Copy latest SMTP-with-DANE - draft 11

Add support in the fakens utility for TLSA records

Add support in the fakens utility for marking records as "secure"
and returning an AD bit for lookups.

On a host lookup name->MX->A->ip sequence, require both stages to
be dnssec before declaring the lookup was secure.

Ignore dane-related debug out in non-dane testcases

Doc updates for work since 4.83

Test development

Bug 1509: Add parser for DSN spool lines

DSN support added a new formatted entry to the spool files, this change
  gives exipick the ability to read that entry.

Testsuite basics.

Not actually excercising DANE yet,
this will take additions in the fakedns and
probably changes in certificates.

Sketch in library interface

General discussion of DANE usage

Better logging of OCSP fails

Document $tls_in_ocsp, $tls_out_ocsp

Fix broken EXPERIMENTAL_DSN compile

Fix development-testing induced crash on second use

Basic DANE entry points

Add note on Dovecot configuration for authentication.  Bug 1512

Add interface documentation for the DANE library

Fix parsing of quoted parameter values in MIME headers.  Bug 1513

Coding style closer to project norms

Add DANE RFC (6698) for reference

Add current draft of SMTP with DANE

Create a hosts_try_dane transport option, does nothing yet

Framework to build dane support

Fix doc parse error

Document acl args variables in main variables section

Fix "default config" section wrt. rfc1413_hosts

Bug 1506: document change made

Bug 1506: Silence static checkers.

Re-adds a return NULL which was removed because it was redundant. Static
  checkers don't parse the logic, so adding it back to make them happy.

Bug 1506: Fix static typechecker output

The end of the function can never be reached because the switch is only
  reached if the value it is checking is valid. Putting this return
  silences the warnings.

Update version numbers, clean docs for next release

Do not sleep for tiny periods, or hang trying to sleep for zero. Bug 1426

Ensure timer never set to zero for millisleep.  Bug 1426

Massage coding style to project norm

Documentation/Tests for CVE-2014-2972 fix

Only expand integers for integer math once

Fix regex for Suse when converting spec to ASCII

Fix parsing of mime headers

RFC2045 allows parameter values to be quoted; an embedded semicolon
must then not terminate the parameter.

DNSSEC: fix clang warning re && in || precedence

I looked and AFAICT the compiler guidance gives the correct logical
binding for the code intention.

```
dnsdb.c:362:32: warning: '&&' within '||' [-Wlogical-op-parentheses]
       || dnssec_mode == DEFER && !dns_is_secure(&dnsa)
       ~~ ~~~~~~~~~~~~~~~~~~~~~^~~~~~~~~~~~~~~~~~~~~~~~
dnsdb.c:362:32: note: place parentheses around the '&&' expression to silence this warning
       || dnssec_mode == DEFER && !dns_is_secure(&dnsa)
                               ^
          (                                            )
```

MacOS: fix clang redef warning

Use Ustrlen() on a uschar

Fix unsigned < 0 check

Two places in malware.c were using `fsize`, defined as `unsigned int`,
to receive the result of `lseek()` and then checking if the value was
less than 0.  As clang says:

```
malware.c:1228:46: warning: comparison of unsigned expression < 0 is always false [-Wtautological-compare]
          if ((fsize = lseek(clam_fd, 0, SEEK_END)) < 0) {
              ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ^ ~
```

Fix.  Use `off_t`, which we're already using elsewhere, then use
`fsize_uint` to handle off_t being potentially 64-bit, and a
sanity-check on conversion which hopefully won't be optimised away by
compilers.

Rename T_APL to T_ADDRESSES

Fixes Github issue #15

Known DNS RRTYPE aliases can be found at
<http://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml>
and `T_APL` conflicts with the `APL` RRTYPE, Address Prefix List, in
experimental RFC 3123.

Issue reported compilation issues on OpenBSD.

Instead, use `T_ADDRESSES`.

Fix TLS SNI, and add regression test cases

Reinstate SNI variables under GnuTLS.  Bug 1499

Typo in docs, add missing word

Add cscope files to git ignore list

Enhance documentation of ${run command parsing.

Bug 1496: Fix typo in ChangeLog

Bug 1495: Exiqgrep -C check configfile readability

Use enum for var_entry type

Fix build dependencies

"make distclean; make -j" was failing on config.h

Correct testuite doc

Fix testcase 0390 when testing an EXPERIMENTAL_TPDA compile

Insert a custom-munge for the new transport option.
This may be removed once the code goes mainline.

Fix testcase 0373

A readsocket expansion against a unix-domain socket which is
immediately closed.  This gave variable results does to the race of
the write into the client-end versus the close at the server end.
Insert under-testsuite delays to assure sequencing; the testcase
now specifically looks for a write into a closed peer.

Fix dkim for no-key case under SENDFILE compile.  Bug 934

Tested-by: <wbreyha@gmx.net>

Tidy coding style.  Bug 934

Use strict C89 variable declaration positioning

Preempt future testsuite integration of EXPERIMENTAL_DSN

Fix testcase for today's faster cpus

Testcase for udpsend

Initial set of warnings for the upcoming release

Fix testcase for 984702 - the buffer boundary was deliberately
being explored by the test

More care with time types

Fix udpsend and ip_connectedsocket().

The ip_connectedsocket() function's socket type support and error
reporting did not work properly.

Tidy up OpenSSL certificate signature & sig_algorithm extractor results.
Bug 1489

Compiler quietening

Ensure output buffer big enough for DSN additions to MAIL FROM.  Bug 1482

Fix tiny ChangeLog typo

Support service names for tls_on_connect_ports.  Bug 72

Fix doc for $sender_host_dnssec. Bug 1485

Fix no-ssl build

Fix delivery $host in client authenticator in verify/callout.  Bug 1476

Log warnings on presence of deperecated options

Fix dnssec dnsdb lookup in defer_never mode

Bug 1444: Fix \r\n handling writing spool file

Fix a bug which causes DKIM signatures to fail because what gets
  written to the spool file is different than what gets passed through
  the DKIM code.

Merge tag 'exim-4_82_1'

Fix Conflicts:
src/src/dmarc.c

SECURITY: DMARC uses From header untrusted data

CVE-2014-2957

To find the sending domain, expand_string() was used to directly parse
  the contents of the From header. This passes untrusted data directly
  into an internal function. Convert to use standard internal parsing
  functions.

Increase limit of smtp_confirmation logging from 100 to 256 chars.  Bug 1408

Errorcheck TLS library calls

Restrict certificate name checkin for wildcards.

On more recent OpenSSL library versions the builtin wildcard checking
can take a restriction option that we want, to disallow the more
complex possibilities of wildcarding.

Missing initialiser

Add OpenSSL version check

Add GnuTLS version check

Move OCSP out of EXPERIMENTAL

Compiler quietening.  Bug 907

Bug 1394: Document how to do per host conn limits

Since the max connections per host setting is computed and enforced
  in the master listening process before the fork, there is no easy
  way to get an accurate connection count once the Proxy Protocol
  negotiation has been done (i.e. in a child process, after the
  fork). Rather than try to use a shared mmap file using CAS in the
  children to manipulate it, we just advise of a crude version of
  max connections per IP be achieved by using ratelimit per_conn in
  the connect ACL.

Fix doc for dovecot authenticator.  Bugs 1448, 1483

RFC3461 support - MIME DSN messages.    Bug 118

Eliminate one foolish way to break the build

Add PRDR feature output in -bV

Support optional server certificate name checking.  Bug 1479
Enable EXPERIMENTAL_CERTNAMES to include.

Final tidyout of EXPERIMENTAL_PRDR

Use accessor functions for OpenSSL internal data

General tidying

Tidy certificate verification logic under OpenSSL

Extractors for certificate time fields support integer output modifier

Extractor for named RDN element types from a certificate DN field.

Updated changelog.

Accidentally included the fix for Bug 1119 in the same commit fixing
  Proxy Protocol version 2 to match the API change in May 2014.

Bug 1394: PPv2 header modifed

The HAProxy dev team adjusted the layout of the 16 byte header to allow
  it to be used for SSL connections.  Had to adjust PPv2 handling code
  and perl proxy emulation script.
Added link to this HAProxy commit in the documentation.