  #ifndef DISABLE_PIPE_CONNECT
      { &regex_EARLY_PIPE,       US"\\n250[\\s\\-]" EARLY_PIPE_FEATURE_NAME "(\\s|\\n|$)" },
  #endif
  #ifndef DISABLE_PIPE_CONNECT
      { &regex_EARLY_PIPE,       US"\\n250[\\s\\-]" EARLY_PIPE_FEATURE_NAME "(\\s|\\n|$)" },
  #endif
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
      { &regex_LIMITS,           US"\\n250[\\s\\-]LIMITS\\s" },
  #endif
    };
  
  for (struct list * l = list; l < list + nelem(list); l++)
    if (!*l->re)
      { &regex_LIMITS,           US"\\n250[\\s\\-]LIMITS\\s" },
  #endif
    };
  
  for (struct list * l = list; l < list + nelem(list); l++)
    if (!*l->re)
-    *l->re = regex_must_compile(l->string, FALSE, TRUE);
+    *l->re = regex_must_compile(l->string, MCS_NOFLAGS, TRUE);
  }
  
  
  }
  
  
@@ -351,7 +360,7 @@ Returns:    nothing
  void
  smtp_transport_init(transport_instance *tblock)
  {
  void
  smtp_transport_init(transport_instance *tblock)
  {
-smtp_transport_options_block *ob = SOB tblock->options_block;
+smtp_transport_options_block * ob = SOB tblock->options_block;
  int old_pool = store_pool;
  
  /* Retry_use_local_part defaults FALSE if unset */
  int old_pool = store_pool;
  
  /* Retry_use_local_part defaults FALSE if unset */
@@ -625,8 +634,8 @@ if (suffix)
  else
    message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
  
  else
    message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
  
-log_write(0, LOG_MAIN, "%s", string_from_gstring(message));
-deliver_msglog("%s %s\n", tod_stamp(tod_log), message->s);
+log_write(0, LOG_MAIN, "%Y", message);
+deliver_msglog("%s %.*s\n", tod_stamp(tod_log), message->ptr, message->s);
  }
  
  static void
  }
  
  static void
@@ -658,8 +667,7 @@ static void
  deferred_event_raise(address_item * addr, host_item * host, uschar * evstr)
  {
  uschar * action = addr->transport->event_action;
  deferred_event_raise(address_item * addr, host_item * host, uschar * evstr)
  {
  uschar * action = addr->transport->event_action;
-const uschar * save_domain;
-uschar * save_local;
+const uschar * save_domain, * save_local;
  
  if (!action)
    return;
  
  if (!action)
    return;
@@ -764,9 +772,32 @@ return TRUE;
  }
  
  
  }
  
  
+#if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
+
+/* Grab a string differentiating server behind a loadbalancer, for TLS
+resumption when such servers do not share a session-cache */
+
+static void
+ehlo_response_lbserver(smtp_context * sx, const uschar * name_extract)
+{
+const uschar * s;
+uschar * save_item = iterate_item;
+
+if (sx->conn_args.have_lbserver)
+  return;
+iterate_item = sx->buffer;
+s = expand_cstring(name_extract);
+iterate_item = save_item;
+sx->conn_args.host_lbserver = s && !*s ? NULL : s;
+sx->conn_args.have_lbserver = TRUE;
+}
+#endif
+
+
+
  /******************************************************************************/
  
  /******************************************************************************/
  
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
  /* If TLS, or TLS not offered, called with the EHLO response in the buffer.
  Check it for a LIMITS keyword and parse values into the smtp context structure.
  
  /* If TLS, or TLS not offered, called with the EHLO response in the buffer.
  Check it for a LIMITS keyword and parse values into the smtp context structure.
  
@@ -833,10 +864,12 @@ ehlo_limits_apply(sx, sx->peer_limit_mail, sx->peer_limit_rcpt,
  static void
  ehlo_cache_limits_apply(smtp_context * sx)
  {
  static void
  ehlo_cache_limits_apply(smtp_context * sx)
  {
+# ifndef DISABLE_PIPE_CONNECT
  ehlo_limits_apply(sx, sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
    sx->ehlo_resp.limit_rcptdom);
  ehlo_limits_apply(sx, sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
    sx->ehlo_resp.limit_rcptdom);
+# endif
  }
  }
-#endif
+#endif /*EXPERIMENTAL_ESMTP_LIMITS*/
  
  /******************************************************************************/
  
  
  /******************************************************************************/
  
@@ -867,11 +900,11 @@ write_ehlo_cache_entry(smtp_context * sx)
  {
  open_db dbblock, * dbm_file;
  
  {
  open_db dbblock, * dbm_file;
  
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+# ifndef DISABLE_ESMTP_LIMITS
  sx->ehlo_resp.limit_mail = sx->peer_limit_mail;
  sx->ehlo_resp.limit_rcpt = sx->peer_limit_rcpt;
  sx->ehlo_resp.limit_rcptdom = sx->peer_limit_rcptdom;
  sx->ehlo_resp.limit_mail = sx->peer_limit_mail;
  sx->ehlo_resp.limit_rcpt = sx->peer_limit_rcpt;
  sx->ehlo_resp.limit_rcptdom = sx->peer_limit_rcptdom;
-#endif
+# endif
  
  if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
    {
  
  if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
    {
@@ -879,7 +912,7 @@ if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
    dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
  
    HDEBUG(D_transport)
    dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
  
    HDEBUG(D_transport)
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+# ifndef DISABLE_ESMTP_LIMITS
      if (sx->ehlo_resp.limit_mail || sx->ehlo_resp.limit_rcpt || sx->ehlo_resp.limit_rcptdom)
        debug_printf("writing clr %04x/%04x cry %04x/%04x lim %05d/%05d/%05d\n",
         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
      if (sx->ehlo_resp.limit_mail || sx->ehlo_resp.limit_rcpt || sx->ehlo_resp.limit_rcptdom)
        debug_printf("writing clr %04x/%04x cry %04x/%04x lim %05d/%05d/%05d\n",
         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
@@ -887,7 +920,7 @@ if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
         sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
         sx->ehlo_resp.limit_rcptdom);
      else
         sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
         sx->ehlo_resp.limit_rcptdom);
      else
-#endif
+# endif
        debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
        debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
@@ -906,6 +939,16 @@ if (  sx->early_pipe_active
     && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
    {
    uschar * ehlo_resp_key = ehlo_cache_key(sx);
     && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
    {
    uschar * ehlo_resp_key = ehlo_cache_key(sx);
+  HDEBUG(D_transport)
+    {
+    dbdata_ehlo_resp * er;
+
+    if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
+      debug_printf("no ehlo-resp record!\n");
+    else
+      debug_printf("ehlo-resp record is %d seconds old\n", time(NULL) - er->time_stamp);
+    }
+
    dbfn_delete(dbm_file, ehlo_resp_key);
    dbfn_close(dbm_file);
    }
    dbfn_delete(dbm_file, ehlo_resp_key);
    dbfn_close(dbm_file);
    }
@@ -936,7 +979,7 @@ else
    else
      {
      DEBUG(D_transport)
    else
      {
      DEBUG(D_transport)
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+# ifndef DISABLE_ESMTP_LIMITS
        if (er->data.limit_mail || er->data.limit_rcpt || er->data.limit_rcptdom)
         debug_printf("EHLO response bits from cache:"
           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x lim %05d/%05d/%05d\n",
        if (er->data.limit_mail || er->data.limit_rcpt || er->data.limit_rcptdom)
         debug_printf("EHLO response bits from cache:"
           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x lim %05d/%05d/%05d\n",
@@ -944,16 +987,16 @@ else
           er->data.crypted_features, er->data.crypted_auths,
           er->data.limit_mail, er->data.limit_rcpt, er->data.limit_rcptdom);
        else
           er->data.crypted_features, er->data.crypted_auths,
           er->data.limit_mail, er->data.limit_rcpt, er->data.limit_rcptdom);
        else
-#endif
+# endif
         debug_printf("EHLO response bits from cache:"
           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x\n",
           er->data.cleartext_features, er->data.cleartext_auths,
           er->data.crypted_features, er->data.crypted_auths);
  
      sx->ehlo_resp = er->data;
         debug_printf("EHLO response bits from cache:"
           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x\n",
           er->data.cleartext_features, er->data.cleartext_auths,
           er->data.crypted_features, er->data.crypted_auths);
  
      sx->ehlo_resp = er->data;
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+# ifndef DISABLE_ESMTP_LIMITS
      ehlo_cache_limits_apply(sx);
      ehlo_cache_limits_apply(sx);
-#endif
+# endif
      dbfn_close(dbm_file);
      return TRUE;
      }
      dbfn_close(dbm_file);
      return TRUE;
      }
@@ -965,7 +1008,7 @@ return FALSE;
  
  
  /* Return an auths bitmap for the set of AUTH methods offered by the server
  
  
  /* Return an auths bitmap for the set of AUTH methods offered by the server
-which match our authenticators. */
+which match our client-side authenticators. */
  
  static unsigned short
  study_ehlo_auths(smtp_context * sx)
  
  static unsigned short
  study_ehlo_auths(smtp_context * sx)
@@ -976,7 +1019,7 @@ uschar authnum;
  unsigned short authbits = 0;
  
  if (!sx->esmtp) return 0;
  unsigned short authbits = 0;
  
  if (!sx->esmtp) return 0;
-if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, FALSE, TRUE);
+if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
  if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
  expand_nmax = -1;                                              /* reset */
  names = string_copyn(expand_nstring[1], expand_nlength[1]);
  if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
  expand_nmax = -1;                                              /* reset */
  names = string_copyn(expand_nstring[1], expand_nlength[1]);
@@ -991,7 +1034,7 @@ for (au = auths, authnum = 0; au; au = au->next, authnum++) if (au->client)
    }
  
  DEBUG(D_transport)
    }
  
  DEBUG(D_transport)
-  debug_printf("server offers %s AUTH, methods '%s', bitmap 0x%04x\n",
+  debug_printf("server offers %s AUTH, methods '%s', usable-bitmap 0x%04x\n",
      tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
  
  if (tls_out.active.sock >= 0)
      tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
  
  if (tls_out.active.sock >= 0)
@@ -1032,6 +1075,8 @@ sx->pending_EHLO = FALSE;
  
  if (pending_BANNER)
    {
  
  if (pending_BANNER)
    {
+  const uschar * s;
+
    DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
    (*countp)--;
    if (!smtp_reap_banner(sx))
    DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
    (*countp)--;
    if (!smtp_reap_banner(sx))
@@ -1040,6 +1085,13 @@ if (pending_BANNER)
      if (tls_out.active.sock >= 0) rc = DEFER;
      goto fail;
      }
      if (tls_out.active.sock >= 0) rc = DEFER;
      goto fail;
      }
+  /*XXX EXPERIMENTAL_ESMTP_LIMITS ? */
+
+# ifndef DISABLE_TLS_RESUME
+  s = ((smtp_transport_options_block *)sx->conn_args.ob)->host_name_extract;
+  if (!s) s = HNE_DEFAULT;
+  ehlo_response_lbserver(sx, s);
+# endif
    }
  
  if (pending_EHLO)
    }
  
  if (pending_EHLO)
@@ -1068,11 +1120,10 @@ if (pending_EHLO)
         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
         | OPTION_UTF8 | OPTION_EARLY_PIPE
         );
         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
         | OPTION_UTF8 | OPTION_EARLY_PIPE
         );
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+# ifndef DISABLE_ESMTP_LIMITS
    if (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
      ehlo_response_limits_read(sx);
    if (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
      ehlo_response_limits_read(sx);
-#endif
-/*XXX RESUMP - EHLO-resp avail here int sx->buffer */
+# endif
    if (  peer_offered != sx->peer_offered
       || (authbits = study_ehlo_auths(sx)) != *ap)
      {
    if (  peer_offered != sx->peer_offered
       || (authbits = study_ehlo_auths(sx)) != *ap)
      {
@@ -1089,11 +1140,14 @@ if (pending_EHLO)
        write_ehlo_cache_entry(sx);
        }
      else
        write_ehlo_cache_entry(sx);
        }
      else
+      {
        invalidate_ehlo_cache_entry(sx);
        invalidate_ehlo_cache_entry(sx);
+      sx->early_pipe_active = FALSE;   /* cancel further early-pipe on this conn */
+      }
  
      return OK;         /* just carry on */
      }
  
      return OK;         /* just carry on */
      }
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+# ifndef DISABLE_ESMTP_LIMITS
      /* If we are handling LIMITS, compare the actual EHLO LIMITS values with the
      cached values and invalidate cache if different.  OK to carry on with
      connect since values are advisory. */
      /* If we are handling LIMITS, compare the actual EHLO LIMITS values with the
      cached values and invalidate cache if different.  OK to carry on with
      connect since values are advisory. */
@@ -1117,7 +1171,7 @@ if (pending_EHLO)
        invalidate_ehlo_cache_entry(sx);
        }
      }
        invalidate_ehlo_cache_entry(sx);
        }
      }
-#endif
+# endif
    }
  return OK;
  
    }
  return OK;
  
@@ -1182,7 +1236,7 @@ int yield = 0;
  #ifndef DISABLE_PIPE_CONNECT
  int rc;
  if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
  #ifndef DISABLE_PIPE_CONNECT
  int rc;
  if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
-  return rc == FAIL ? -4 : -5;
+  return rc == FAIL ? RESP_EPIPE_EHLO_ERR : RESP_EHLO_ERR_TLS;
  #endif
  
  /* Handle the response for a MAIL command. On error, reinstate the original
  #endif
  
  /* Handle the response for a MAIL command. On error, reinstate the original
@@ -1200,7 +1254,7 @@ if (sx->pending_MAIL)
      DEBUG(D_transport) debug_printf("bad response for MAIL\n");
      Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
      if (errno == ERRNO_TLSFAILURE)
      DEBUG(D_transport) debug_printf("bad response for MAIL\n");
      Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
      if (errno == ERRNO_TLSFAILURE)
-      return -5;
+      return RESP_EHLO_ERR_TLS;
      if (errno == 0 && sx->buffer[0] != 0)
        {
        int save_errno = 0;
      if (errno == 0 && sx->buffer[0] != 0)
        {
        int save_errno = 0;
@@ -1220,7 +1274,7 @@ if (sx->pending_MAIL)
        addr->host_used = sx->conn_args.host;
        addr = addr->next;
        }
        addr->host_used = sx->conn_args.host;
        addr = addr->next;
        }
-    return -3;
+    return RESP_MAIL_OR_DATA_ERROR;
      }
    }
  
      }
    }
  
@@ -1234,7 +1288,7 @@ while (count-- > 0)
    {
    while (addr->transport_return != PENDING_DEFER)
      if (!(addr = addr->next))
    {
    while (addr->transport_return != PENDING_DEFER)
      if (!(addr = addr->next))
-      return -2;
+      return RESP_RCPT_ERROR;
  
    /* The address was accepted */
    addr->host_used = sx->conn_args.host;
  
    /* The address was accepted */
    addr->host_used = sx->conn_args.host;
@@ -1243,7 +1297,7 @@ while (count-- > 0)
    if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
                           '2', ob->command_timeout))
      {
    if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
                           '2', ob->command_timeout))
      {
-    yield |= 1;
+    yield |= RESP_BIT_HAD_2XX;
      addr->transport_return = PENDING_OK;
  
      /* If af_dr_retry_exists is set, there was a routing delay on this address;
      addr->transport_return = PENDING_OK;
  
      /* If af_dr_retry_exists is set, there was a routing delay on this address;
@@ -1262,7 +1316,7 @@ while (count-- > 0)
    /* Error on first TLS read */
  
    else if (errno == ERRNO_TLSFAILURE)
    /* Error on first TLS read */
  
    else if (errno == ERRNO_TLSFAILURE)
-    return -5;
+    return RESP_EHLO_ERR_TLS;
  
    /* Timeout while reading the response */
  
  
    /* Timeout while reading the response */
  
@@ -1273,7 +1327,7 @@ while (count-- > 0)
      set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE, &sx->delivery_start);
      retry_add_item(addr, addr->address_retry_key, 0);
      update_waiting = FALSE;
      set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE, &sx->delivery_start);
      retry_add_item(addr, addr->address_retry_key, 0);
      update_waiting = FALSE;
-    return -1;
+    return RESP_RCPT_TIMEO;
      }
  
    /* Handle other errors in obtaining an SMTP response by returning -1. This
      }
  
    /* Handle other errors in obtaining an SMTP response by returning -1. This
@@ -1291,7 +1345,7 @@ while (count-- > 0)
      g = string_fmt_append_f(g, SVFMT_TAINT_NOCHK, "RCPT TO:<%s>",
        transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
      string_from_gstring(g);
      g = string_fmt_append_f(g, SVFMT_TAINT_NOCHK, "RCPT TO:<%s>",
        transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
      string_from_gstring(g);
-    return -2;
+    return RESP_RCPT_ERROR;
      }
  
    /* Handle SMTP permanent and temporary response codes. */
      }
  
    /* Handle SMTP permanent and temporary response codes. */
@@ -1311,7 +1365,7 @@ while (count-- > 0)
      if (sx->buffer[0] == '5')
        {
        addr->transport_return = FAIL;
      if (sx->buffer[0] == '5')
        {
        addr->transport_return = FAIL;
-      yield |= 2;
+      yield |= RESP_BIT_HAD_5XX;
        }
  
      /* The response was 4xx */
        }
  
      /* The response was 4xx */
@@ -1331,7 +1385,7 @@ while (count-- > 0)
         /* If a 452 and we've had at least one 2xx or 5xx, set next_addr to the
         start point for another MAIL command. */
  
         /* If a 452 and we've had at least one 2xx or 5xx, set next_addr to the
         start point for another MAIL command. */
  
-       if (addr->more_errno >> 8 == 52  &&  yield & 3)
+       if (addr->more_errno >> 8 == 52  &&  yield > 0)
           {
           if (!sx->RCPT_452)            /* initialised at MAIL-ack above */
             {
           {
           if (!sx->RCPT_452)            /* initialised at MAIL-ack above */
             {
@@ -1381,7 +1435,7 @@ while (count-- > 0)
        }
      }
    if (count && !(addr = addr->next))
        }
      }
    if (count && !(addr = addr->next))
-    return -2;
+    return RESP_RCPT_ERROR;
    }       /* Loop for next RCPT response */
  
  /* Update where to start at for the next block of responses, unless we
    }       /* Loop for next RCPT response */
  
  /* Update where to start at for the next block of responses, unless we
@@ -1403,16 +1457,16 @@ if (pending_DATA != 0)
      BOOL pass_message;
  
      if (errno == ERRNO_TLSFAILURE)     /* Error on first TLS read */
      BOOL pass_message;
  
      if (errno == ERRNO_TLSFAILURE)     /* Error on first TLS read */
-      return -5;
+      return RESP_EHLO_ERR_TLS;
  
  
-    if (pending_DATA > 0 || (yield & 1) != 0)
+    if (pending_DATA > 0 || yield & RESP_BIT_HAD_2XX)
        {
        if (errno == 0 && sx->buffer[0] == '4')
         {
         errno = ERRNO_DATA4XX;
         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
         }
        {
        if (errno == 0 && sx->buffer[0] == '4')
         {
         errno = ERRNO_DATA4XX;
         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
         }
-      return -3;
+      return RESP_MAIL_OR_DATA_ERROR;
        }
      (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
      DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
        }
      (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
      DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
@@ -1451,7 +1505,7 @@ rc = (au->info->clientcode)(au, sx, ob->command_timeout,
                             sx->buffer, sizeof(sx->buffer));
  sx->outblock.authenticating = FALSE;
  driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
                             sx->buffer, sizeof(sx->buffer));
  sx->outblock.authenticating = FALSE;
  driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
-DEBUG(D_transport) debug_printf("%s authenticator yielded %d\n", au->name, rc);
+DEBUG(D_transport) debug_printf("%s authenticator yielded %s\n", au->name, rc_names[rc]);
  
  /* A temporary authentication failure must hold up delivery to
  this host. After a permanent authentication failure, we carry on
  
  /* A temporary authentication failure must hold up delivery to
  this host. After a permanent authentication failure, we carry on
@@ -1475,10 +1529,25 @@ switch(rc)
    /* Failure after reading a response */
  
    case FAIL:
    /* Failure after reading a response */
  
    case FAIL:
+    {
+    uschar * logmsg = NULL;
+
      if (errno != 0 || sx->buffer[0] != '5') return FAIL;
      if (errno != 0 || sx->buffer[0] != '5') return FAIL;
-    log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
-      au->name, host->name, host->address, sx->buffer);
+#ifndef DISABLE_EVENT
+     {
+      uschar * save_name = sender_host_authenticated;
+      sender_host_authenticated = au->name;
+      if ((logmsg = event_raise(sx->conn_args.tblock->event_action, US"auth:fail",
+                               sx->buffer, NULL)))
+       log_write(0, LOG_MAIN, "%s", logmsg);
+      sender_host_authenticated = save_name;
+     }
+#endif
+    if (!logmsg)
+      log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
+       au->name, host->name, host->address, sx->buffer);
      break;
      break;
+    }
  
    /* Failure by some other means. In effect, the authenticator
    decided it wasn't prepared to handle this case. Typically this
  
    /* Failure by some other means. In effect, the authenticator
    decided it wasn't prepared to handle this case. Typically this
@@ -1538,7 +1607,7 @@ f.smtp_authenticated = FALSE;
  client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
  
  if (!regex_AUTH)
  client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
  
  if (!regex_AUTH)
-  regex_AUTH = regex_must_compile(AUTHS_REGEX, FALSE, TRUE);
+  regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
  
  /* Is the server offering AUTH? */
  
  
  /* Is the server offering AUTH? */
  
@@ -1737,7 +1806,7 @@ return FALSE;
  
  typedef struct smtp_compare_s
  {
  
  typedef struct smtp_compare_s
  {
-    uschar *                   current_sender_address;
+    const uschar *             current_sender_address;
      struct transport_instance *        tblock;
  } smtp_compare_t;
  
      struct transport_instance *        tblock;
  } smtp_compare_t;
  
@@ -1747,7 +1816,7 @@ sender_address, helo_data and tls_certificate if enabled.
  */
  
  static uschar *
  */
  
  static uschar *
-smtp_local_identity(uschar * sender, struct transport_instance * tblock)
+smtp_local_identity(const uschar * sender, struct transport_instance * tblock)
  {
  address_item * addr1;
  uschar * if1 = US"";
  {
  address_item * addr1;
  uschar * if1 = US"";
@@ -1755,7 +1824,7 @@ uschar * helo1 = US"";
  #ifndef DISABLE_TLS
  uschar * tlsc1 = US"";
  #endif
  #ifndef DISABLE_TLS
  uschar * tlsc1 = US"";
  #endif
-uschar * save_sender_address = sender_address;
+const uschar * save_sender_address = sender_address;
  uschar * local_identity = NULL;
  smtp_transport_options_block * ob = SOB tblock->options_block;
  
  uschar * local_identity = NULL;
  smtp_transport_options_block * ob = SOB tblock->options_block;
  
@@ -1824,85 +1893,63 @@ pcre2_match_data * md = pcre2_match_data_create(1, pcre_gen_ctx);
  #ifndef DISABLE_TLS
  if (  checks & OPTION_TLS
     && pcre2_match(regex_STARTTLS,
  #ifndef DISABLE_TLS
  if (  checks & OPTION_TLS
     && pcre2_match(regex_STARTTLS,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
  #endif
    checks &= ~OPTION_TLS;
  
  if (  checks & OPTION_IGNQ
     && pcre2_match(regex_IGNOREQUOTA,
  #endif
    checks &= ~OPTION_TLS;
  
  if (  checks & OPTION_IGNQ
     && pcre2_match(regex_IGNOREQUOTA,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
    checks &= ~OPTION_IGNQ;
  
  if (  checks & OPTION_CHUNKING
     && pcre2_match(regex_CHUNKING,
    checks &= ~OPTION_IGNQ;
  
  if (  checks & OPTION_CHUNKING
     && pcre2_match(regex_CHUNKING,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
    checks &= ~OPTION_CHUNKING;
  
  #ifndef DISABLE_PRDR
  if (  checks & OPTION_PRDR
     && pcre2_match(regex_PRDR,
    checks &= ~OPTION_CHUNKING;
  
  #ifndef DISABLE_PRDR
  if (  checks & OPTION_PRDR
     && pcre2_match(regex_PRDR,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
  #endif
    checks &= ~OPTION_PRDR;
  
  #ifdef SUPPORT_I18N
  if (  checks & OPTION_UTF8
     && pcre2_match(regex_UTF8,
  #endif
    checks &= ~OPTION_PRDR;
  
  #ifdef SUPPORT_I18N
  if (  checks & OPTION_UTF8
     && pcre2_match(regex_UTF8,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
  #endif
    checks &= ~OPTION_UTF8;
  
  if (  checks & OPTION_DSN
     && pcre2_match(regex_DSN,
  #endif
    checks &= ~OPTION_UTF8;
  
  if (  checks & OPTION_DSN
     && pcre2_match(regex_DSN,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
    checks &= ~OPTION_DSN;
  
  if (  checks & OPTION_PIPE
     && pcre2_match(regex_PIPELINING,
    checks &= ~OPTION_DSN;
  
  if (  checks & OPTION_PIPE
     && pcre2_match(regex_PIPELINING,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
    checks &= ~OPTION_PIPE;
  
  if (  checks & OPTION_SIZE
     && pcre2_match(regex_SIZE,
    checks &= ~OPTION_PIPE;
  
  if (  checks & OPTION_SIZE
     && pcre2_match(regex_SIZE,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
    checks &= ~OPTION_SIZE;
  
  #ifndef DISABLE_PIPE_CONNECT
  if (  checks & OPTION_EARLY_PIPE
     && pcre2_match(regex_EARLY_PIPE,
    checks &= ~OPTION_SIZE;
  
  #ifndef DISABLE_PIPE_CONNECT
  if (  checks & OPTION_EARLY_PIPE
     && pcre2_match(regex_EARLY_PIPE,
-                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
+                 (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
  #endif
    checks &= ~OPTION_EARLY_PIPE;
  
  #endif
    checks &= ~OPTION_EARLY_PIPE;
  
-pcre2_match_data_free(md);
+/* pcre2_match_data_free(md);  gen ctx needs no free */
  /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
  return checks;
  }
  
  
  
  /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
  return checks;
  }
  
  
  
-/* Grab a string differentiating server behind a loadbalancer, for TLS
-resumption when such servers do not share a session-cache */
-
-static const uschar *
-ehlo_response_lbserver(uschar * buffer, smtp_transport_options_block * ob)
-{
-#if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
-/* want to make this a main-section option */
-const uschar * s;
-uschar * save_item = iterate_item;
-
-iterate_item = buffer;
-s = expand_cstring(ob->host_name_extract);
-iterate_item = save_item;
-return s && !*s ? NULL : s;
-#else
-return NULL;
-#endif
-}
-
-
-
  /* Callback for emitting a BDAT data chunk header.
  
  If given a nonzero size, first flush any buffered SMTP commands
  /* Callback for emitting a BDAT data chunk header.
  
  If given a nonzero size, first flush any buffered SMTP commands
@@ -1972,18 +2019,18 @@ if (flags & tc_reap_prev  &&  prev_cmd_count > 0)
  
    switch(sync_responses(sx, prev_cmd_count, 0))
      {
  
    switch(sync_responses(sx, prev_cmd_count, 0))
      {
-    case 1:                            /* 2xx (only) => OK */
-    case 3: sx->good_RCPT = TRUE;      /* 2xx & 5xx => OK & progress made */
-    case 2: sx->completed_addr = TRUE; /* 5xx (only) => progress made */
-    case 0: break;                     /* No 2xx or 5xx, but no probs */
+    case RESP_BIT_HAD_2XX:                             /* OK */
+    case RESP_HAD_2_AND_5: sx->good_RCPT = TRUE;       /* OK & progress made */
+    case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE;  /* progress made */
+    case RESP_NOERROR:    break;       /* No 2xx or 5xx, but no probs */
  
  
-    case -5: errno = ERRNO_TLSFAILURE;
-            return DEFER;
+    case RESP_EHLO_ERR_TLS:errno = ERRNO_TLSFAILURE;
+                          return DEFER;
  #ifndef DISABLE_PIPE_CONNECT
  #ifndef DISABLE_PIPE_CONNECT
-    case -4:                           /* non-2xx for pipelined banner or EHLO */
+    case RESP_EPIPE_EHLO_ERR:          /* non-2xx for pipelined banner or EHLO */
  #endif
  #endif
-    case -1:                           /* Timeout on RCPT */
-    default: return ERROR;             /* I/O error, or any MAIL/DATA error */
+    case RESP_RCPT_TIMEO:              /* Timeout on RCPT */
+    default:              return ERROR;/* I/O error, or any MAIL/DATA error */
      }
    cmd_count = 1;
    if (!sx->pending_BDAT)
      }
    cmd_count = 1;
    if (!sx->pending_BDAT)
@@ -2102,8 +2149,9 @@ sx->dane_required =
    verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
  #endif
  
    verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
  #endif
  
-if ((sx->max_mail = sx->conn_args.tblock->connection_max_messages) == 0) sx->max_mail = 999999;
-if ((sx->max_rcpt = sx->conn_args.tblock->max_addresses) == 0)           sx->max_rcpt = 999999;
+if ((sx->max_mail = sx->conn_args.tblock->connection_max_messages) == 0)
+  sx->max_mail = UNLIMITED_ADDRS;
+sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
  sx->igquotstr = US"";
  if (!sx->helo_data) sx->helo_data = ob->helo_data;
  
  sx->igquotstr = US"";
  if (!sx->helo_data) sx->helo_data = ob->helo_data;
  
@@ -2257,7 +2305,7 @@ if (!continue_hostname)
  
    sx->cctx.tls_ctx = NULL;
    sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
  
    sx->cctx.tls_ctx = NULL;
    sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
    sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom =
  #endif
    sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
    sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom =
  #endif
    sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
@@ -2441,10 +2489,21 @@ goto SEND_QUIT;
  #ifndef DISABLE_TLS
    if (sx->smtps)
      {
  #ifndef DISABLE_TLS
    if (sx->smtps)
      {
+    const uschar * s;
+
      smtp_peer_options |= OPTION_TLS;
      suppress_tls = FALSE;
      ob->tls_tempfail_tryclear = FALSE;
      smtp_command = US"SSL-on-connect";
      smtp_peer_options |= OPTION_TLS;
      suppress_tls = FALSE;
      ob->tls_tempfail_tryclear = FALSE;
      smtp_command = US"SSL-on-connect";
+
+# ifndef DISABLE_TLS_RESUME
+    /* Having no EHLO response yet, cannot peek there for a servername to detect
+    an LB.  Call this anyway, so that a dummy host_name_extract option value can
+    force resumption attempts. */
+
+    if (!(s = ob->host_name_extract)) s = US"never-LB";
+    ehlo_response_lbserver(sx, s);
+# endif
      goto TLS_NEGOTIATE;
      }
  #endif
      goto TLS_NEGOTIATE;
      }
  #endif
@@ -2475,7 +2534,7 @@ goto SEND_QUIT;
         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
           goto SEND_FAILED;
         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
           goto SEND_FAILED;
-       if (sync_responses(sx, 2, 0) != 0)
+       if (sync_responses(sx, 2, 0) != RESP_NOERROR)
           {
           HDEBUG(D_transport)
             debug_printf("failed reaping pipelined cmd responses\n");
           {
           HDEBUG(D_transport)
             debug_printf("failed reaping pipelined cmd responses\n");
@@ -2532,6 +2591,8 @@ goto SEND_QUIT;
      if (!sx->early_pipe_active)
  #endif
        {
      if (!sx->early_pipe_active)
  #endif
        {
+      const uschar * s;
+
        sx->peer_offered = ehlo_response(sx->buffer,
         OPTION_TLS      /* others checked later */
  #ifndef DISABLE_PIPE_CONNECT
        sx->peer_offered = ehlo_response(sx->buffer,
         OPTION_TLS      /* others checked later */
  #ifndef DISABLE_PIPE_CONNECT
@@ -2545,10 +2606,8 @@ goto SEND_QUIT;
           : 0
           )
  #endif
           : 0
           )
  #endif
-/*XXX RESUMP - sx->buffer has the EHLO-resp, but only if not early-pipe and not continued-connection */
-/* maybe disable resump on cont? */
         );
         );
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
        if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
         {
         ehlo_response_limits_read(sx);
        if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
         {
         ehlo_response_limits_read(sx);
@@ -2563,13 +2622,16 @@ goto SEND_QUIT;
         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
            == (OPTION_PIPE | OPTION_EARLY_PIPE))
           {
         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
            == (OPTION_PIPE | OPTION_EARLY_PIPE))
           {
-         DEBUG(D_transport) debug_printf("PIPE_CONNECT usable in future for this IP\n");
+         DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
           write_ehlo_cache_entry(sx);
           }
         }
  #endif
           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
           write_ehlo_cache_entry(sx);
           }
         }
  #endif
-      sx->conn_args.host_lbserver = ehlo_response_lbserver(sx->buffer, ob);
+#ifndef DISABLE_TLS_RESUME
+      if (!(s = ob->host_name_extract)) s = HNE_DEFAULT;
+      ehlo_response_lbserver(sx, s);
+#endif
        }
  
    /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
        }
  
    /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
@@ -2610,7 +2672,7 @@ else
    sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
    smtp_command = big_buffer;
    sx->peer_offered = smtp_peer_options;
    sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
    smtp_command = big_buffer;
    sx->peer_offered = smtp_peer_options;
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
    /* Limits passed by cmdline over exec. */
    ehlo_limits_apply(sx,
                     sx->peer_limit_mail = continue_limit_mail,
    /* Limits passed by cmdline over exec. */
    ehlo_limits_apply(sx,
                     sx->peer_limit_mail = continue_limit_mail,
@@ -2663,7 +2725,7 @@ if (  smtp_peer_options & OPTION_TLS
  
    if (sx->early_pipe_active)
      {
  
    if (sx->early_pipe_active)
      {
-    if (sync_responses(sx, 2, 0) != 0)
+    if (sync_responses(sx, 2, 0) != RESP_NOERROR)
        {
        HDEBUG(D_transport)
         debug_printf("failed reaping pipelined cmd responses\n");
        {
        HDEBUG(D_transport)
         debug_printf("failed reaping pipelined cmd responses\n");
@@ -2672,8 +2734,6 @@ if (  smtp_peer_options & OPTION_TLS
        sx->early_pipe_active = FALSE;
        goto PIPE_CONNECT_RETRY;
        }
        sx->early_pipe_active = FALSE;
        goto PIPE_CONNECT_RETRY;
        }
-/*XXX RESUMP - does this leave the EHLO-resp anywhere?   Yes, sx->buffer */
-    sx->conn_args.host_lbserver = ehlo_response_lbserver(sx->buffer, ob);
      }
  #endif
  
      }
  #endif
  
@@ -2703,7 +2763,6 @@ if (  smtp_peer_options & OPTION_TLS
    TLS_NEGOTIATE:
      {
      sx->conn_args.sending_ip_address = sending_ip_address;
    TLS_NEGOTIATE:
      {
      sx->conn_args.sending_ip_address = sending_ip_address;
-    /*XXX RESUMP want LB-server info  here */
      if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
        {
        /* TLS negotiation failed; give an error. From outside, this function may
      if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
        {
        /* TLS negotiation failed; give an error. From outside, this function may
@@ -2805,8 +2864,9 @@ if (tls_out.active.sock >= 0)
  #ifdef EXPERIMMENTAL_ESMTP_LIMITS
    /* As we are about to send another EHLO, forget any LIMITS received so far. */
    sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom = 0;
  #ifdef EXPERIMMENTAL_ESMTP_LIMITS
    /* As we are about to send another EHLO, forget any LIMITS received so far. */
    sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom = 0;
-  if ((sx->max_mail = sx->conn_args.tblock->connection_max_message) == 0) sx->max_mail = 999999;
-  if ((sx->max_rcpt = sx->conn_args.tblock->max_addresses) == 0)          sx->max_rcpt = 999999;
+  if ((sx->max_mail = sx->conn_args.tblock->connection_max_message) == 0)
+    sx->max_mail = UNLIMITED_ADDRS;
+  sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
    sx->single_rcpt_domain = FALSE;
  #endif
  
    sx->single_rcpt_domain = FALSE;
  #endif
  
@@ -2940,7 +3000,7 @@ if (   !continue_hostname
        sx->ehlo_resp.crypted_features = sx->peer_offered;
  #endif
  
        sx->ehlo_resp.crypted_features = sx->peer_offered;
  #endif
  
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
      if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
        {
        ehlo_response_limits_read(sx);
      if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
        {
        ehlo_response_limits_read(sx);
@@ -3355,21 +3415,15 @@ if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
  
  
  
  
  
  
-/*
-Return:
- 0     good, rcpt results in addr->transport_return (PENDING_OK, DEFER, FAIL)
- -1    MAIL response error
- -2    any non-MAIL read i/o error
- -3    non-MAIL response timeout
- -4    internal error; channel still usable
- -5    transmit failed
+/* Send MAIL FROM and RCPT TO commands.
+See sw_mrc_t definition for return codes.
   */
  
   */
  
-int
+sw_mrc_t
  smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
  {
  address_item * addr;
  smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
  {
  address_item * addr;
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
  address_item * restart_addr = NULL;
  #endif
  int address_count, pipe_limit;
  address_item * restart_addr = NULL;
  #endif
  int address_count, pipe_limit;
@@ -3378,7 +3432,7 @@ int rc;
  if (build_mailcmd_options(sx, sx->first_addr) != OK)
    {
    *yield = ERROR;
  if (build_mailcmd_options(sx, sx->first_addr) != OK)
    {
    *yield = ERROR;
-  return -4;
+  return sw_mrc_bad_internal;
    }
  
  /* From here until we send the DATA command, we can make use of PIPELINING
    }
  
  /* From here until we send the DATA command, we can make use of PIPELINING
@@ -3390,7 +3444,7 @@ buffer. */
  sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
  
    {
  sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
  
    {
-  uschar * s = sx->from_addr;
+  const uschar * s = sx->from_addr;
  #ifdef SUPPORT_I18N
    uschar * errstr = NULL;
  
  #ifdef SUPPORT_I18N
    uschar * errstr = NULL;
  
@@ -3406,7 +3460,7 @@ sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
        {
        set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE, &sx->delivery_start);
        *yield = ERROR;
        {
        set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE, &sx->delivery_start);
        *yield = ERROR;
-      return -4;
+      return sw_mrc_bad_internal;
        }
      setflag(sx->addrlist, af_utf8_downcvt);
      }
        }
      setflag(sx->addrlist, af_utf8_downcvt);
      }
@@ -3421,7 +3475,7 @@ mail_command = string_copy(big_buffer);  /* Save for later error message */
  switch(rc)
    {
    case -1:                /* Transmission error */
  switch(rc)
    {
    case -1:                /* Transmission error */
-    return -5;
+    return sw_mrc_bad_mail;
  
    case +1:                /* Cmd was sent */
      if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
  
    case +1:                /* Cmd was sent */
      if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
@@ -3432,7 +3486,7 @@ switch(rc)
         errno = ERRNO_MAIL4XX;
         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
         }
         errno = ERRNO_MAIL4XX;
         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
         }
-      return -1;
+      return sw_mrc_bad_mail;
        }
      sx->pending_MAIL = FALSE;
      break;
        }
      sx->pending_MAIL = FALSE;
      break;
@@ -3461,9 +3515,9 @@ for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
    {
    int cmds_sent;
    BOOL no_flush;
    {
    int cmds_sent;
    BOOL no_flush;
-  uschar * rcpt_addr;
+  const uschar * rcpt_addr;
  
  
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
    if (  sx->single_rcpt_domain                                 /* restriction on domains */
       && address_count > 0                                      /* not first being sent */
       && Ustrcmp(addr->domain, sx->first_addr->domain) != 0     /* dom diff from first */
    if (  sx->single_rcpt_domain                                 /* restriction on domains */
       && address_count > 0                                      /* not first being sent */
       && Ustrcmp(addr->domain, sx->first_addr->domain) != 0     /* dom diff from first */
@@ -3507,26 +3561,26 @@ for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
      {
      /*XXX could we use a per-address errstr here? Not fail the whole send? */
      errno = ERRNO_EXPANDFAIL;
      {
      /*XXX could we use a per-address errstr here? Not fail the whole send? */
      errno = ERRNO_EXPANDFAIL;
-    return -5;         /*XXX too harsh? */
+    return sw_mrc_tx_fail;             /*XXX too harsh? */
      }
  #endif
  
    cmds_sent = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
      "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
  
      }
  #endif
  
    cmds_sent = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
      "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
  
-  if (cmds_sent < 0) return -5;
+  if (cmds_sent < 0) return sw_mrc_tx_fail;
    if (cmds_sent > 0)
      {
      switch(sync_responses(sx, cmds_sent, 0))
        {
    if (cmds_sent > 0)
      {
      switch(sync_responses(sx, cmds_sent, 0))
        {
-      case 3: sx->ok = TRUE;                   /* 2xx & 5xx => OK & progress made */
-      case 2: sx->completed_addr = TRUE;       /* 5xx (only) => progress made */
+      case RESP_HAD_2_AND_5: sx->ok = TRUE;    /* OK & progress made */
+      case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE;        /* progress made */
               break;
  
               break;
  
-      case 1: sx->ok = TRUE;                   /* 2xx (only) => OK, but if LMTP, */
+      case RESP_BIT_HAD_2XX: sx->ok = TRUE;    /* OK, but if LMTP, */
               if (!sx->lmtp)                    /*  can't tell about progress yet */
                 sx->completed_addr = TRUE;
               if (!sx->lmtp)                    /*  can't tell about progress yet */
                 sx->completed_addr = TRUE;
-      case 0:                                  /* No 2xx or 5xx, but no probs */
+      case RESP_NOERROR:                       /* No 2xx or 5xx, but no probs */
               /* If any RCPT got a 452 response then next_addr has been updated
               for restarting with a new MAIL on the same connection.  Send no more
               RCPTs for this MAIL. */
               /* If any RCPT got a 452 response then next_addr has been updated
               for restarting with a new MAIL on the same connection.  Send no more
               RCPTs for this MAIL. */
@@ -3536,28 +3590,28 @@ for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
                 DEBUG(D_transport) debug_printf("seen 452 too-many-rcpts\n");
                 sx->RCPT_452 = FALSE;
                 /* sx->next_addr has been reset for fast_retry */
                 DEBUG(D_transport) debug_printf("seen 452 too-many-rcpts\n");
                 sx->RCPT_452 = FALSE;
                 /* sx->next_addr has been reset for fast_retry */
-               return 0;
+               return sw_mrc_ok;
                 }
               break;
  
                 }
               break;
  
-      case -1: return -3;                      /* Timeout on RCPT */
-      case -2: return -2;                      /* non-MAIL read i/o error */
-      default: return -1;                      /* any MAIL error */
+      case RESP_RCPT_TIMEO:        return sw_mrc_nonmail_read_timeo;
+      case RESP_RCPT_ERROR:        return sw_mrc_bad_read;
+      default:                     return sw_mrc_bad_mail;     /* any MAIL error */
  
  #ifndef DISABLE_PIPE_CONNECT
  
  #ifndef DISABLE_PIPE_CONNECT
-      case -4: return -1;                      /* non-2xx for pipelined banner or EHLO */
-      case -5: return -1;                      /* TLS first-read error */
+      case RESP_EPIPE_EHLO_ERR:            return sw_mrc_bad_mail;     /* non-2xx for pipelined banner or EHLO */
+      case RESP_EHLO_ERR_TLS:      return sw_mrc_bad_mail;     /* TLS first-read error */
  #endif
        }
      }
    }      /* Loop for next address */
  
  #endif
        }
      }
    }      /* Loop for next address */
  
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
  sx->next_addr = restart_addr ? restart_addr : addr;
  #else
  sx->next_addr = addr;
  #endif
  sx->next_addr = restart_addr ? restart_addr : addr;
  #else
  sx->next_addr = addr;
  #endif
-return 0;
+return sw_mrc_ok;
  }
  
  
  }
  
  
@@ -3736,7 +3790,7 @@ uschar *message = NULL;
  uschar new_message_id[MESSAGE_ID_LENGTH + 1];
  smtp_context * sx = store_get(sizeof(*sx), GET_TAINTED);       /* tainted, for the data buffers */
  BOOL pass_message = FALSE;
  uschar new_message_id[MESSAGE_ID_LENGTH + 1];
  smtp_context * sx = store_get(sizeof(*sx), GET_TAINTED);       /* tainted, for the data buffers */
  BOOL pass_message = FALSE;
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
  BOOL mail_limit = FALSE;
  #endif
  #ifdef SUPPORT_DANE
  BOOL mail_limit = FALSE;
  #endif
  #ifdef SUPPORT_DANE
@@ -3804,7 +3858,7 @@ if (tblock->filter_command)
    yield ERROR. */
  
    if (!transport_set_up_command(&transport_filter_argv,
    yield ERROR. */
  
    if (!transport_set_up_command(&transport_filter_argv,
-       tblock->filter_command, TRUE, DEFER, addrlist, FALSE,
+       tblock->filter_command, TSUC_EXPAND_ARGS, DEFER, addrlist,
         string_sprintf("%.50s transport filter", tblock->name), NULL))
      {
      set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
         string_sprintf("%.50s transport filter", tblock->name), NULL))
      {
      set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
@@ -3865,11 +3919,12 @@ else
  
    switch(smtp_write_mail_and_rcpt_cmds(sx, &yield))
      {
  
    switch(smtp_write_mail_and_rcpt_cmds(sx, &yield))
      {
-    case 0:            break;
-    case -1: case -2:  goto RESPONSE_FAILED;
-    case -3:           goto END_OFF;
-    case -4:           goto SEND_QUIT;
-    default:           goto SEND_FAILED;
+    case sw_mrc_ok:                    break;
+    case sw_mrc_bad_mail:              goto RESPONSE_FAILED;
+    case sw_mrc_bad_read:              goto RESPONSE_FAILED;
+    case sw_mrc_nonmail_read_timeo:    goto END_OFF;
+    case sw_mrc_bad_internal:          goto SEND_QUIT;
+    default:                           goto SEND_FAILED;
      }
  
    /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
      }
  
    /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
@@ -3907,17 +3962,19 @@ if (  !(smtp_peer_options & OPTION_CHUNKING)
    int count = smtp_write_command(sx, SCMD_FLUSH, "DATA\r\n");
  
    if (count < 0) goto SEND_FAILED;
    int count = smtp_write_command(sx, SCMD_FLUSH, "DATA\r\n");
  
    if (count < 0) goto SEND_FAILED;
+
    switch(sync_responses(sx, count, sx->ok ? +1 : -1))
      {
    switch(sync_responses(sx, count, sx->ok ? +1 : -1))
      {
-    case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
-    case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
-    break;
+    case RESP_HAD_2_AND_5: sx->ok = TRUE;      /* OK & progress made */
+    case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE; /* progress made */
+                          break;
  
  
-    case 1: sx->ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
-    if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
-    case 0: break;                     /* No 2xx or 5xx, but no probs */
+    case RESP_BIT_HAD_2XX: sx->ok = TRUE;      /* OK, but if LMTP, */
+                          if (!sx->lmtp)       /* can't tell about progress yet */
+                           sx->completed_addr = TRUE;
+    case RESP_NOERROR:    break;               /* No 2xx or 5xx, but no probs */
  
  
-    case -1: goto END_OFF;             /* Timeout on RCPT */
+    case RESP_RCPT_TIMEO:  goto END_OFF;
  
  #ifndef DISABLE_PIPE_CONNECT
      case -5:                           /* TLS first-read error */
  
  #ifndef DISABLE_PIPE_CONNECT
      case -5:                           /* TLS first-read error */
@@ -3995,7 +4052,7 @@ else
      if (smtp_peer_options & OPTION_CHUNKING)
        debug_printf("         will write message using CHUNKING\n");
      else
      if (smtp_peer_options & OPTION_CHUNKING)
        debug_printf("         will write message using CHUNKING\n");
      else
-      debug_printf("  SMTP>> writing message and terminating \".\"\n");
+      debug_printf("  SMTP>> (writing message)\n");
    transport_count = 0;
  
  #ifndef DISABLE_DKIM
    transport_count = 0;
  
  #ifndef DISABLE_DKIM
@@ -4147,22 +4204,23 @@ else
      /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
      switch(sync_responses(sx, sx->cmd_count-1, 0))
        {
      /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
      switch(sync_responses(sx, sx->cmd_count-1, 0))
        {
-      case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
-      case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
-             break;
+      case RESP_HAD_2_AND_5: sx->ok = TRUE;            /* OK & progress made */
+      case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE;        /* progress made */
+                            break;
  
  
-      case 1: sx->ok = TRUE;           /* 2xx (only) => OK, but if LMTP, */
-      if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
-      case 0: break;                   /* No 2xx or 5xx, but no probs */
+      case RESP_BIT_HAD_2XX: sx->ok = TRUE;            /*  OK, but if LMTP, */
+                            if (!sx->lmtp)             /* can't tell about progress yet */
+                              sx->completed_addr = TRUE;
+      case RESP_NOERROR:     break;                    /* No 2xx or 5xx, but no probs */
  
  
-      case -1: goto END_OFF;           /* Timeout on RCPT */
+      case RESP_RCPT_TIMEO: goto END_OFF;              /* Timeout on RCPT */
  
  #ifndef DISABLE_PIPE_CONNECT
  
  #ifndef DISABLE_PIPE_CONNECT
-      case -5:                         /* TLS first-read error */
-      case -4:  HDEBUG(D_transport)
+      case RESP_EHLO_ERR_TLS:                          /* TLS first-read error */
+      case RESP_EPIPE_EHLO_ERR:  HDEBUG(D_transport)
                   debug_printf("failed reaping pipelined cmd responses\n");
  #endif
                   debug_printf("failed reaping pipelined cmd responses\n");
  #endif
-      default: goto RESPONSE_FAILED;   /* I/O error, or any MAIL/DATA error */
+      default:              goto RESPONSE_FAILED;      /* I/O error, or any MAIL/DATA error */
        }
      }
  
        }
      }
  
@@ -4460,7 +4518,26 @@ if (!sx->ok)
         break;
  
        case ERRNO_SMTPCLOSED:
         break;
  
        case ERRNO_SMTPCLOSED:
-       message_error = Ustrncmp(smtp_command,"end ",4) == 0;
+       /* If the peer closed the TCP connection after end-of-data, but before
+       we could send QUIT, do TLS close, etc - call it a message error.
+       Otherwise, if all the recipients have been dealt with, call a close no
+       error at all; each address_item should have a suitable result already
+       (2xx: PENDING_OK, 4xx: DEFER, 5xx: FAIL) */
+
+       if (!(message_error = Ustrncmp(smtp_command,"end ",4) == 0))
+         {
+         address_item * addr;
+         for (addr = sx->addrlist; addr; addr = addr->next)
+           if (addr->transport_return == PENDING_DEFER)
+             break;
+         if (!addr)    /* all rcpts fates determined */
+           {
+           log_write(0, LOG_MAIN, "peer close after all rcpt responses;"
+             " converting i/o-error to no-error");
+           sx->ok = TRUE;
+           goto happy;
+           }
+         }
         break;
  
  #ifndef DISABLE_DKIM
         break;
  
  #ifndef DISABLE_DKIM
@@ -4484,7 +4561,8 @@ if (!sx->ok)
         break;
        }
  
         break;
        }
  
-    /* Handle the cases that are treated as message errors. These are:
+    /* Handle the cases that are treated as message errors (as opposed to
+    host-errors). These are:
  
        (a) negative response or timeout after MAIL
        (b) negative response after DATA
  
        (a) negative response or timeout after MAIL
        (b) negative response after DATA
@@ -4588,13 +4666,15 @@ connection to a new process. However, not all servers can handle this (Exim
  can), so we do not pass such a connection on if the host matches
  hosts_nopass_tls. */
  
  can), so we do not pass such a connection on if the host matches
  hosts_nopass_tls. */
  
+happy:
+
  DEBUG(D_transport)
    debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
      "yield=%d first_address is %sNULL\n", sx->ok, sx->send_quit,
      sx->send_rset, f.continue_more, yield, sx->first_addr ? "not " : "");
  
  if (sx->completed_addr && sx->ok && sx->send_quit)
  DEBUG(D_transport)
    debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
      "yield=%d first_address is %sNULL\n", sx->ok, sx->send_quit,
      sx->send_rset, f.continue_more, yield, sx->first_addr ? "not " : "");
  
  if (sx->completed_addr && sx->ok && sx->send_quit)
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
    if (mail_limit = continue_sequence >= sx->max_mail)
      {
      DEBUG(D_transport)
    if (mail_limit = continue_sequence >= sx->max_mail)
      {
      DEBUG(D_transport)
@@ -4655,7 +4735,7 @@ if (sx->completed_addr && sx->ok && sx->send_quit)
  
         if (sx->first_addr)             /* More addresses still to be sent */
           {                             /*   for this message              */
  
         if (sx->first_addr)             /* More addresses still to be sent */
           {                             /*   for this message              */
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
           /* Any that we marked as skipped, reset to do now */
           for (address_item * a = sx->first_addr; a; a = a->next)
             if (a->transport_return == SKIP)
           /* Any that we marked as skipped, reset to do now */
           for (address_item * a = sx->first_addr; a; a = a->next)
             if (a->transport_return == SKIP)
@@ -4682,7 +4762,10 @@ if (sx->completed_addr && sx->ok && sx->send_quit)
             open, we must shut down TLS.  Not all MTAs allow for the continuation
             of the SMTP session when TLS is shut down. We test for this by sending
             a new EHLO. If we don't get a good response, we don't attempt to pass
             open, we must shut down TLS.  Not all MTAs allow for the continuation
             of the SMTP session when TLS is shut down. We test for this by sending
             a new EHLO. If we don't get a good response, we don't attempt to pass
-           the socket on. */
+           the socket on.
+           NB: TLS close is *required* per RFC 9266 when tls-exporter info has
+           been used, which we do under TLSv1.3 for the gsasl SCRAM*PLUS methods.
+           But we were always doing it anyway. */
  
           tls_close(sx->cctx.tls_ctx,
             sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
  
           tls_close(sx->cctx.tls_ctx,
             sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
@@ -4727,7 +4810,7 @@ if (sx->completed_addr && sx->ok && sx->send_quit)
    */
         if (sx->ok && transport_pass_socket(tblock->name, host->name,
               host->address, new_message_id, socket_fd
    */
         if (sx->ok && transport_pass_socket(tblock->name, host->name,
               host->address, new_message_id, socket_fd
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
               , sx->peer_limit_mail, sx->peer_limit_rcpt, sx->peer_limit_rcptdom
  #endif
               ))
               , sx->peer_limit_mail, sx->peer_limit_rcpt, sx->peer_limit_rcptdom
  #endif
               ))
@@ -4904,7 +4987,7 @@ if (dane_held)
    }
  #endif
  
    }
  #endif
  
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
  if (mail_limit && sx->first_addr)
    {
    /* Reset the sequence count since we closed the connection.  This is flagged
  if (mail_limit && sx->first_addr)
    {
    /* Reset the sequence count since we closed the connection.  This is flagged
@@ -4954,7 +5037,7 @@ smtp_transport_closedown(transport_instance *tblock)
  {
  smtp_transport_options_block * ob = SOB tblock->options_block;
  client_conn_ctx cctx;
  {
  smtp_transport_options_block * ob = SOB tblock->options_block;
  client_conn_ctx cctx;
-smtp_context sx;
+smtp_context sx = {0};
  uschar buffer[256];
  uschar inbuffer[4096];
  uschar outbuffer[16];
  uschar buffer[256];
  uschar inbuffer[4096];
  uschar outbuffer[16];
@@ -5002,16 +5085,16 @@ Returns:       the first address for this delivery
  */
  
  static address_item *
  */
  
  static address_item *
-prepare_addresses(address_item *addrlist, host_item *host)
+prepare_addresses(address_item * addrlist, host_item * host)
  {
  {
-address_item *first_addr = NULL;
+address_item * first_addr = NULL;
  for (address_item * addr = addrlist; addr; addr = addr->next)
    if (addr->transport_return == DEFER)
      {
      if (!first_addr) first_addr = addr;
      addr->transport_return = PENDING_DEFER;
      addr->basic_errno = 0;
  for (address_item * addr = addrlist; addr; addr = addr->next)
    if (addr->transport_return == DEFER)
      {
      if (!first_addr) first_addr = addr;
      addr->transport_return = PENDING_DEFER;
      addr->basic_errno = 0;
-    addr->more_errno = (host->mx >= 0)? 'M' : 'A';
+    addr->more_errno = host->mx >= 0 ? 'M' : 'A';
      addr->message = NULL;
  #ifndef DISABLE_TLS
      addr->cipher = NULL;
      addr->message = NULL;
  #ifndef DISABLE_TLS
      addr->cipher = NULL;
@@ -5043,24 +5126,17 @@ FALSE. */
  
  BOOL
  smtp_transport_entry(
  
  BOOL
  smtp_transport_entry(
-  transport_instance *tblock,      /* data for this instantiation */
-  address_item *addrlist)          /* addresses we are working on */
+  transport_instance * tblock,      /* data for this instantiation */
+  address_item * addrlist)          /* addresses we are working on */
  {
  int defport;
  {
  int defport;
-int hosts_defer = 0;
-int hosts_fail  = 0;
-int hosts_looked_up = 0;
-int hosts_retry = 0;
-int hosts_serial = 0;
-int hosts_total = 0;
-int total_hosts_tried = 0;
+int hosts_defer = 0, hosts_fail  = 0, hosts_looked_up = 0;
+int hosts_retry = 0, hosts_serial = 0, hosts_total = 0, total_hosts_tried = 0;
  BOOL expired = TRUE;
  BOOL expired = TRUE;
-uschar *expanded_hosts = NULL;
-uschar *pistring;
-uschar *tid = string_sprintf("%s transport", tblock->name);
-smtp_transport_options_block *ob = SOB tblock->options_block;
-host_item *hostlist = addrlist->host_list;
-host_item *host = NULL;
+uschar * expanded_hosts = NULL, * pistring;
+uschar * tid = string_sprintf("%s transport", tblock->name);
+smtp_transport_options_block * ob = SOB tblock->options_block;
+host_item * hostlist = addrlist->host_list, * host = NULL;
  
  DEBUG(D_transport)
    {
  
  DEBUG(D_transport)
    {
@@ -5100,7 +5176,7 @@ database if the delivery fails temporarily or if we are running with
  queue_smtp or a 2-stage queue run. This gets unset for certain
  kinds of error, typically those that are specific to the message. */
  
  queue_smtp or a 2-stage queue run. This gets unset for certain
  kinds of error, typically those that are specific to the message. */
  
-update_waiting =  TRUE;
+update_waiting = TRUE;
  
  /* If a host list is not defined for the addresses - they must all have the
  same one in order to be passed to a single transport - or if the transport has
  
  /* If a host list is not defined for the addresses - they must all have the
  same one in order to be passed to a single transport - or if the transport has
@@ -5288,16 +5364,23 @@ retry_non_continued:
         && total_hosts_tried < ob->hosts_max_try_hardlimit;
         host = nexthost)
      {
         && total_hosts_tried < ob->hosts_max_try_hardlimit;
         host = nexthost)
      {
-    int rc;
-    int host_af;
-    BOOL host_is_expired = FALSE;
-    BOOL message_defer = FALSE;
-    BOOL some_deferred = FALSE;
-    address_item *first_addr = NULL;
-    uschar *interface = NULL;
-    uschar *retry_host_key = NULL;
-    uschar *retry_message_key = NULL;
-    uschar *serialize_key = NULL;
+    int rc, host_af;
+    BOOL host_is_expired = FALSE, message_defer = FALSE, some_deferred = FALSE;
+    address_item * first_addr = NULL;
+    uschar * interface = NULL;
+    uschar * retry_host_key = NULL, * retry_message_key = NULL;
+    uschar * serialize_key = NULL;
+
+    /* Deal slightly better with a possible Linux kernel bug that results
+    in intermittent TFO-conn fails deep into the TCP flow.  Bug 2907 tracks.
+    Hack: Clear TFO option for any further hosts on this tpt run. */
+
+    if (total_hosts_tried > 0)
+      {
+      DEBUG(D_transport|D_acl|D_v)
+       debug_printf("Clearing TFO as not first host for message\n");
+      ob->hosts_try_fastopen = US"";
+      }
  
      /* Default next host is next host. :-) But this can vary if the
      hosts_max_try limit is hit (see below). It may also be reset if a host
  
      /* Default next host is next host. :-) But this can vary if the
      hosts_max_try limit is hit (see below). It may also be reset if a host
@@ -5593,7 +5676,14 @@ retry_non_continued:
      out the result of previous attempts, and finding the first address that
      is still to be delivered. */
  
      out the result of previous attempts, and finding the first address that
      is still to be delivered. */
  
-    first_addr = prepare_addresses(addrlist, host);
+    if (!(first_addr = prepare_addresses(addrlist, host)))
+      {
+      /* Obscure situation; at least one case (bug 3059, fixed) where
+      a previous host try returned DEFER, but having moved all
+      recipients away from DEFER (the waiting-to-be-done state). */
+      DEBUG(D_transport) debug_printf("no pending recipients\n");
+      goto END_TRANSPORT;
+      }
  
      DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
        message_id, host->name, host->address, addrlist->address,
  
      DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
        message_id, host->name, host->address, addrlist->address,
@@ -5645,7 +5735,7 @@ retry_non_continued:
        {
        host_item * thost;
        /* Make a copy of the host if it is local to this invocation
        {
        host_item * thost;
        /* Make a copy of the host if it is local to this invocation
-       of the transport. */
+      of the transport. */
  
        if (expanded_hosts)
         {
  
        if (expanded_hosts)
         {
@@ -5839,20 +5929,14 @@ retry_non_continued:
      if (rc == OK)
        for (address_item * addr = addrlist; addr; addr = addr->next)
          if (addr->transport_return == DEFER)
      if (rc == OK)
        for (address_item * addr = addrlist; addr; addr = addr->next)
          if (addr->transport_return == DEFER)
-          {
-          some_deferred = TRUE;
-          break;
-          }
+          { some_deferred = TRUE; break; }
  
      /* If no addresses deferred or the result was ERROR, return. We do this for
      ERROR because a failing filter set-up or add_headers expansion is likely to
      fail for any host we try. */
  
      if (rc == ERROR || (rc == OK && !some_deferred))
  
      /* If no addresses deferred or the result was ERROR, return. We do this for
      ERROR because a failing filter set-up or add_headers expansion is likely to
      fail for any host we try. */
  
      if (rc == ERROR || (rc == OK && !some_deferred))
-      {
-      DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
-      return TRUE;    /* Each address has its status */
-      }
+      goto END_TRANSPORT;
  
      /* If the result was DEFER or some individual addresses deferred, let
      the loop run to try other hosts with the deferred addresses, except for the
  
      /* If the result was DEFER or some individual addresses deferred, let
      the loop run to try other hosts with the deferred addresses, except for the
@@ -5872,7 +5956,7 @@ retry_non_continued:
      if ((rc == DEFER || some_deferred) && nexthost)
        {
        BOOL timedout;
      if ((rc == DEFER || some_deferred) && nexthost)
        {
        BOOL timedout;
-      retry_config *retry = retry_find_config(host->name, NULL, 0, 0);
+      retry_config * retry = retry_find_config(host->name, NULL, 0, 0);
  
        if (retry && retry->rules)
          {
  
        if (retry && retry->rules)
          {