Stop debug+timestamp using the common timestamp buffer, because it can
[users/heiko/exim.git] / doc / doc-docbook / spec.ascd
1 ////////////////////////////////////////////////////////////////////////////
2 $Cambridge: exim/doc/doc-docbook/spec.ascd,v 1.2 2005/11/10 12:30:13 ph10 Exp $
3
4 This is the primary source of the Exim Manual. It is an AsciiDoc document
5 that is converted into DocBook XML for subsequent conversion into printing
6 and online formats. The markup used herein is traditional AsciiDoc markup,
7 with some extras. The markup is summarized in a file called AdMarkup.txt. A
8 private AsciiDoc configuration file specifies how the extra markup is to be
9 translated into DocBook XML. You MUST use this private AsciiDoc markup if you
10 want to get sensible results from processing this document.
11 ////////////////////////////////////////////////////////////////////////////
12
13
14
15 ////////////////////////////////////////////////////////////////////////////
16 I am abusing the <abstract> DocBook element as the only trivial way of getting
17 this information onto the title verso page in the printed renditions. A better
18 title page would be a useful improvement. The <abstract> element is removed by
19 preprocessing for the HTML renditions, and the whole <docbookinfo> element is
20 removed for ascii output formats.
21 ////////////////////////////////////////////////////////////////////////////
22
23 Specification of the Exim Mail Transfer Agent
24 =============================================
25 :abstract:        University of Cambridge Computing Service, New Museums Site, Pembroke Street, Cambridge CB2 3QH, England
26 :author:          Philip Hazel
27 :copyright:       University of Cambridge
28 :cpyear:          2005
29 :date:            01 November 2005
30 :doctitleabbrev:  The Exim MTA
31 :revision:        4.60
32
33
34 //////////////////////////////////////////////////////////////////////////////
35 ***WARNING*** Do not put anything, not even a titleabbrev, setting before
36 the first chapter (luckily it does not need one) because if you do, AsciiDoc
37 creates an empty <preface> element, which we do not want.
38 //////////////////////////////////////////////////////////////////////////////
39
40 Introduction
41 ------------
42
43 ////////////////////////////////////////////////////////////////////////////
44 These are definitions of AsciiDoc "attributes" that are in effect "variables"
45 whose values can be substituted. The first makes index entries shorter. The
46 second avoids problems with literal asterisks getting tangled up with bold
47 emphasis quotes. The others are here for convenience of editing.
48
49 ***WARNING*** The positioning of these definitions, after the first Chapter
50 title, seems to be important. If they are placed earlier, they give rise to
51 incorrect XML.
52 ////////////////////////////////////////////////////////////////////////////
53
54 :ACL:             access control lists (ACLs)
55 :star:            *
56 :previousversion: 4.50
57 :version:         4.60
58
59
60 ////////////////////////////////////////////////////////////////////////////
61 This chunk of literal XML implements index entries of the form "x, see y" and
62 "x, see also y". It didn't seem worth inventing AsciiDoc markup for this,
63 because is it not something that is likely to change often.
64 ////////////////////////////////////////////////////////////////////////////
65
66 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
67 <indexterm role="concept">
68   <primary>$1, $2, etc.</primary>
69   <see><emphasis>numerical variables</emphasis></see>
70 </indexterm>
71 <indexterm role="concept">
72   <primary>address</primary>
73   <secondary>rewriting</secondary>
74   <see><emphasis>rewriting</emphasis></see>
75 </indexterm>
76 <indexterm role="concept">
77   <primary>Bounce Address Tag Validation</primary>
78   <see><emphasis>BATV</emphasis></see>
79 </indexterm>
80 <indexterm role="concept">
81   <primary>Client SMTP Authorization</primary>
82   <see><emphasis>CSA</emphasis></see>
83 </indexterm>
84 <indexterm role="concept">
85   <primary>CR character</primary>
86   <see><emphasis>carriage return</emphasis></see>
87 </indexterm>
88 <indexterm role="concept">
89   <primary>CRL</primary>
90   <see><emphasis>certificate revocation list</emphasis></see>
91 </indexterm>
92 <indexterm role="concept">
93   <primary>delivery</primary>
94   <secondary>failure report</secondary>
95   <see><emphasis>bounce message</emphasis></see>
96 </indexterm>
97 <indexterm role="concept">
98   <primary>dialup</primary>
99   <see><emphasis>intermittently connected hosts</emphasis></see>
100 </indexterm>
101 <indexterm role="concept">
102   <primary>exiscan</primary>
103   <see><emphasis>content scanning</emphasis></see>
104 </indexterm>
105 <indexterm role="concept">
106   <primary>failover</primary>
107   <see><emphasis>fallback</emphasis></see>
108 </indexterm>
109 <indexterm role="concept">
110   <primary>fallover</primary>
111   <see><emphasis>fallback</emphasis></see>
112 </indexterm>
113 <indexterm role="concept">
114   <primary>filter</primary>
115   <secondary>Sieve</secondary>
116   <see><emphasis>Sieve filter</emphasis></see>
117 </indexterm>
118 <indexterm role="concept">
119   <primary>ident</primary>
120   <see><emphasis>RFC 1413</emphasis></see>
121 </indexterm>
122 <indexterm role="concept">
123   <primary>LF character</primary>
124   <see><emphasis>linefeed</emphasis></see>
125 </indexterm>
126 <indexterm role="concept">
127   <primary>maximum</primary>
128   <see><emphasis>limit</emphasis></see>
129 </indexterm>
130 <indexterm role="concept">
131   <primary>monitor</primary>
132   <see><emphasis>Exim monitor</emphasis></see>
133 </indexterm>
134 <indexterm role="concept">
135   <primary>no_<emphasis>xxx</emphasis></primary>
136   <see>entry for xxx</see>
137 </indexterm>
138 <indexterm role="concept">
139   <primary>NUL</primary>
140   <see><emphasis>binary zero</emphasis></see>
141 </indexterm>
142 <indexterm role="concept">
143   <primary>passwd file</primary>
144   <see><emphasis>/etc/passwd</emphasis></see>
145 </indexterm>
146 <indexterm role="concept">
147   <primary>process id</primary>
148   <see><emphasis>pid</emphasis></see>
149 </indexterm>
150 <indexterm role="concept">
151   <primary>RBL</primary>
152   <see><emphasis>DNS list</emphasis></see>
153 </indexterm>
154 <indexterm role="concept">
155   <primary>redirection</primary>
156   <see><emphasis>address redirection</emphasis></see>
157 </indexterm>
158 <indexterm role="concept">
159   <primary>return path</primary>
160   <seealso><emphasis>envelope sender</emphasis></seealso>
161 </indexterm>
162 <indexterm role="concept">
163   <primary>scanning</primary>
164   <see><emphasis>content scanning</emphasis></see>
165 </indexterm>
166 <indexterm role="concept">
167   <primary>SSL</primary>
168   <see><emphasis>TLS</emphasis></see>
169 </indexterm>
170 <indexterm role="concept">
171   <primary>string</primary>
172   <secondary>expansion</secondary>
173   <see><emphasis>expansion</emphasis></see>
174 </indexterm>
175 <indexterm role="concept">
176   <primary>top bit</primary>
177   <see><emphasis>8-bit characters</emphasis></see>
178 </indexterm>
179 <indexterm role="concept">
180   <primary>variables</primary>
181   <see><emphasis>expansion, variables</emphasis></see>
182 </indexterm>
183 <indexterm role="concept">
184   <primary>zero, binary</primary>
185   <see><emphasis>binary zero</emphasis></see>
186 </indexterm>
187 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
188
189
190 ////////////////////////////////////////////////////////////////////////////
191 OK, now we start with the real data for this first chapter.
192 ////////////////////////////////////////////////////////////////////////////
193
194 Exim is a mail transfer agent (MTA) for hosts that are running Unix or
195 Unix-like operating systems. It was designed on the assumption that it would be
196 run on hosts that are permanently connected to the Internet. However, it can be
197 used on intermittently connected hosts with suitable configuration adjustments.
198
199 Configuration files currently exist for the following operating systems: AIX,
200 BSD/OS (aka BSDI), Darwin (Mac OS X), DGUX, Dragonfly, FreeBSD, GNU/Hurd,
201 GNU/Linux, HI-OSF (Hitachi), HI-UX, HP-UX, IRIX, MIPS RISCOS, NetBSD, OpenBSD,
202 OpenUNIX, QNX, SCO, SCO SVR4.2 (aka UNIX-SV), Solaris (aka SunOS5), SunOS4,
203 Tru64-Unix (formerly Digital UNIX, formerly DEC-OSF1), Ultrix, and Unixware.
204 Some of these operating systems are no longer current and cannot easily be
205 tested, so the configuration files may no longer work in practice.
206
207 There are also configuration files for compiling Exim in the Cygwin environment
208 that can be installed on systems running Windows. However, this document does
209 not contain any information about running Exim in the Cygwin environment.
210
211 The terms and conditions for the use and distribution of Exim are contained in
212 the file _NOTICE_. Exim is distributed under the terms of the GNU General
213 Public Licence, a copy of which may be found in the file _LICENCE_.
214
215 The use, supply or promotion of Exim for the purpose of sending bulk,
216 unsolicited electronic mail is incompatible with the basic aims of the program,
217 which revolve around the free provision of a service that enhances the quality
218 of personal communications. The author of Exim regards indiscriminate
219 mass-mailing as an antisocial, irresponsible abuse of the Internet.
220
221 Exim owes a great deal to Smail 3 and its author, Ron Karr. Without the
222 experience of running and working on the Smail 3 code, I could never have
223 contemplated starting to write a new MTA. Many of the ideas and user interfaces
224 were originally taken from Smail 3, though the actual code of Exim is entirely
225 new, and has developed far beyond the initial concept.
226
227 Many people, both in Cambridge and around the world, have contributed to the
228 development and the testing of Exim, and to porting it to various operating
229 systems. I am grateful to them all. The distribution now contains a file called
230 _ACKNOWLEDGMENTS_, in which I have started recording the names of
231 contributors.
232
233
234
235 Exim documentation
236 ~~~~~~~~~~~~~~~~~~
237 [revisionflag="changed"]
238 cindex:[documentation]
239 This edition of the Exim specification applies to version {version} of Exim.
240 Substantive changes from the {previousversion} edition are marked in some
241 renditions of the document; this paragraph is so marked if the rendition is
242 capable of showing a change indicator.
243
244 This document is very much a reference manual; it is not a tutorial. The reader
245 is expected to have some familiarity with the SMTP mail transfer protocol and
246 with general Unix system administration. Although there are some discussions
247 and examples in places, the information is mostly organized in a way that makes
248 it easy to look up, rather than in a natural order for sequential reading.
249 Furthermore, the manual aims to cover every aspect of Exim in detail, including
250 a number of rarely-used, special-purpose features that are unlikely to be of
251 very wide interest.
252
253 cindex:[books about Exim]
254 An ``easier'' discussion of Exim which provides more in-depth explanatory,
255 introductory, and tutorial material can be found in a book entitled
256 'The Exim SMTP Mail Server', published by UIT Cambridge
257 (*http://www.uit.co.uk/exim-book/[]*).
258
259 This book also contains a chapter that gives a general introduction to SMTP and
260 Internet mail. Inevitably, however, the book is unlikely to be fully up-to-date
261 with the latest release of Exim. (Note that the earlier book about Exim,
262 published by O'Reilly, covers Exim 3, and many things have changed in Exim 4.)
263
264 [revisionflag="changed"]
265 cindex:[Debian,information sources]
266 If you are using a Debian distribution of Exim, you will find information about
267 Debian-specific features in the file
268 &&&&
269 _/usr/share/doc/exim4-base/README.Debian_
270 &&&&
271 The command ^man update-exim.conf^ is another source of Debian-specific
272 information.
273
274 cindex:[_doc/NewStuff_]
275 cindex:[_doc/ChangeLog_]
276 cindex:[change log]
277 As the program develops, there may be features in newer versions that have not
278 yet made it into this document, which is updated only when the most significant
279 digit of the fractional part of the version number changes. Specifications of
280 new features that are not yet in this manual are placed in the file
281 _doc/NewStuff_ in the Exim distribution.
282
283 Some features may be classified as ``experimental''. These may change
284 incompatibly while they are developing, or even be withdrawn. For this reason,
285 they are not documented in this manual. Information about experimental features
286 can be found in the file _doc/experimental.txt_.
287
288 All changes to the program (whether new features, bug fixes, or other kinds of
289 change) are noted briefly in the file called _doc/ChangeLog_.
290
291 cindex:[_doc/spec.txt_]
292 This specification itself is available as an ASCII file in _doc/spec.txt_ so
293 that it can easily be searched with a text editor. Other files in the _doc_
294 directory are:
295
296 [frame="none"]
297 `--------------------`------------------------------------------
298 _OptionLists.txt_    list of all options in alphabetical order
299 _dbm.discuss.txt_    discussion about DBM libraries
300 _exim.8_             a man page of Exim's command line options
301 _experimental.txt_   documentation of experimental features
302 _filter.txt_         specification of the filter language
303 _pcrepattern.txt_    specification of PCRE regular expressions
304 _pcretest.txt_       specification of the PCRE testing program
305 _Exim3.upgrade_      upgrade notes from release 2 to release 3
306 _Exim4.upgrade_      upgrade notes from release 3 to release 4
307 ----------------------------------------------------------------
308
309 The main specification and the specification of the filtering language are also
310 available in other formats (HTML, PostScript, PDF, and Texinfo). Section
311 <<SECTavail>> below tells you how to get hold of these.
312
313
314
315 FTP and web sites
316 ~~~~~~~~~~~~~~~~~
317 cindex:[web site]
318 cindex:[FTP site]
319 The primary site for Exim source distributions is currently the University of
320 Cambridge's FTP site, whose contents are described in 'Where to find the Exim
321 distribution' below. In addition, there is a web site and an FTP site at
322 %exim.org%. These are now also hosted at the University of Cambridge. The
323 %exim.org% site was previously hosted for a number of years by Energis Squared,
324 formerly Planet Online Ltd, whose support I gratefully acknowledge.
325
326 As well as Exim distribution tar files, the Exim web site contains a number of
327 differently formatted versions of the documentation, including the
328 cindex:[FAQ] FAQ in both text and HTML formats. The HTML version comes with
329 a keyword-in-context index. A recent addition to the online information is the
330 cindex:[wiki]
331 Exim wiki (*http://www.exim.org/eximwiki/[]*).
332 We hope that this will make it easier for Exim users to contribute examples,
333 tips, and know-how for the benefit of others.
334
335
336
337 Mailing lists
338 ~~~~~~~~~~~~~
339 cindex:[mailing lists,for Exim users]
340 The following are the three main Exim mailing lists:
341
342 [frame="none"]
343 `-------------------------------`----------------------------------------
344 'exim-users@exim.org'           general discussion list
345 'exim-dev@exim.org'             discussion of bugs, enhancements, etc.
346 'exim-announce@exim.org'        moderated, low volume announcements list
347 -------------------------------------------------------------------------
348
349 You can subscribe to these lists, change your existing subscriptions, and view
350 or search the archives via the mailing lists link on the Exim home page. The
351 'exim-users' mailing list is also forwarded to
352 *http://www.egroups.com/list/exim-users[]*, an archiving system with searching
353 capabilities.
354
355 [revisionflag="changed"]
356 cindex:[Debian,mailing list for]
357 If you are using a Debian distribution of Exim, you may wish to subscribe to
358 the Debian-specific mailing list, which is
359 'pkg-exim4-users@lists.alioth.debian.org'.
360
361
362 Exim training
363 ~~~~~~~~~~~~~
364 cindex:[training courses]
365 From time to time (approximately annually at the time of writing), training
366 courses are run by the author of Exim in Cambridge, UK. Details can be found on
367 the web site *http://www-tus.csx.cam.ac.uk/courses/exim/[]*.
368
369
370 Bug reports
371 ~~~~~~~~~~~
372 cindex:[bug reports]
373 cindex:[reporting bugs]
374 Reports of obvious bugs should be emailed to 'bugs@exim.org'. However, if
375 you are unsure whether some behaviour is a bug or not, the best thing to do is
376 to post a message to the 'exim-dev' mailing list and have it discussed.
377
378
379
380 [[SECTavail]]
381 Where to find the Exim distribution
382 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
383 cindex:[FTP site]
384 cindex:[distribution,ftp site]
385 The master ftp site for the Exim distribution is
386
387 &&&
388 *ftp://ftp.csx.cam.ac.uk/pub/software/email/exim[]*
389 &&&
390
391 This is mirrored by
392
393 &&&
394 *ftp://ftp.exim.org/pub/exim[]*
395 &&&
396
397 The file references that follow are relative to the _exim_ directories at these
398 sites. There are now quite a number of independent mirror sites around the
399 world. Those that I know about are listed in the file called _Mirrors_.
400
401 Within the _exim_ directory there are subdirectories called _exim3_ (for
402 previous Exim 3 distributions), _exim4_ (for the latest Exim 4
403 distributions), and _Testing_ for testing versions. In the _exim4_
404 subdirectory, the current release can always be found in files called
405
406 &&&
407 _exim-n.nn.tar.gz_
408 _exim-n.nn.tar.bz2_
409 &&&
410
411 where 'n.nn' is the highest such version number in the directory. The two
412 files contain identical data; the only difference is the type of compression.
413 The _.bz2_ file is usually a lot smaller than the _.gz_ file.
414
415 cindex:[distribution,signing details]
416 cindex:[distribution,public key]
417 cindex:[public key for signed distribution]
418 The distributions are currently signed with Philip Hazel's GPG key. The
419 corresponding public key is available from a number of keyservers, and there is
420 also a copy in the file _Public-Key_. The signatures for the tar bundles are
421 in:
422
423 &&&
424 _exim-n.nn.tar.gz.sig_
425 _exim-n.nn.tar.bz2.sig_
426 &&&
427
428 For each released version, the log of changes is made separately available in a
429 separate file in the directory _ChangeLogs_ so that it is possible to
430 find out what has changed without having to download the entire distribution.
431
432 cindex:[documentation,available formats]
433 The main distribution contains ASCII versions of this specification and other
434 documentation; other formats of the documents are available in separate files
435 inside the _exim4_ directory of the FTP site:
436
437 &&&
438 _exim-html-n.nn.tar.gz_
439 _exim-pdf-n.nn.tar.gz_
440 _exim-postscript-n.nn.tar.gz_
441 _exim-texinfo-n.nn.tar.gz_
442 &&&
443
444 These tar files contain only the _doc_ directory, not the complete
445 distribution, and are also available in _.bz2_ as well as _.gz_ forms.
446 cindex:[FAQ]
447 The FAQ is available for downloading in two different formats in these files:
448
449 &&&
450 _exim4/FAQ.txt.gz_
451 _exim4/FAQ.html.tar.gz_
452 &&&
453
454 The first of these is a single ASCII file that can be searched with a text
455 editor. The second is a directory of HTML files, normally accessed by starting
456 at _index.html_. The HTML version of the FAQ (which is also included in the
457 HTML documentation tarbundle) includes a keyword-in-context index, which is
458 often the most convenient way of finding your way around.
459
460
461 Wish list
462 ~~~~~~~~~
463 cindex:[wish list]
464 A wish list is maintained, containing ideas for new features that have been
465 submitted. From time to time the file is exported to the ftp site into the file
466 _exim4/WishList_. Items are removed from the list if they get implemented.
467
468
469
470 Contributed material
471 ~~~~~~~~~~~~~~~~~~~~
472 cindex:[contributed material]
473 At the ftp site, there is a directory called _Contrib_ that contains
474 miscellaneous files contributed to the Exim community by Exim users. There is
475 also a collection of contributed configuration examples in
476 _exim4/config.samples.tar.gz_. These samples are referenced from the FAQ.
477
478
479
480 Limitations
481 ~~~~~~~~~~~
482 - cindex:[limitations of Exim]
483 Exim is designed for use as an Internet MTA, and therefore handles addresses
484 in RFC 2822 domain format only.
485 cindex:[bang paths,not handled by Exim]
486 It cannot handle UUCP ``bang paths'', though simple two-component bang paths can
487 be converted by a straightforward rewriting configuration. This restriction
488 does not prevent Exim from being interfaced to UUCP as a transport mechanism,
489 provided that domain addresses are used.
490
491 - cindex:[domainless addresses]
492 cindex:[address,without domain]
493 Exim insists that every address it handles has a domain attached. For incoming
494 local messages, domainless addresses are automatically qualified with a
495 configured domain value. Configuration options specify from which remote
496 systems unqualified addresses are acceptable. These are then qualified on
497 arrival.
498
499 - cindex:[transport,external]
500 cindex:[external transports]
501 The only external transport currently implemented is an SMTP transport over a
502 TCP/IP network (using sockets, including support for IPv6). However, a pipe
503 transport is available, and there are facilities for writing messages to files
504 and pipes, optionally in 'batched SMTP' format; these facilities can be used
505 to send messages to some other transport mechanism such as UUCP, provided it
506 can handle domain-style addresses. Batched SMTP input is also catered for.
507
508 - Exim is not designed for storing mail for dial-in hosts. When the volumes of
509 such mail are large, it is better to get the messages ``delivered'' into files
510 (that is, off Exim's queue) and subsequently passed on to the dial-in hosts by
511 other means.
512
513 - Although Exim does have basic facilities for scanning incoming messages, these
514 are not comprehensive enough to do full virus or spam scanning. Such operations
515 are best carried out using additional specialized software packages. If you
516 compile Exim with the content-scanning extension, straightforward interfaces to
517 a number of common scanners are provided.
518
519
520
521
522
523 Run time configuration
524 ~~~~~~~~~~~~~~~~~~~~~~
525 Exim's run time configuration is held in a single text file that is divided
526 into a number of sections. The entries in this file consist of keywords and
527 values, in the style of Smail 3 configuration files. A default configuration
528 file which is suitable for simple online installations is provided in the
529 distribution, and is described in chapter <<CHAPdefconfil>> below.
530
531
532
533 Calling interface
534 ~~~~~~~~~~~~~~~~~
535 cindex:[Sendmail compatibility,command line interface]
536 Like many MTAs, Exim has adopted the Sendmail command line interface so that it
537 can be a straight replacement for _/usr/lib/sendmail_ or
538 _/usr/sbin/sendmail_ when sending mail, but you do not need to know anything
539 about Sendmail in order to run Exim. For actions other than sending messages,
540 Sendmail-compatible options also exist, but those that produce output (for
541 example, %-bp%, which lists the messages on the queue) do so in Exim's own
542 format. There are also some additional options that are compatible with Smail
543 3, and some further options that are new to Exim. Chapter <<CHAPcommandline>>
544 documents all Exim's command line options. This information is automatically
545 made into the man page that forms part of the Exim distribution.
546
547 Control of messages on the queue can be done via certain privileged command
548 line options. There is also an optional monitor program called 'eximon', which
549 displays current information in an X window, and which contains a menu
550 interface to Exim's command line administration options.
551
552
553
554 Terminology
555 ~~~~~~~~~~~
556 cindex:[terminology definitions]
557 cindex:[body of message,definition of]
558 The 'body' of a message is the actual data that the sender wants to transmit.
559 It is the last part of a message, and is separated from the 'header' (see
560 below) by a blank line.
561
562 cindex:[bounce message,definition of]
563 When a message cannot be delivered, it is normally returned to the sender in a
564 delivery failure message or a ``non-delivery report'' (NDR). The term 'bounce'
565 is commonly used for this action, and the error reports are often called
566 'bounce messages'. This is a convenient shorthand for ``delivery failure error
567 report''. Such messages have an empty sender address in the message's
568 'envelope' (see below) to ensure that they cannot themselves give rise to
569 further bounce messages.
570
571 The term 'default' appears frequently in this manual. It is used to qualify a
572 value which is used in the absence of any setting in the configuration. It may
573 also qualify an action which is taken unless a configuration setting specifies
574 otherwise.
575
576 The term 'defer' is used when the delivery of a message to a specific
577 destination cannot immediately take place for some reason (a remote host may be
578 down, or a user's local mailbox may be full). Such deliveries are 'deferred'
579 until a later time.
580
581 The word 'domain' is sometimes used to mean all but the first component of a
582 host's name. It is 'not' used in that sense here, where it normally
583 refers to the part of an email address following the @ sign.
584
585 cindex:[envelope, definition of]
586 cindex:[sender,definition of]
587 A message in transit has an associated 'envelope', as well as a header and a
588 body. The envelope contains a sender address (to which bounce messages should
589 be delivered), and any number of recipient addresses. References to the
590 sender or the recipients of a message usually mean the addresses in the
591 envelope. An MTA uses these addresses for delivery, and for returning bounce
592 messages, not the addresses that appear in the header lines.
593
594 cindex:[message header, definition of]
595 cindex:[header section,definition of]
596 The 'header' of a message is the first part of a message's text, consisting
597 of a number of lines, each of which has a name such as 'From:', 'To:',
598 'Subject:', etc. Long header lines can be split over several text lines by
599 indenting the continuations. The header is separated from the body by a blank
600 line.
601
602 cindex:[local part,definition of]
603 cindex:[domain,definition of]
604 The term 'local part', which is taken from RFC 2822, is used to refer to that
605 part of an email address that precedes the @ sign. The part that follows the
606 @ sign is called the 'domain' or 'mail domain'.
607
608 cindex:[local delivery,definition of]
609 cindex:[remote delivery, definition of]
610 The terms 'local delivery' and 'remote delivery' are used to distinguish
611 delivery to a file or a pipe on the local host from delivery by SMTP over
612 TCP/IP to another host. As far as Exim is concerned, all hosts other than the
613 host it is running on are 'remote'.
614
615 cindex:[return path,definition of]
616 'Return path' is another name that is used for the sender address in a
617 message's envelope.
618
619 cindex:[queue,definition of]
620 The term 'queue' is used to refer to the set of messages awaiting delivery,
621 because this term is in widespread use in the context of MTAs. However, in
622 Exim's case the reality is more like a pool than a queue, because there is
623 normally no ordering of waiting messages.
624
625 cindex:[queue runner,definition of]
626 The term 'queue runner' is used to describe a process that scans the queue
627 and attempts to deliver those messages whose retry times have come. This term
628 is used by other MTAs, and also relates to the command %runq%, but in Exim
629 the waiting messages are normally processed in an unpredictable order.
630
631 cindex:[spool directory,definition of]
632 The term 'spool directory' is used for a directory in which Exim keeps the
633 messages on its queue -- that is, those that it is in the process of
634 delivering. This should not be confused with the directory in which local
635 mailboxes are stored, which is called a ``spool directory'' by some people. In
636 the Exim documentation, ``spool'' is always used in the first sense.
637
638
639
640
641
642
643 ////////////////////////////////////////////////////////////////////////////
644 ////////////////////////////////////////////////////////////////////////////
645
646 Incorporated code
647 -----------------
648 cindex:[incorporated code]
649 cindex:[regular expressions,library]
650 cindex:[PCRE]
651 A number of pieces of external code are included in the Exim distribution.
652
653 - Regular expressions are supported in the main Exim program and in the Exim
654 monitor using the freely-distributable PCRE library, copyright (c) University
655 of Cambridge. The source is distributed in the directory _src/pcre_. However,
656 this is a cut-down version of PCRE. If you want to use the PCRE library in
657 other programs, you should obtain and install the full version from
658 *ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre[]*.
659
660 - cindex:[cdb,acknowledgement]
661 Support for the cdb (Constant DataBase) lookup method is provided by code
662 contributed by Nigel Metheringham of (at the time he contributed it) Planet
663 Online Ltd. which contains the following statements:
664 +
665 ++++++++++++++++++++++
666 <blockquote>
667 ++++++++++++++++++++++
668 +
669 Copyright (c) 1998 Nigel Metheringham, Planet Online Ltd
670 +
671 This program is free software; you can redistribute it and/or modify it under
672 the terms of the GNU General Public License as published by the Free Software
673 Foundation; either version 2 of the License, or (at your option) any later
674 version.
675 +
676 This code implements Dan Bernstein's Constant DataBase (cdb) spec. Information,
677 the spec and sample code for cdb can be obtained from
678 *http://www.pobox.com/{tl}djb/cdb.html[]*. This implementation borrows some code
679 from Dan Bernstein's implementation (which has no license restrictions applied
680 to it).
681 +
682 ++++++++++++++++++++++
683 </blockquote>
684 ++++++++++++++++++++++
685 +
686 The implementation is completely contained within the code of Exim.
687 It does not link against an external cdb library.
688
689 - cindex:[SPA authentication]
690 cindex:[Samba project]
691 cindex:[Microsoft Secure Password Authentication]
692 Client support for Microsoft's 'Secure Password Authentication' is provided
693 by code contributed by Marc Prud'hommeaux. Server support was contributed by
694 Tom Kistner. This includes code taken from the Samba project, which is released
695 under the Gnu GPL.
696
697 - cindex:[Cyrus]
698 cindex:['pwcheck' daemon]
699 cindex:['pwauthd' daemon]
700 Support for calling the Cyrus 'pwcheck' and 'saslauthd' daemons is provided
701 by code taken from the Cyrus-SASL library and adapted by Alexander S.
702 Sabourenkov. The permission notice appears below, in accordance with the
703 conditions expressed therein.
704 +
705 ++++++++++++++++++++++
706 <blockquote>
707 ++++++++++++++++++++++
708 +
709 Copyright (c) 2001 Carnegie Mellon University.  All rights reserved.
710 +
711 Redistribution and use in source and binary forms, with or without
712 modification, are permitted provided that the following conditions
713 are met:
714 +
715 . Redistributions of source code must retain the above copyright
716 notice, this list of conditions and the following disclaimer.
717
718 . Redistributions in binary form must reproduce the above copyright
719 notice, this list of conditions and the following disclaimer in
720 the documentation and/or other materials provided with the
721 distribution.
722
723 . The name ``Carnegie Mellon University'' must not be used to
724 endorse or promote products derived from this software without
725 prior written permission. For permission or any other legal
726 details, please contact
727 +
728 &&&
729               Office of Technology Transfer
730               Carnegie Mellon University
731               5000 Forbes Avenue
732               Pittsburgh, PA  15213-3890
733               (412) 268-4387, fax: (412) 268-7395
734               tech-transfer@andrew.cmu.edu
735 &&&
736 ///
737 The need to indent that block explicitly is a pain.
738 ///
739
740 . Redistributions of any form whatsoever must retain the following
741 acknowledgment:
742 +
743 ``This product includes software developed by Computing Services
744 at Carnegie Mellon University (*http://www.cmu.edu/computing/[]*).''
745 +
746 CARNEGIE MELLON UNIVERSITY DISCLAIMS ALL WARRANTIES WITH REGARD TO
747 THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY
748 AND FITNESS, IN NO EVENT SHALL CARNEGIE MELLON UNIVERSITY BE LIABLE
749 FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES
750 WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN
751 AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING
752 OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
753
754 ///
755 Note, no "+" line there, because we want to terminate the inner list item
756 before ending the block quote.
757 ///
758 +
759 ++++++++++++++++++++++
760 </blockquote>
761 ++++++++++++++++++++++
762
763 - cindex:[Exim monitor,acknowledgement]
764 cindex:[X-windows]
765 cindex:[Athena]
766 The Exim Monitor program, which is an X-Window application, includes
767 modified versions of the Athena StripChart and TextPop widgets.
768 This code is copyright by DEC and MIT, and their permission notice appears
769 below, in accordance with the conditions expressed therein.
770 +
771 ++++++++++++++++++++++
772 <blockquote>
773 ++++++++++++++++++++++
774 +
775 Copyright 1987, 1988 by Digital Equipment Corporation, Maynard, Massachusetts,
776 and the Massachusetts Institute of Technology, Cambridge, Massachusetts.
777 +
778 All Rights Reserved
779 +
780 Permission to use, copy, modify, and distribute this software and its
781 documentation for any purpose and without fee is hereby granted,
782 provided that the above copyright notice appear in all copies and that
783 both that copyright notice and this permission notice appear in
784 supporting documentation, and that the names of Digital or MIT not be
785 used in advertising or publicity pertaining to distribution of the
786 software without specific, written prior permission.
787 +
788 DIGITAL DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING
789 ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL
790 DIGITAL BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR
791 ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,
792 WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION,
793 ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS
794 SOFTWARE.
795 +
796 ++++++++++++++++++++++
797 </blockquote>
798 ++++++++++++++++++++++
799
800 - Many people have contributed code fragments, some large, some small, that were
801 not covered by any specific licence requirements. It is assumed that the
802 contributors are happy to see their code incoporated into Exim under the GPL.
803
804
805
806
807
808 ////////////////////////////////////////////////////////////////////////////
809 ////////////////////////////////////////////////////////////////////////////
810
811 [titleabbrev="Receiving and delivering mail"]
812 How Exim receives and delivers mail
813 -----------------------------------
814
815
816 Overall philosophy
817 ~~~~~~~~~~~~~~~~~~
818 cindex:[design philosophy]
819 Exim is designed to work efficiently on systems that are permanently connected
820 to the Internet and are handling a general mix of mail. In such circumstances,
821 most messages can be delivered immediately. Consequently, Exim does not
822 maintain independent queues of messages for specific domains or hosts, though
823 it does try to send several messages in a single SMTP connection after a host
824 has been down, and it also maintains per-host retry information.
825
826
827
828 Policy control
829 ~~~~~~~~~~~~~~
830 cindex:[policy control,overview]
831 Policy controls are now an important feature of MTAs that are connected to the
832 Internet. Perhaps their most important job is to stop MTAs being abused as
833 ``open relays'' by misguided individuals who send out vast amounts of unsolicited
834 junk, and want to disguise its source. Exim provides flexible facilities for
835 specifying policy controls on incoming mail:
836
837 - cindex:[{ACL},introduction]
838 Exim 4 (unlike previous versions of Exim) implements policy controls on
839 incoming mail by means of 'Access Control Lists' (ACLs). Each list is a
840 series of statements that may either grant or deny access. ACLs can be used at
841 several places in the SMTP dialogue while receiving a message from a remote
842 host. However, the most common places are after each RCPT command, and at
843 the very end of the message. The sysadmin can specify conditions for accepting
844 or rejecting individual recipients or the entire message, respectively, at
845 these two points (see chapter <<CHAPACL>>). Denial of access results in an SMTP
846 error code.
847
848 - An ACL is also available for locally generated, non-SMTP messages. In this
849 case, the only available actions are to accept or deny the entire message.
850
851 - When Exim is compiled with the content-scanning extension, facilities are
852 provided in the ACL mechanism for passing the message to external virus and/or
853 spam scanning software. The result of such a scan is passed back to the ACL,
854 which can then use it to decide what to do with the message.
855
856 - When a message has been received, either from a remote host or from the local
857 host, but before the final acknowledgement has been sent, a locally supplied C
858 function called 'local_scan()' can be run to inspect the message and decide
859 whether to accept it or not (see chapter <<CHAPlocalscan>>). If the message is
860 accepted, the list of recipients can be modified by the function.
861
862 - Using the 'local_scan()' mechanism is another way of calling external
863 scanner software. The %SA-Exim% add-on package works this way. It does not
864 require Exim to be compiled with the content-scanning extension.
865
866 - After a message has been accepted, a further checking mechanism is available in
867 the form of the 'system filter' (see chapter <<CHAPsystemfilter>>). This runs
868 at the start of every delivery process.
869
870
871
872 User filters
873 ~~~~~~~~~~~~
874 cindex:[filter,introduction]
875 cindex:[Sieve filter]
876 In a conventional Exim configuration, users are able to run private filters by
877 setting up appropriate _.forward_ files in their home directories. See
878 chapter <<CHAPredirect>> (about the ^redirect^ router) for the configuration
879 needed to support this, and the separate document entitled 'Exim's interfaces
880 to mail filtering' for user details. Two different kinds of filtering are
881 available:
882
883 - Sieve filters are written in the standard filtering language that is defined
884 by RFC 3028.
885
886 - Exim filters are written in a syntax that is unique to Exim, but which is more
887 powerful than Sieve, which it pre-dates.
888
889 User filters are run as part of the routing process, described below.
890
891
892
893 [[SECTmessiden]]
894 Message identification
895 ~~~~~~~~~~~~~~~~~~~~~~
896 cindex:[message ids, details of format]
897 cindex:[format,of message id]
898 cindex:[id of message]
899 cindex:[base62]
900 cindex:[base36]
901 cindex:[Darwin]
902 cindex:[Cygwin]
903 Every message handled by Exim is given a 'message id' which is sixteen
904 characters long. It is divided into three parts, separated by hyphens, for
905 example `16VDhn-0001bo-D3`. Each part is a sequence of letters and digits,
906 normally encoding numbers in base 62. However, in the Darwin operating
907 system (Mac OS X) and when Exim is compiled to run under Cygwin, base 36
908 (avoiding the use of lower case letters) is used instead, because the message
909 id is used to construct file names, and the names of files in those systems are
910 not always case-sensitive.
911
912 cindex:[pid (process id),re-use of]
913 The detail of the contents of the message id have changed as Exim has evolved.
914 Earlier versions relied on the operating system not re-using a process id (pid)
915 within one second. On modern operating systems, this assumption can no longer
916 be made, so the algorithm had to be changed. To retain backward compatibility,
917 the format of the message id was retained, which is why the following rules are
918 somewhat eccentric:
919
920 - The first six characters of the message id are the time at which the message
921 started to be received, to a granularity of one second. That is, this field
922 contains the number of seconds since the start of the epoch (the normal Unix
923 way of representing the date and time of day).
924
925 - After the first hyphen, the next six characters are the id of the process that
926 received the message.
927
928 - There are two different possibilities for the final two characters:
929
930 . cindex:[%localhost_number%]
931 If %localhost_number% is not set, this value is the fractional part of the
932 time of reception, normally in units of 1/2000 of a second, but for systems
933 that must use base 36 instead of base 62 (because of case-insensitive file
934 systems), the units are 1/1000 of a second.
935
936 . If %localhost_number% is set, it is multiplied by 200 (100) and added to
937 the fractional part of the time, which in this case is in units of 1/200
938 (1/100) of a second.
939
940 After a message has been received, Exim waits for the clock to tick at the
941 appropriate resolution before proceeding, so that if another message is
942 received by the same process, or by another process with the same (re-used)
943 pid, it is guaranteed that the time will be different. In most cases, the clock
944 will already have ticked while the message was being received.
945
946
947 Receiving mail
948 ~~~~~~~~~~~~~~
949 cindex:[receiving mail]
950 cindex:[message,reception]
951 The only way Exim can receive mail from another host is using SMTP over
952 TCP/IP, in which case the sender and recipient addresses are transferred using
953 SMTP commands. However, from a locally running process (such as a user's MUA),
954 there are several possibilities:
955
956 - If the process runs Exim with the %-bm% option, the message is read
957 non-interactively (usually via a pipe), with the recipients taken from the
958 command line, or from the body of the message if %-t% is also used.
959
960 - If the process runs Exim with the %-bS% option, the message is also read
961 non-interactively, but in this case the recipients are listed at the start of
962 the message in a series of SMTP RCPT commands, terminated by a DATA
963 command. This is so-called ``batch SMTP'' format,
964 but it isn't really SMTP. The SMTP commands are just another way of passing
965 envelope addresses in a non-interactive submission.
966
967 - If the process runs Exim with the %-bs% option, the message is read
968 interactively, using the SMTP protocol. A two-way pipe is normally used for
969 passing data between the local process and the Exim process.
970 This is ``real'' SMTP and is handled in the same way as SMTP over TCP/IP. For
971 example, the ACLs for SMTP commands are used for this form of submission.
972
973 - A local process may also make a TCP/IP call to the host's loopback address
974 (127.0.0.1) or any other of its IP addresses. When receiving messages, Exim
975 does not treat the loopback address specially. It treats all such connections
976 in the same way as connections from other hosts.
977
978
979 cindex:[message sender, constructed by Exim]
980 cindex:[sender,constructed by Exim]
981 In the three cases that do not involve TCP/IP, the sender address is
982 constructed from the login name of the user that called Exim and a default
983 qualification domain (which can be set by the %qualify_domain% configuration
984 option). For local or batch SMTP, a sender address that is passed using the
985 SMTP MAIL command is ignored. However, the system administrator may allow
986 certain users (``trusted users'') to specify a different sender address
987 unconditionally, or all users to specify certain forms of different sender
988 address. The %-f% option or the SMTP MAIL command is used to specify these
989 different addresses. See section <<SECTtrustedadmin>> for details of trusted
990 users, and the %untrusted_set_sender% option for a way of allowing untrusted
991 users to change sender addresses.
992
993 Messages received by either of the non-interactive mechanisms are subject to
994 checking by the non-SMTP ACL, if one is defined. Messages received using SMTP
995 (either over TCP/IP, or interacting with a local process) can be checked by a
996 number of ACLs that operate at different times during the SMTP session. Either
997 individual recipients, or the entire message, can be rejected if local policy
998 requirements are not met. The 'local_scan()' function (see chapter
999 <<CHAPlocalscan>>) is run for all incoming messages.
1000
1001 Exim can be configured not to start a delivery process when a message is
1002 received; this can be unconditional, or depend on the number of incoming SMTP
1003 connections or the system load. In these situations, new messages wait on the
1004 queue until a queue runner process picks them up. However, in standard
1005 configurations under normal conditions, delivery is started as soon as a
1006 message is received.
1007
1008
1009
1010
1011
1012 Handling an incoming message
1013 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1014 cindex:[spool directory,files that hold a message]
1015 cindex:[file,how a message is held]
1016 When Exim accepts a message, it writes two files in its spool directory. The
1017 first contains the envelope information, the current status of the message, and
1018 the header lines, and the second contains the body of the message. The names of
1019 the two spool files consist of the message id, followed by `-H` for the
1020 file containing the envelope and header, and `-D` for the data file.
1021
1022 cindex:[spool directory,_input_ sub-directory]
1023 By default all these message files are held in a single directory called
1024 _input_ inside the general Exim spool directory. Some operating systems do
1025 not perform very well if the number of files in a directory gets very large; to
1026 improve performance in such cases, the %split_spool_directory% option can be
1027 used. This causes Exim to split up the input files into 62 sub-directories
1028 whose names are single letters or digits.
1029
1030 The envelope information consists of the address of the message's sender and
1031 the addresses of the recipients. This information is entirely separate from
1032 any addresses contained in the header lines. The status of the message includes
1033 a list of recipients who have already received the message. The format of the
1034 first spool file is described in chapter <<CHAPspool>>.
1035
1036 cindex:[rewriting,addresses]
1037 Address rewriting that is specified in the rewrite section of the configuration
1038 (see chapter <<CHAPrewrite>>) is done once and for all on incoming addresses,
1039 both in the header lines and the envelope, at the time the message is accepted.
1040 If during the course of delivery additional addresses are generated (for
1041 example, via aliasing), these new addresses are rewritten as soon as they are
1042 generated. At the time a message is actually delivered (transported) further
1043 rewriting can take place; because this is a transport option, it can be
1044 different for different forms of delivery. It is also possible to specify the
1045 addition or removal of certain header lines at the time the message is
1046 delivered (see chapters <<CHAProutergeneric>> and <<CHAPtransportgeneric>>).
1047
1048
1049
1050 Life of a message
1051 ~~~~~~~~~~~~~~~~~
1052 cindex:[message,life of]
1053 cindex:[message,frozen]
1054 A message remains in the spool directory until it is completely delivered to
1055 its recipients or to an error address, or until it is deleted by an
1056 administrator or by the user who originally created it. In cases when delivery
1057 cannot proceed -- for example, when a message can neither be delivered to its
1058 recipients nor returned to its sender, the message is marked ``frozen'' on the
1059 spool, and no more deliveries are attempted.
1060
1061 cindex:[frozen messages,thawing]
1062 cindex:[message,thawing frozen]
1063 An administrator can ``thaw'' such messages when the problem has been corrected,
1064 and can also freeze individual messages by hand if necessary. In addition, an
1065 administrator can force a delivery error, causing a bounce message to be sent.
1066
1067 [revisionflag="changed"]
1068 cindex:[%timeout_frozen_after%]
1069 cindex:[%ignore_bounce_errors_after%]
1070 There are options called %ignore_bounce_errors_after% and
1071 %timeout_frozen_after%, which discard frozen messages after a certain time.
1072 The first applies only to frozen bounces, the second to any frozen messages.
1073
1074 cindex:[message,log file for]
1075 cindex:[log,file for each message]
1076 While Exim is working on a message, it writes information about each delivery
1077 attempt to its main log file. This includes successful, unsuccessful, and
1078 delayed deliveries for each recipient (see chapter <<CHAPlog>>). The log lines
1079 are also written to a separate 'message log' file for each message. These
1080 logs are solely for the benefit of the administrator, and are normally deleted
1081 along with the spool files when processing of a message is complete.
1082 The use of individual message logs can be disabled by setting
1083 %no_message_logs%; this might give an improvement in performance on very
1084 busy systems.
1085
1086 cindex:[journal file]
1087 cindex:[file,journal]
1088 All the information Exim itself needs to set up a delivery is kept in the first
1089 spool file, along with the header lines. When a successful delivery occurs, the
1090 address is immediately written at the end of a journal file, whose name is the
1091 message id followed by `-J`. At the end of a delivery run, if there are some
1092 addresses left to be tried again later, the first spool file (the `-H` file)
1093 is updated to indicate which these are, and the journal file is then deleted.
1094 Updating the spool file is done by writing a new file and renaming it, to
1095 minimize the possibility of data loss.
1096
1097 Should the system or the program crash after a successful delivery but before
1098 the spool file has been updated, the journal is left lying around. The next
1099 time Exim attempts to deliver the message, it reads the journal file and
1100 updates the spool file before proceeding. This minimizes the chances of double
1101 deliveries caused by crashes.
1102
1103
1104
1105 [[SECTprocaddress]]
1106 Processing an address for delivery
1107 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1108 cindex:[drivers,definition of]
1109 cindex:[router,definition of]
1110 cindex:[transport,definition of]
1111 The main delivery processing elements of Exim are called 'routers' and
1112 'transports', and collectively these are known as 'drivers'. Code for a
1113 number of them is provided in the source distribution, and compile-time options
1114 specify which ones are included in the binary. Run time options specify which
1115 ones are actually used for delivering messages.
1116
1117 cindex:[drivers,instance definition]
1118 Each driver that is specified in the run time configuration is an 'instance'
1119 of that particular driver type. Multiple instances are allowed; for example,
1120 you can set up several different ^smtp^ transports, each with different
1121 option values that might specify different ports or different timeouts. Each
1122 instance has its own identifying name. In what follows we will normally use the
1123 instance name when discussing one particular instance (that is, one specific
1124 configuration of the driver), and the generic driver name when discussing
1125 the driver's features in general.
1126
1127 A 'router' is a driver that operates on an address, either determining how
1128 its delivery should happen, by assigning it to a specific transport, or
1129 converting the address into one or more new addresses (for example, via an
1130 alias file). A router may also explicitly choose to fail an address, causing it
1131 to be bounced.
1132
1133 A 'transport' is a driver that transmits a copy of the message from Exim's
1134 spool to some destination. There are two kinds of transport: for a 'local'
1135 transport, the destination is a file or a pipe on the local host, whereas for a
1136 'remote' transport the destination is some other host. A message is passed
1137 to a specific transport as a result of successful routing. If a message has
1138 several recipients, it may be passed to a number of different transports.
1139
1140 cindex:[preconditions,definition of]
1141 An address is processed by passing it to each configured router instance in
1142 turn, subject to certain preconditions, until a router accepts the address or
1143 specifies that it should be bounced. We will describe this process in more
1144 detail shortly. First, as a simple example, we consider how each recipient
1145 address in a message is processed in a small configuration of three routers.
1146
1147 To make this a more concrete example, it is described in terms of some actual
1148 routers, but remember, this is only an example. You can configure Exim's
1149 routers in many different ways, and there may be any number of routers in a
1150 configuration.
1151
1152 The first router that is specified in a configuration is often one that handles
1153 addresses in domains that are not recognized specially by the local host. These
1154 are typically addresses for arbitrary domains on the Internet. A precondition
1155 is set up which looks for the special domains known to the host (for example,
1156 its own domain name), and the router is run for addresses that do 'not'
1157 match. Typically, this is a router that looks up domains in the DNS in order to
1158 find the hosts to which this address routes. If it succeeds, the address is
1159 assigned to a suitable SMTP transport; if it does not succeed, the router is
1160 configured to fail the address.
1161
1162 The second router is reached only when the domain is recognized as one that
1163 ``belongs'' to the local host. This router does redirection -- also known as
1164 aliasing and forwarding. When it generates one or more new addresses from the
1165 original, each of them is routed independently from the start. Otherwise, the
1166 router may cause an address to fail, or it may simply decline to handle the
1167 address, in which case the address is passed to the next router.
1168
1169 The final router in many configurations is one that checks to see if the
1170 address belongs to a local mailbox. The precondition may involve a check to
1171 see if the local part is the name of a login account, or it may look up the
1172 local part in a file or a database. If its preconditions are not met, or if
1173 the router declines, we have reached the end of the routers. When this happens,
1174 the address is bounced.
1175
1176
1177
1178 Processing an address for verification
1179 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1180 cindex:[router,for verification]
1181 cindex:[verifying address, overview]
1182 As well as being used to decide how to deliver to an address, Exim's routers
1183 are also used for 'address verification'. Verification can be requested as
1184 one of the checks to be performed in an ACL for incoming messages, on both
1185 sender and recipient addresses, and it can be tested using the %-bv% and
1186 %-bvs% command line options.
1187
1188 When an address is being verified, the routers are run in ``verify mode''. This
1189 does not affect the way the routers work, but it is a state that can be
1190 detected. By this means, a router can be skipped or made to behave differently
1191 when verifying. A common example is a configuration in which the first router
1192 sends all messages to a message-scanning program, unless they have been
1193 previously scanned. Thus, the first router accepts all addresses without any
1194 checking, making it useless for verifying. Normally, the %no_verify% option
1195 would be set for such a router, causing it to be skipped in verify mode.
1196
1197
1198
1199
1200 [[SECTrunindrou]]
1201 Running an individual router
1202 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1203 cindex:[router,running details]
1204 cindex:[preconditions,checking]
1205 cindex:[router,result of running]
1206 As explained in the example above, a number of preconditions are checked before
1207 running a router. If any are not met, the router is skipped, and the address is
1208 passed to the next router. When all the preconditions on a router 'are' met,
1209 the router is run. What happens next depends on the outcome, which is one of
1210 the following:
1211
1212 - 'accept': The router accepts the address, and either assigns it to a
1213 transport, or generates one or more ``child'' addresses. Processing the original
1214 address ceases,
1215 cindex:[%unseen% option]
1216 unless the %unseen% option is set on the router. This option
1217 can be used to set up multiple deliveries with different routing (for example,
1218 for keeping archive copies of messages). When %unseen% is set, the address is
1219 passed to the next router. Normally, however, an 'accept' return marks the
1220 end of routing.
1221 +
1222 Any child addresses generated by the router are processed independently,
1223 starting with the first router by default. It is possible to change this by
1224 setting the %redirect_router% option to specify which router to start at for
1225 child addresses. Unlike %pass_router% (see below) the router specified by
1226 %redirect_router% may be anywhere in the router configuration.
1227
1228 - 'pass': The router recognizes the address, but cannot handle it itself. It
1229 requests that the address be passed to another router. By default the address
1230 is passed to the next router, but this can be changed by setting the
1231 %pass_router% option. However, (unlike %redirect_router%) the named router
1232 must be below the current router (to avoid loops).
1233
1234 - 'decline': The router declines to accept the address because it does not
1235 recognize it at all. By default, the address is passed to the next router, but
1236 this can be prevented by setting the %no_more% option. When %no_more% is set,
1237 all the remaining routers are skipped. In effect, %no_more% converts 'decline'
1238 into 'fail'.
1239
1240 - 'fail': The router determines that the address should fail, and queues it for
1241 the generation of a bounce message. There is no further processing of the
1242 original address unless %unseen% is set on the router.
1243
1244 - 'defer': The router cannot handle the address at the present time. (A
1245 database may be offline, or a DNS lookup may have timed out.) No further
1246 processing of the address happens in this delivery attempt. It is tried again
1247 next time the message is considered for delivery.
1248
1249 - 'error': There is some error in the router (for example, a syntax error in
1250 its configuration). The action is as for defer.
1251
1252 If an address reaches the end of the routers without having been accepted by
1253 any of them, it is bounced as unrouteable. The default error message in this
1254 situation is ``unrouteable address'', but you can set your own message by
1255 making use of the %cannot_route_message% option. This can be set for any
1256 router; the value from the last router that ``saw'' the address is used.
1257
1258 Sometimes while routing you want to fail a delivery when some conditions are
1259 met but others are not, instead of passing the address on for further routing.
1260 You can do this by having a second router that explicitly fails the delivery
1261 when the relevant conditions are met. The ^redirect^ router has a ``fail''
1262 facility for this purpose.
1263
1264
1265 Duplicate addresses
1266 ~~~~~~~~~~~~~~~~~~~
1267
1268 [revisionflag="changed"]
1269 cindex:[case of local parts]
1270 cindex:[address duplicate, discarding]
1271 Once routing is complete, Exim scans the addresses that are assigned to local
1272 and remote transports, and discards any duplicates that it finds. During this
1273 check, local parts are treated as case-sensitive.
1274
1275
1276
1277 [[SECTrouprecon]]
1278 Router preconditions
1279 ~~~~~~~~~~~~~~~~~~~~
1280 cindex:[router preconditions, order of processing]
1281 cindex:[preconditions,order of processing]
1282 The preconditions that are tested for each router are listed below, in the
1283 order in which they are tested. The individual configuration options are
1284 described in more detail in chapter <<CHAProutergeneric>>.
1285
1286 - The %local_part_prefix% and %local_part_suffix% options can specify that
1287 the local parts handled by the router may or must have certain prefixes and/or
1288 suffixes. If a mandatory affix (prefix or suffix) is not present, the router is
1289 skipped. These conditions are tested first. When an affix is present, it is
1290 removed from the local part before further processing, including the evaluation
1291 of any other conditions.
1292
1293 - Routers can be designated for use only when not verifying an address, that is,
1294 only when routing it for delivery (or testing its delivery routing). If the
1295 %verify% option is set false, the router is skipped when Exim is verifying an
1296 address.
1297 Setting the %verify% option actually sets two options, %verify_sender% and
1298 %verify_recipient%, which independently control the use of the router for
1299 sender and recipient verification. You can set these options directly if
1300 you want a router to be used for only one type of verification.
1301
1302 - If the %address_test% option is set false, the router is skipped when Exim is
1303 run with the %-bt% option to test an address routing. This can be helpful when
1304 the first router sends all new messages to a scanner of some sort; it makes it
1305 possible to use %-bt% to test subsequent delivery routing without having to
1306 simulate the effect of the scanner.
1307
1308 - Routers can be designated for use only when verifying an address, as
1309 opposed to routing it for delivery. The %verify_only% option controls this.
1310
1311 - Individual routers can be explicitly skipped when running the routers to
1312 check an address given in the SMTP EXPN command (see the %expn% option).
1313
1314 - If the %domains% option is set, the domain of the address must be in the set
1315 of domains that it defines.
1316
1317 - cindex:[$local_part_prefix$]
1318 cindex:[$local_part$]
1319 cindex:[$local_part_suffix$]
1320 If the %local_parts% option is set, the local part of the address must be in
1321 the set of local parts that it defines. If %local_part_prefix% or
1322 %local_part_suffix% is in use, the prefix or suffix is removed from the local
1323 part before this check. If you want to do precondition tests on local parts
1324 that include affixes, you can do so by using a %condition% option (see below)
1325 that uses the variables $local_part$, $local_part_prefix$, and
1326 $local_part_suffix$ as necessary.
1327
1328 - cindex:[$local_user_uid$]
1329 cindex:[$local_user_gid$]
1330 cindex:[$home$]
1331 If the %check_local_user% option is set, the local part must be the name of
1332 an account on the local host. If this check succeeds, the uid and gid of the
1333 local user are placed in $local_user_uid$ and $local_user_gid$ and the user's
1334 home directory is placed in $home$; these values can be used in the remaining
1335 preconditions.
1336
1337 - If the %router_home_directory% option is set, it is expanded at this point,
1338 because it overrides the value of $home$. If this expansion were left till
1339 later, the value of $home$ as set by %check_local_user% would be used in
1340 subsequent tests. Having two different values of $home$ in the same router
1341 could lead to confusion.
1342
1343 - If the %senders% option is set, the envelope sender address must be in the set
1344 of addresses that it defines.
1345
1346 - If the %require_files% option is set, the existence or non-existence of
1347 specified files is tested.
1348
1349 - cindex:[customizing,precondition]
1350 If the %condition% option is set, it is evaluated and tested. This option uses
1351 an expanded string to allow you to set up your own custom preconditions.
1352 Expanded strings are described in chapter <<CHAPexpand>>.
1353
1354
1355 Note that %require_files% comes near the end of the list, so you cannot use it
1356 to check for the existence of a file in which to lookup up a domain, local
1357 part, or sender. However, as these options are all expanded, you can use the
1358 %exists% expansion condition to make such tests within each condition. The
1359 %require_files% option is intended for checking files that the router may be
1360 going to use internally, or which are needed by a specific transport (for
1361 example, _.procmailrc_).
1362
1363
1364
1365 Delivery in detail
1366 ~~~~~~~~~~~~~~~~~~
1367 cindex:[delivery,in detail]
1368 When a message is to be delivered, the sequence of events is as follows:
1369
1370 - If a system-wide filter file is specified, the message is passed to it. The
1371 filter may add recipients to the message, replace the recipients, discard the
1372 message, cause a new message to be generated, or cause the message delivery to
1373 fail. The format of the system filter file is the same as for Exim user filter
1374 files, described in the separate document entitled
1375 'Exim's interfaces to mail filtering'.
1376 cindex:[Sieve filter,not available for system filter]
1377 (*Note*: Sieve cannot be used for system filter files.)
1378 +
1379 Some additional features are available in system filters -- see chapter
1380 <<CHAPsystemfilter>> for details. Note that a message is passed to the system
1381 filter only once per delivery attempt, however many recipients it has. However,
1382 if there are several delivery attempts because one or more addresses could not
1383 be immediately delivered, the system filter is run each time. The filter
1384 condition %first_delivery% can be used to detect the first run of the system
1385 filter.
1386
1387 - Each recipient address is offered to each configured router in turn, subject
1388 to its preconditions, until one is able to handle it. If no router can handle
1389 the address, that is, if they all decline, the address is failed. Because
1390 routers can be targeted at particular domains, several locally handled domains
1391 can be processed entirely independently of each other.
1392
1393 - cindex:[routing,loops in]
1394 cindex:[loop,while routing]
1395 A router that accepts an address may assign it to a local or a remote transport. However, the transport is not run at this time. Instead, the address is
1396 placed on a list for the particular transport, which will be run later.
1397 Alternatively, the router may generate one or more new addresses (typically
1398 from alias, forward, or filter files). New addresses are fed back into this
1399 process from the top, but in order to avoid loops, a router ignores any address
1400 which has an identically-named ancestor that was processed by itself.
1401
1402 - When all the routing has been done, addresses that have been successfully
1403 handled are passed to their assigned transports. When local transports are
1404 doing real local deliveries, they handle only one address at a time, but if a
1405 local transport is being used as a pseudo-remote transport (for example, to
1406 collect batched SMTP messages for transmission by some other means) multiple
1407 addresses can be handled. Remote transports can always handle more than one
1408 address at a time, but can be configured not to do so, or to restrict multiple
1409 addresses to the same domain.
1410
1411 - Each local delivery to a file or a pipe runs in a separate process under a
1412 non-privileged uid, and these deliveries are run one at a time. Remote
1413 deliveries also run in separate processes, normally under a uid that is private
1414 to Exim (``the Exim user''), but in this case, several remote deliveries can be
1415 run in parallel. The maximum number of simultaneous remote deliveries for any
1416 one message is set by the %remote_max_parallel% option.
1417 The order in which deliveries are done is not defined, except that all local
1418 deliveries happen before any remote deliveries.
1419
1420 - cindex:[queue runner]
1421 When it encounters a local delivery during a queue run, Exim checks its retry
1422 database to see if there has been a previous temporary delivery failure for the
1423 address before running the local transport. If there was a previous failure,
1424 Exim does not attempt a new delivery until the retry time for the address is
1425 reached. However, this happens only for delivery attempts that are part of a
1426 queue run. Local deliveries are always attempted when delivery immediately
1427 follows message reception, even if retry times are set for them. This makes for
1428 better behaviour if one particular message is causing problems (for example,
1429 causing quota overflow, or provoking an error in a filter file).
1430
1431 - cindex:[delivery,retry in remote transports]
1432 Remote transports do their own retry handling, since an address may be
1433 deliverable to one of a number of hosts, each of which may have a different
1434 retry time. If there have been previous temporary failures and no host has
1435 reached its retry time, no delivery is attempted, whether in a queue run or
1436 not. See chapter <<CHAPretry>> for details of retry strategies.
1437
1438 - If there were any permanent errors, a bounce message is returned to an
1439 appropriate address (the sender in the common case), with details of the error
1440 for each failing address. Exim can be configured to send copies of bounce
1441 messages to other addresses.
1442
1443 - cindex:[delivery,deferral]
1444 If one or more addresses suffered a temporary failure, the message is left on
1445 the queue, to be tried again later. Delivery of these addresses is said to be
1446 'deferred'.
1447
1448 - When all the recipient addresses have either been delivered or bounced,
1449 handling of the message is complete. The spool files and message log are
1450 deleted, though the message log can optionally be preserved if required.
1451
1452
1453
1454
1455 Retry mechanism
1456 ~~~~~~~~~~~~~~~
1457 cindex:[delivery,retry mechanism]
1458 cindex:[retry,description of mechanism]
1459 cindex:[queue runner]
1460 Exim's mechanism for retrying messages that fail to get delivered at the first
1461 attempt is the queue runner process. You must either run an Exim daemon that
1462 uses the %-q% option with a time interval to start queue runners at regular
1463 intervals, or use some other means (such as 'cron') to start them. If you do
1464 not arrange for queue runners to be run, messages that fail temporarily at the
1465 first attempt will remain on your queue for ever. A queue runner process works
1466 its way through the queue, one message at a time, trying each delivery that has
1467 passed its retry time.
1468 You can run several queue runners at once.
1469
1470 Exim uses a set of configured rules to determine when next to retry the failing
1471 address (see chapter <<CHAPretry>>). These rules also specify when Exim should
1472 give up trying to deliver to the address, at which point it generates a bounce
1473 message. If no retry rules are set for a particular host, address, and error
1474 combination, no retries are attempted, and temporary errors are treated as
1475 permanent.
1476
1477
1478
1479 Temporary delivery failure
1480 ~~~~~~~~~~~~~~~~~~~~~~~~~~
1481 cindex:[delivery,temporary failure]
1482 There are many reasons why a message may not be immediately deliverable to a
1483 particular address. Failure to connect to a remote machine (because it, or the
1484 connection to it, is down) is one of the most common. Temporary failures may be
1485 detected during routing as well as during the transport stage of delivery.
1486 Local deliveries may be delayed if NFS files are unavailable, or if a mailbox
1487 is on a file system where the user is over quota. Exim can be configured to
1488 impose its own quotas on local mailboxes; where system quotas are set they will
1489 also apply.
1490
1491 If a host is unreachable for a period of time, a number of messages may be
1492 waiting for it by the time it recovers, and sending them in a single SMTP
1493 connection is clearly beneficial. Whenever a delivery to a remote host is
1494 deferred,
1495
1496 cindex:[hints database]
1497 Exim makes a note in its hints database, and whenever a successful
1498 SMTP delivery has happened, it looks to see if any other messages are waiting
1499 for the same host. If any are found, they are sent over the same SMTP
1500 connection, subject to a configuration limit as to the maximum number in any
1501 one connection.
1502
1503
1504
1505
1506 Permanent delivery failure
1507 ~~~~~~~~~~~~~~~~~~~~~~~~~~
1508 cindex:[delivery,permanent failure]
1509 cindex:[bounce message,when generated]
1510 When a message cannot be delivered to some or all of its intended recipients, a
1511 bounce message is generated. Temporary delivery failures turn into permanent
1512 errors when their timeout expires. All the addresses that fail in a given
1513 delivery attempt are listed in a single message. If the original message has
1514 many recipients, it is possible for some addresses to fail in one delivery
1515 attempt and others to fail subsequently, giving rise to more than one bounce
1516 message. The wording of bounce messages can be customized by the administrator.
1517 See chapter <<CHAPemsgcust>> for details.
1518
1519 cindex:['X-Failed-Recipients:' header line]
1520 Bounce messages contain an 'X-Failed-Recipients:' header line that lists the
1521 failed addresses, for the benefit of programs that try to analyse such messages
1522 automatically.
1523
1524 cindex:[bounce message,recipient of]
1525 A bounce message is normally sent to the sender of the original message, as
1526 obtained from the message's envelope. For incoming SMTP messages, this is the
1527 address given in the MAIL command. However, when an address is
1528 expanded via a forward or alias file, an alternative address can be specified
1529 for delivery failures of the generated addresses. For a mailing list expansion
1530 (see section <<SECTmailinglists>>) it is common to direct bounce messages to the
1531 manager of the list.
1532
1533
1534
1535
1536 Failures to deliver bounce messages
1537 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1538 cindex:[bounce message,failure to deliver]
1539 If a bounce message (either locally generated or received from a remote host)
1540 itself suffers a permanent delivery failure, the message is left on the queue,
1541 but it is frozen, awaiting the attention of an administrator. There are options
1542 that can be used to make Exim discard such failed messages, or to keep them
1543 for only a short time (see %timeout_frozen_after% and
1544 %ignore_bounce_errors_after%).
1545
1546
1547
1548
1549
1550 ////////////////////////////////////////////////////////////////////////////
1551 ////////////////////////////////////////////////////////////////////////////
1552
1553 Building and installing Exim
1554 ----------------------------
1555
1556 cindex:[building Exim]
1557
1558 Unpacking
1559 ~~~~~~~~~
1560 Exim is distributed as a gzipped or bzipped tar file which, when upacked,
1561 creates a directory with the name of the current release (for example,
1562 _exim-{version}_) into which the following files are placed:
1563
1564 [frame="none"]
1565 `--------------------`--------------------------------------------------------
1566 _ACKNOWLEDGMENTS_    contains some acknowledgments
1567 _CHANGES_            contains a reference to where changes are documented
1568 _LICENCE_            the GNU General Public Licence
1569 _Makefile_           top-level make file
1570 _NOTICE_             conditions for the use of Exim
1571 _README_             list of files, directories and simple build instructions
1572 ------------------------------------------------------------------------------
1573
1574 Other files whose names begin with _README_ may also be present. The
1575 following subdirectories are created:
1576
1577 [frame="none"]
1578 `--------------------`------------------------------------------------
1579 _Local_              an empty directory for local configuration files
1580 _OS_                 OS-specific files
1581 _doc_                documentation files
1582 _exim_monitor_       source files for the Exim monitor
1583 _scripts_            scripts used in the build process
1584 _src_                remaining source files
1585 _util_               independent utilities
1586 ----------------------------------------------------------------------
1587
1588 The main utility programs are contained in the _src_ directory, and are built
1589 with the Exim binary. The _util_ directory contains a few optional scripts
1590 that may be useful to some sites.
1591
1592
1593 Multiple machine architectures and operating systems
1594 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1595 cindex:[building Exim,multiple OS/architectures]
1596 The building process for Exim is arranged to make it easy to build binaries for
1597 a number of different architectures and operating systems from the same set of
1598 source files. Compilation does not take place in the _src_ directory. Instead,
1599 a 'build directory' is created for each architecture and operating system.
1600
1601 cindex:[symbolic link,to build directory]
1602 Symbolic links to the sources are installed in this directory, which is where
1603 the actual building takes place.
1604
1605 In most cases, Exim can discover the machine architecture and operating system
1606 for itself, but the defaults can be overridden if necessary.
1607
1608
1609 [[SECTdb]]
1610 DBM libraries
1611 ~~~~~~~~~~~~~
1612 cindex:[DBM libraries, discussion of]
1613 cindex:[hints database,DBM files used for]
1614 Even if you do not use any DBM files in your configuration, Exim still needs a
1615 DBM library in order to operate, because it uses indexed files for its hints
1616 databases. Unfortunately, there are a number of DBM libraries in existence, and
1617 different operating systems often have different ones installed.
1618
1619 cindex:[Solaris,DBM library for]
1620 cindex:[IRIX, DBM library for]
1621 cindex:[BSD, DBM library for]
1622 cindex:[Linux, DBM library for]
1623 If you are using Solaris, IRIX, one of the modern BSD systems, or a modern
1624 Linux distribution, the DBM configuration should happen automatically, and you
1625 may be able to ignore this section. Otherwise, you may have to learn more than
1626 you would like about DBM libraries from what follows.
1627
1628 cindex:['ndbm' DBM library]
1629 Licensed versions of Unix normally contain a library of DBM functions operating
1630 via the 'ndbm' interface, and this is what Exim expects by default. Free
1631 versions of Unix seem to vary in what they contain as standard. In particular,
1632 some early versions of Linux have no default DBM library, and different
1633 distributors have chosen to bundle different libraries with their packaged
1634 versions. However, the more recent releases seem to have standardised on the
1635 Berkeley DB library.
1636
1637 Different DBM libraries have different conventions for naming the files they
1638 use. When a program opens a file called _dbmfile_, there are four
1639 possibilities:
1640
1641 . A traditional 'ndbm' implementation, such as that supplied as part of
1642 Solaris, operates on two files called _dbmfile.dir_ and _dbmfile.pag_.
1643
1644 . cindex:['gdbm' DBM library]
1645 The GNU library, 'gdbm', operates on a single file. If used via its 'ndbm'
1646 compatibility interface it makes two different hard links to it with names
1647 _dbmfile.dir_ and _dbmfile.pag_, but if used via its native interface, the
1648 file name is used unmodified.
1649
1650 . cindex:[Berkeley DB library]
1651 The Berkeley DB package, if called via its 'ndbm' compatibility interface,
1652 operates on a single file called _dbmfile.db_, but otherwise looks to the
1653 programmer exactly the same as the traditional 'ndbm' implementation.
1654
1655 . If the Berkeley package is used in its native mode, it operates on a single
1656 file called _dbmfile_; the programmer's interface is somewhat different to
1657 the traditional 'ndbm' interface.
1658
1659 . To complicate things further, there are several very different versions of the
1660 Berkeley DB package. Version 1.85 was stable for a very long time, releases
1661 2.'x' and 3.'x' were current for a while, but the latest versions are now
1662 numbered 4.'x'. Maintenance of some of the earlier releases has ceased. All
1663 versions of Berkeley DB can be obtained from
1664 +
1665 &&&
1666 *http://www.sleepycat.com/[]*
1667 &&&
1668
1669 . cindex:['tdb' DBM library]
1670 Yet another DBM library, called 'tdb', has become available from
1671 +
1672 &&&
1673 *http://download.sourceforge.net/tdb[]*
1674 &&&
1675 +
1676 It has its own interface, and also operates on a single file.
1677
1678 cindex:[USE_DB]
1679 cindex:[DBM libraries, configuration for building]
1680 Exim and its utilities can be compiled to use any of these interfaces. In order
1681 to use any version of the Berkeley DB package in native mode, you must set
1682 USE_DB in an appropriate configuration file (typically
1683 _Local/Makefile_). For example:
1684
1685   USE_DB=yes
1686
1687 Similarly, for gdbm you set USE_GDBM, and for tdb you set USE_TDB. An
1688 error is diagnosed if you set more than one of these.
1689
1690 At the lowest level, the build-time configuration sets none of these options,
1691 thereby assuming an interface of type (1). However, some operating system
1692 configuration files (for example, those for the BSD operating systems and
1693 Linux) assume type (4) by setting USE_DB as their default, and the
1694 configuration files for Cygwin set USE_GDBM. Anything you set in
1695 _Local/Makefile_, however, overrides these system defaults.
1696
1697 As well as setting USE_DB, USE_GDBM, or USE_TDB, it may also be
1698 necessary to set DBMLIB, to cause inclusion of the appropriate library, as
1699 in one of these lines:
1700
1701   DBMLIB = -ldb
1702   DBMLIB = -ltdb
1703
1704 Settings like that will work if the DBM library is installed in the standard
1705 place. Sometimes it is not, and the library's header file may also not be in
1706 the default path. You may need to set INCLUDE to specify where the header
1707 file is, and to specify the path to the library more fully in DBMLIB, as in
1708 this example:
1709
1710   INCLUDE=-I/usr/local/include/db-4.1
1711   DBMLIB=/usr/local/lib/db-4.1/libdb.a
1712
1713
1714 There is further detailed discussion about the various DBM libraries in the
1715 file _doc/dbm.discuss.txt_ in the Exim distribution.
1716
1717
1718
1719 Pre-building configuration
1720 ~~~~~~~~~~~~~~~~~~~~~~~~~~
1721 cindex:[building Exim,pre-building configuration]
1722 cindex:[configuration for building Exim]
1723 cindex:[_Local/Makefile_]
1724 cindex:[_src/EDITME_]
1725 Before building Exim, a local configuration file that specifies options
1726 independent of any operating system has to be created with the name
1727 _Local/Makefile_. A template for this file is supplied as the file
1728 _src/EDITME_, and it contains full descriptions of all the option settings
1729 therein. These descriptions are therefore not repeated here. If you are
1730 building Exim for the first time, the simplest thing to do is to copy
1731 _src/EDITME_ to _Local/Makefile_, then read it and edit it appropriately.
1732
1733 There are three settings that you must supply, because Exim will not build
1734 without them. They are the location of the run time configuration file
1735 (CONFIGURE_FILE), the directory in which Exim binaries will be installed
1736 (BIN_DIRECTORY), and the identity of the Exim user (EXIM_USER and
1737 maybe EXIM_GROUP as well). The value of CONFIGURE_FILE can in fact be
1738 a colon-separated list of file names; Exim uses the first of them that exists.
1739
1740 There are a few other parameters that can be specified either at build time or
1741 at run time, to enable the same binary to be used on a number of different
1742 machines. However, if the locations of Exim's spool directory and log file
1743 directory (if not within the spool directory) are fixed, it is recommended that
1744 you specify them in _Local/Makefile_ instead of at run time, so that errors
1745 detected early in Exim's execution (such as a malformed configuration file) can
1746 be logged.
1747
1748 cindex:[content scanning,specifying at build time]
1749 Exim's interfaces for calling virus and spam scanning software directly from
1750 access control lists are not compiled by default. If you want to include these
1751 facilities, you need to set
1752
1753   WITH_CONTENT_SCAN=yes
1754
1755 in your _Local/Makefile_. For details of the facilities themselves, see
1756 chapter <<CHAPexiscan>>.
1757
1758
1759 cindex:[_Local/eximon.conf_]
1760 cindex:[_exim_monitor/EDITME_]
1761 If you are going to build the Exim monitor, a similar configuration process is
1762 required. The file _exim_monitor/EDITME_ must be edited appropriately for
1763 your installation and saved under the name _Local/eximon.conf_. If you are
1764 happy with the default settings described in _exim_monitor/EDITME_,
1765 _Local/eximon.conf_ can be empty, but it must exist.
1766
1767 This is all the configuration that is needed in straightforward cases for known
1768 operating systems. However, the building process is set up so that it is easy
1769 to override options that are set by default or by operating-system-specific
1770 configuration files, for example to change the name of the C compiler, which
1771 defaults to %gcc%. See section <<SECToverride>> below for details of how to do
1772 this.
1773
1774
1775
1776 Support for iconv()
1777 ~~~~~~~~~~~~~~~~~~~
1778 cindex:['iconv()' support]
1779 The contents of header lines in messages may be encoded according to the rules
1780 described RFC 2047. This makes it possible to transmit characters that are not
1781 in the ASCII character set, and to label them as being in a particular
1782 character set. When Exim is inspecting header lines by means of the %\$h_%
1783 mechanism, it decodes them, and translates them into a specified character set
1784 (default ISO-8859-1). The translation is possible only if the operating system
1785 supports the 'iconv()' function.
1786
1787 However, some of the operating systems that supply 'iconv()' do not support
1788 very many conversions. The GNU %libiconv% library (available from
1789 *http://www.gnu.org/software/libiconv/[]*) can be installed on such systems to
1790 remedy this deficiency, as well as on systems that do not supply 'iconv()' at
1791 all. After installing %libiconv%, you should add
1792
1793   HAVE_ICONV=yes
1794
1795 to your _Local/Makefile_ and rebuild Exim.
1796
1797
1798
1799 [[SECTinctlsssl]]
1800 Including TLS/SSL encryption support
1801 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1802 cindex:[TLS,including support for TLS]
1803 cindex:[encryption,including support for]
1804 cindex:[SUPPORT_TLS]
1805 cindex:[OpenSSL,building Exim with]
1806 cindex:[GnuTLS,building Exim with]
1807 Exim can be built to support encrypted SMTP connections, using the STARTTLS
1808 command as per RFC 2487. It can also support legacy clients that expect to
1809 start a TLS session immediately on connection to a non-standard port (see the
1810 %tls_on_connect_ports% runtime option and the %-tls-on-connect% command
1811 line option).
1812
1813 If you want to build Exim with TLS support, you must first install either the
1814 OpenSSL or GnuTLS library. There is no cryptographic code in Exim itself for
1815 implementing SSL.
1816
1817 If OpenSSL is installed, you should set
1818
1819   SUPPORT_TLS=yes
1820   TLS_LIBS=-lssl -lcrypto
1821
1822 in _Local/Makefile_. You may also need to specify the locations of the
1823 OpenSSL library and include files. For example:
1824
1825   SUPPORT_TLS=yes
1826   TLS_LIBS=-L/usr/local/openssl/lib -lssl -lcrypto
1827   TLS_INCLUDE=-I/usr/local/openssl/include/
1828
1829 cindex:[USE_GNUTLS]
1830 If GnuTLS is installed, you should set
1831
1832   SUPPORT_TLS=yes
1833   USE_GNUTLS=yes
1834   TLS_LIBS=-lgnutls -ltasn1 -lgcrypt
1835
1836 in _Local/Makefile_, and again you may need to specify the locations of the
1837 library and include files. For example:
1838
1839   SUPPORT_TLS=yes
1840   USE_GNUTLS=yes
1841   TLS_LIBS=-L/usr/gnu/lib -lgnutls -ltasn1 -lgcrypt
1842   TLS_INCLUDE=-I/usr/gnu/include
1843
1844 You do not need to set TLS_INCLUDE if the relevant directory is already
1845 specified in INCLUDE. Details of how to configure Exim to make use of TLS
1846 are given in chapter <<CHAPTLS>>.
1847
1848
1849
1850
1851 Use of tcpwrappers
1852 ~~~~~~~~~~~~~~~~~~
1853 cindex:[tcpwrappers, building Exim to support]
1854 cindex:[USE_TCP_WRAPPERS]
1855 Exim can be linked with the 'tcpwrappers' library in order to check incoming
1856 SMTP calls using the 'tcpwrappers' control files. This may be a convenient
1857 alternative to Exim's own checking facilities for installations that are
1858 already making use of 'tcpwrappers' for other purposes. To do this, you should
1859 set USE_TCP_WRAPPERS in _Local/Makefile_, arrange for the file
1860 _tcpd.h_ to be available at compile time, and also ensure that the library
1861 _libwrap.a_ is available at link time, typically by including %-lwrap% in
1862 EXTRALIBS_EXIM. For example, if 'tcpwrappers' is installed in
1863 _/usr/local_, you might have
1864
1865   USE_TCP_WRAPPERS=yes
1866   CFLAGS=-O -I/usr/local/include
1867   EXTRALIBS_EXIM=-L/usr/local/lib -lwrap
1868
1869 in _Local/Makefile_. The name to use in the 'tcpwrappers' control files is
1870 ``exim''. For example, the line
1871
1872   exim : LOCAL  192.168.1.  .friendly.domain.example
1873
1874 in your _/etc/hosts.allow_ file allows connections from the local host, from
1875 the subnet 192.168.1.0/24, and from all hosts in 'friendly.domain.example'.
1876 All other connections are denied. Consult the 'tcpwrappers' documentation for
1877 further details.
1878
1879
1880
1881 Including support for IPv6
1882 ~~~~~~~~~~~~~~~~~~~~~~~~~~
1883 cindex:[IPv6,including support for]
1884 Exim contains code for use on systems that have IPv6 support. Setting
1885 `HAVE_IPV6=YES` in _Local/Makefile_ causes the IPv6 code to be included;
1886 it may also be necessary to set IPV6_INCLUDE and IPV6_LIBS on systems
1887 where the IPv6 support is not fully integrated into the normal include and
1888 library files.
1889
1890 Two different types of DNS record for handling IPv6 addresses have been
1891 defined. AAAA records (analagous to A records for IPv4) are in use, and are
1892 currently seen as the mainstream. Another record type called A6 was proposed
1893 as better than AAAA because it had more flexibility. However, it was felt to be
1894 over-complex, and its status was reduced to ``experimental''. It is not known
1895 if anyone is actually using A6 records. Exim has support for A6 records, but
1896 this is included only if you set `SUPPORT_A6=YES` in _Local/Makefile_. The
1897 support has not been tested for some time.
1898
1899
1900
1901 The building process
1902 ~~~~~~~~~~~~~~~~~~~~
1903 cindex:[build directory]
1904 Once _Local/Makefile_ (and _Local/eximon.conf_, if required) have been
1905 created, run 'make' at the top level. It determines the architecture and
1906 operating system types, and creates a build directory if one does not exist.
1907 For example, on a Sun system running Solaris 8, the directory
1908 _build-SunOS5-5.8-sparc_ is created.
1909 cindex:[symbolic link,to source files]
1910 Symbolic links to relevant source files are installed in the build directory.
1911
1912 *Warning*: The %-j% (parallel) flag must not be used with 'make'; the
1913 building process fails if it is set.
1914
1915 If this is the first time 'make' has been run, it calls a script that builds
1916 a make file inside the build directory, using the configuration files from the
1917 _Local_ directory. The new make file is then passed to another instance of
1918 'make'. This does the real work, building a number of utility scripts, and
1919 then compiling and linking the binaries for the Exim monitor (if configured), a
1920 number of utility programs, and finally Exim itself. The command 'make
1921 makefile' can be used to force a rebuild of the make file in the build
1922 directory, should this ever be necessary.
1923
1924 If you have problems building Exim, check for any comments there may be in the
1925 _README_ file concerning your operating system, and also take a look at the
1926 FAQ, where some common problems are covered.
1927
1928
1929
1930 Output from ``make''
1931 ~~~~~~~~~~~~~~~~~~~~
1932
1933 [revisionflag="changed"]
1934 The output produced by the 'make' process for compile lines is often very
1935 unreadable, because these lines can be very long. For this reason, the normal
1936 output is suppressed by default, and instead output similar to that which
1937 appears when compiling the 2.6 Linux kernel is generated: just a short line for
1938 each module that is being compiled or linked. However, it is still possible to
1939 get the full output, by calling 'make' like this:
1940
1941   FULLECHO='' make -e
1942
1943 The value of FULLECHO defaults to ``@'', the flag character that suppresses
1944 command reflection in 'make'. When you ask for the full output, it is
1945 given in addition to the the short output.
1946
1947
1948
1949
1950 [[SECToverride]]
1951 Overriding build-time options for Exim
1952 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1953 cindex:[build-time options, overriding]
1954 The main make file that is created at the beginning of the building process
1955 consists of the concatenation of a number of files which set configuration
1956 values, followed by a fixed set of 'make' instructions. If a value is set
1957 more than once, the last setting overrides any previous ones. This provides a
1958 convenient way of overriding defaults. The files that are concatenated are, in
1959 order:
1960
1961 &&&
1962 _OS/Makefile-Default_
1963 _OS/Makefile-_<'ostype'>
1964 _Local/Makefile_
1965 _Local/Makefile-_<'ostype'>
1966 _Local/Makefile-_<'archtype'>
1967 _Local/Makefile-_<'ostype'>-<'archtype'>
1968 _OS/Makefile-Base_
1969 &&&
1970
1971 cindex:[_Local/Makefile_]
1972 cindex:[building Exim,operating system type]
1973 cindex:[building Exim,architecture type]
1974 where <'ostype'> is the operating system type and <'archtype'> is the
1975 architecture type. _Local/Makefile_ is required to exist, and the building
1976 process fails if it is absent. The other three _Local_ files are optional,
1977 and are often not needed.
1978
1979 The values used for <'ostype'> and <'archtype'> are obtained from scripts
1980 called _scripts/os-type_ and _scripts/arch-type_ respectively. If either of
1981 the environment variables EXIM_OSTYPE or EXIM_ARCHTYPE is set, their
1982 values are used, thereby providing a means of forcing particular settings.
1983 Otherwise, the scripts try to get values from the %uname% command. If this
1984 fails, the shell variables OSTYPE and ARCHTYPE are inspected. A number
1985 of 'ad hoc' transformations are then applied, to produce the standard names
1986 that Exim expects. You can run these scripts directly from the shell in order
1987 to find out what values are being used on your system.
1988
1989
1990 _OS/Makefile-Default_ contains comments about the variables that are set
1991 therein. Some (but not all) are mentioned below. If there is something that
1992 needs changing, review the contents of this file and the contents of the make
1993 file for your operating system (_OS/Makefile-<ostype>_) to see what the
1994 default values are.
1995
1996
1997 cindex:[building Exim,overriding default settings]
1998 If you need to change any of the values that are set in _OS/Makefile-Default_
1999 or in _OS/Makefile-<ostype>_, or to add any new definitions, you do not
2000 need to change the original files. Instead, you should make the changes by
2001 putting the new values in an appropriate _Local_ file. For example,
2002 cindex:[Tru64-Unix build-time settings]
2003 when building Exim in many releases of the Tru64-Unix (formerly Digital UNIX,
2004 formerly DEC-OSF1) operating system, it is necessary to specify that the C
2005 compiler is called 'cc' rather than 'gcc'. Also, the compiler must be
2006 called with the option %-std1%, to make it recognize some of the features of
2007 Standard C that Exim uses. (Most other compilers recognize Standard C by
2008 default.) To do this, you should create a file called _Local/Makefile-OSF1_
2009 containing the lines
2010
2011   CC=cc
2012   CFLAGS=-std1
2013
2014 If you are compiling for just one operating system, it may be easier to put
2015 these lines directly into _Local/Makefile_.
2016
2017 Keeping all your local configuration settings separate from the distributed
2018 files makes it easy to transfer them to new versions of Exim simply by copying
2019 the contents of the _Local_ directory.
2020
2021
2022 cindex:[NIS lookup type,including support for]
2023 cindex:[NIS+ lookup type,including support for]
2024 cindex:[LDAP,including support for]
2025 cindex:[lookup,inclusion in binary]
2026 Exim contains support for doing LDAP, NIS, NIS+, and other kinds of file
2027 lookup, but not all systems have these components installed, so the default is
2028 not to include the relevant code in the binary. All the different kinds of file
2029 and database lookup that Exim supports are implemented as separate code modules
2030 which are included only if the relevant compile-time options are set. In the
2031 case of LDAP, NIS, and NIS+, the settings for _Local/Makefile_ are:
2032
2033   LOOKUP_LDAP=yes
2034   LOOKUP_NIS=yes
2035   LOOKUP_NISPLUS=yes
2036
2037 and similar settings apply to the other lookup types. They are all listed in
2038 _src/EDITME_. In many cases the relevant include files and interface
2039 libraries need to be installed before compiling Exim.
2040 cindex:[cdb,including support for]
2041 However, there are some optional lookup types (such as cdb) for which
2042 the code is entirely contained within Exim, and no external include
2043 files or libraries are required. When a lookup type is not included in the
2044 binary, attempts to configure Exim to use it cause run time configuration
2045 errors.
2046
2047 cindex:[Perl,including support for]
2048 Exim can be linked with an embedded Perl interpreter, allowing Perl
2049 subroutines to be called during string expansion. To enable this facility,
2050
2051   EXIM_PERL=perl.o
2052
2053 must be defined in _Local/Makefile_. Details of this facility are given in
2054 chapter <<CHAPperl>>.
2055
2056 cindex:[X11 libraries, location of]
2057 The location of the X11 libraries is something that varies a lot between
2058 operating systems, and there may be different versions of X11 to cope
2059 with. Exim itself makes no use of X11, but if you are compiling the Exim
2060 monitor, the X11 libraries must be available.
2061 The following three variables are set in _OS/Makefile-Default_:
2062
2063   X11=/usr/X11R6
2064   XINCLUDE=-I$(X11)/include
2065   XLFLAGS=-L$(X11)/lib
2066
2067 These are overridden in some of the operating-system configuration files. For
2068 example, in _OS/Makefile-SunOS5_ there is
2069
2070   X11=/usr/openwin
2071   XINCLUDE=-I$(X11)/include
2072   XLFLAGS=-L$(X11)/lib -R$(X11)/lib
2073
2074 If you need to override the default setting for your operating system, place a
2075 definition of all three of these variables into your
2076 _Local/Makefile-<ostype>_ file.
2077
2078 cindex:[EXTRALIBS]
2079 If you need to add any extra libraries to the link steps, these can be put in a
2080 variable called EXTRALIBS, which appears in all the link commands, but by
2081 default is not defined. In contrast, EXTRALIBS_EXIM is used only on the
2082 command for linking the main Exim binary, and not for any associated utilities.
2083
2084 cindex:[DBM libraries, configuration for building]
2085 There is also DBMLIB, which appears in the link commands for binaries that
2086 use DBM functions (see also section <<SECTdb>>). Finally, there is
2087 EXTRALIBS_EXIMON, which appears only in the link step for the Exim monitor
2088 binary, and which can be used, for example, to include additional X11
2089 libraries.
2090
2091 cindex:[configuration file,editing]
2092 The make file copes with rebuilding Exim correctly if any of the configuration
2093 files are edited. However, if an optional configuration file is deleted, it is
2094 necessary to touch the associated non-optional file (that is, _Local/Makefile_
2095 or _Local/eximon.conf_) before rebuilding.
2096
2097
2098 OS-specific header files
2099 ~~~~~~~~~~~~~~~~~~~~~~~~
2100 cindex:[_os.h_]
2101 cindex:[building Exim,OS-specific C header files]
2102 The _OS_ directory contains a number of files with names of the form
2103 _os.h-<ostype>_. These are system-specific C header files that should not
2104 normally need to be changed. There is a list of macro settings that are
2105 recognized in the file _OS/os.configuring_, which should be consulted if you
2106 are porting Exim to a new operating system.
2107
2108
2109
2110 Overriding build-time options for the monitor
2111 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2112 cindex:[building Eximon,overriding default options]
2113 A similar process is used for overriding things when building the Exim monitor,
2114 where the files that are involved are
2115
2116 &&&
2117 _OS/eximon.conf-Default_
2118 _OS/eximon.conf-_<'ostype'>
2119 _Local/eximon.conf_
2120 _Local/eximon.conf-_<'ostype'>
2121 _Local/eximon.conf-_<'archtype'>
2122 _Local/eximon.conf-_<'ostype'>-<'archtype'>
2123 &&&
2124
2125 cindex:[_Local/eximon.conf_]
2126 As with Exim itself, the final three files need not exist, and in this case the
2127 _OS/eximon.conf-<ostype>_ file is also optional. The default values in
2128 _OS/eximon.conf-Default_ can be overridden dynamically by setting environment
2129 variables of the same name, preceded by EXIMON_. For example, setting
2130 EXIMON_LOG_DEPTH in the environment overrides the value of
2131 LOG_DEPTH at run time.
2132
2133
2134
2135
2136 Installing Exim binaries and scripts
2137 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2138 cindex:[installing Exim]
2139 cindex:[BIN_DIRECTORY]
2140 The command 'make install' runs the 'exim_install' script with no arguments.
2141 The script copies binaries and utility scripts into the directory whose name is
2142 specified by the BIN_DIRECTORY setting in _Local/Makefile_.
2143 cindex:[setuid,installing Exim with]
2144 The install script copies files only if they are newer than the files they are
2145 going to replace. The Exim binary is required to be owned by root and have the
2146 'setuid' bit set, for normal configurations. Therefore, you must run 'make
2147 install' as root so that it can set up the Exim binary in this way. However, in
2148 some special situations (for example, if a host is doing no local deliveries)
2149 it may be possible to run Exim without making the binary setuid root (see
2150 chapter <<CHAPsecurity>> for details).
2151
2152 cindex:[CONFIGURE_FILE]
2153 Exim's run time configuration file is named by the CONFIGURE_FILE setting
2154 in _Local/Makefile_. If this names a single file, and the file does not
2155 exist, the default configuration file _src/configure.default_ is copied there
2156 by the installation script. If a run time configuration file already exists, it
2157 is left alone. If CONFIGURE_FILE is a colon-separated list, naming several
2158 alternative files, no default is installed.
2159
2160 cindex:[system aliases file]
2161 cindex:[_/etc/aliases_]
2162 One change is made to the default configuration file when it is installed: the
2163 default configuration contains a router that references a system aliases file.
2164 The path to this file is set to the value specified by
2165 SYSTEM_ALIASES_FILE in _Local/Makefile_ (_/etc/aliases_ by default).
2166 If the system aliases file does not exist, the installation script creates it,
2167 and outputs a comment to the user.
2168
2169 The created file contains no aliases, but it does contain comments about the
2170 aliases a site should normally have. Mail aliases have traditionally been
2171 kept in _/etc/aliases_. However, some operating systems are now using
2172 _/etc/mail/aliases_. You should check if yours is one of these, and change
2173 Exim's configuration if necessary.
2174
2175 The default configuration uses the local host's name as the only local domain,
2176 and is set up to do local deliveries into the shared directory _/var/mail_,
2177 running as the local user. System aliases and _.forward_ files in users' home
2178 directories are supported, but no NIS or NIS+ support is configured. Domains
2179 other than the name of the local host are routed using the DNS, with delivery
2180 over SMTP.
2181
2182 It is possible to install Exim for special purposes (such as building a binary
2183 distribution) in a private part of the file system. You can do this by a
2184 command such as
2185
2186   make DESTDIR=/some/directory/ install
2187
2188 This has the effect of pre-pending the specified directory to all the file
2189 paths, except the name of the system aliases file that appears in the default
2190 configuration. (If a default alias file is created, its name 'is' modified.)
2191 For backwards compatibility, ROOT is used if DESTDIR is not set,
2192 but this usage is deprecated.
2193
2194 cindex:[installing Exim,what is not installed]
2195 Running 'make install' does not copy the Exim 4 conversion script
2196 'convert4r4', or the 'pcretest' test program. You will probably run the
2197 first of these only once (if you are upgrading from Exim 3), and the second
2198 isn't really part of Exim. None of the documentation files in the _doc_
2199 directory are copied, except for the info files when you have set
2200 INFO_DIRECTORY, as described in section <<SECTinsinfdoc>> below.
2201
2202 For the utility programs, old versions are renamed by adding the suffix _.O_
2203 to their names. The Exim binary itself, however, is handled differently. It is
2204 installed under a name that includes the version number and the compile number,
2205 for example _exim-{version}-1_. The script then arranges for a symbolic link
2206 called _exim_ to point to the binary. If you are updating a previous version
2207 of Exim, the script takes care to ensure that the name _exim_ is never absent
2208 from the directory (as seen by other processes).
2209
2210 cindex:[installing Exim,testing the script]
2211 If you want to see what the 'make install' will do before running it for
2212 real, you can pass the %-n% option to the installation script by this command:
2213
2214   make INSTALL_ARG=-n install
2215
2216 The contents of the variable INSTALL_ARG are passed to the installation
2217 script. You do not need to be root to run this test. Alternatively, you can run
2218 the installation script directly, but this must be from within the build
2219 directory. For example, from the top-level Exim directory you could use this
2220 command:
2221
2222   (cd build-SunOS5-5.5.1-sparc; ../scripts/exim_install -n)
2223
2224 cindex:[installing Exim,install script options]
2225 There are two other options that can be supplied to the installation script.
2226
2227 - %-no_chown% bypasses the call to change the owner of the installed binary
2228 to root, and the call to make it a setuid binary.
2229
2230 - %-no_symlink% bypasses the setting up of the symbolic link _exim_ to the
2231 installed binary.
2232
2233 INSTALL_ARG can be used to pass these options to the script. For example:
2234
2235   make INSTALL_ARG=-no_symlink install
2236
2237
2238 The installation script can also be given arguments specifying which files are
2239 to be copied. For example, to install just the Exim binary, and nothing else,
2240 without creating the symbolic link, you could use:
2241
2242   make INSTALL_ARG='-no_symlink exim' install
2243
2244
2245
2246
2247 [[SECTinsinfdoc]]
2248 Installing info documentation
2249 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2250 cindex:[installing Exim,'info' documentation]
2251 Not all systems use the GNU 'info' system for documentation, and for this
2252 reason, the Texinfo source of Exim's documentation is not included in the main
2253 distribution. Instead it is available separately from the ftp site (see section
2254 <<SECTavail>>).
2255
2256 If you have defined INFO_DIRECTORY in _Local/Makefile_ and the Texinfo
2257 source of the documentation is found in the source tree, running 'make
2258 install' automatically builds the info files and installs them.
2259
2260
2261
2262 Setting up the spool directory
2263 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2264 cindex:[spool directory,creating]
2265 When it starts up, Exim tries to create its spool directory if it does not
2266 exist. The Exim uid and gid are used for the owner and group of the spool
2267 directory. Sub-directories are automatically created in the spool directory as
2268 necessary.
2269
2270
2271
2272
2273 Testing
2274 ~~~~~~~
2275 cindex:[testing,installation]
2276 Having installed Exim, you can check that the run time configuration file is
2277 syntactically valid by running the following command, which assumes that the
2278 Exim binary directory is within your PATH environment variable:
2279
2280   exim -bV
2281
2282 If there are any errors in the configuration file, Exim outputs error messages.
2283 Otherwise it outputs the version number and build date,
2284 the DBM library that is being used, and information about which drivers and
2285 other optional code modules are included in the binary.
2286 Some simple routing tests can be done by using the address testing option. For
2287 example,
2288
2289   exim -bt <local username>
2290
2291 should verify that it recognizes a local mailbox, and
2292
2293   exim -bt <remote address>
2294
2295 a remote one. Then try getting it to deliver mail, both locally and remotely.
2296 This can be done by passing messages directly to Exim, without going through a
2297 user agent. For example:
2298
2299 ....
2300 exim -v postmaster@your.domain.example
2301 From: user@your.domain.example
2302 To: postmaster@your.domain.example
2303 Subject: Testing Exim
2304
2305 This is a test message.
2306 ^D
2307 ....
2308
2309 The %-v% option causes Exim to output some verification of what it is doing.
2310 In this case you should see copies of three log lines, one for the message's
2311 arrival, one for its delivery, and one containing ``Completed''.
2312
2313 cindex:[delivery,problems with]
2314 If you encounter problems, look at Exim's log files ('mainlog' and
2315 'paniclog') to see if there is any relevant information there. Another source
2316 of information is running Exim with debugging turned on, by specifying the
2317 %-d% option. If a message is stuck on Exim's spool, you can force a delivery
2318 with debugging turned on by a command of the form
2319
2320   exim -d -M <message-id>
2321
2322 You must be root or an ``admin user'' in order to do this. The %-d% option
2323 produces rather a lot of output, but you can cut this down to specific areas.
2324 For example, if you use %-d-all+route% only the debugging information relevant
2325 to routing is included. (See the %-d% option in chapter <<CHAPcommandline>> for
2326 more details.)
2327
2328 cindex:[``sticky'' bit]
2329 cindex:[lock files]
2330 One specific problem that has shown up on some sites is the inability to do
2331 local deliveries into a shared mailbox directory, because it does not have the
2332 ``sticky bit'' set on it. By default, Exim tries to create a lock file before
2333 writing to a mailbox file, and if it cannot create the lock file, the delivery
2334 is deferred. You can get round this either by setting the ``sticky bit'' on the
2335 directory, or by setting a specific group for local deliveries and allowing
2336 that group to create files in the directory (see the comments above the
2337 ^local_delivery^ transport in the default configuration file). Another
2338 approach is to configure Exim not to use lock files, but just to rely on
2339 'fcntl()' locking instead. However, you should do this only if all user
2340 agents also use 'fcntl()' locking. For further discussion of locking issues,
2341 see chapter <<CHAPappendfile>>.
2342
2343 One thing that cannot be tested on a system that is already running an MTA is
2344 the receipt of incoming SMTP mail on the standard SMTP port. However, the
2345 %-oX% option can be used to run an Exim daemon that listens on some other
2346 port, or 'inetd' can be used to do this. The %-bh% option and the
2347 'exim_checkaccess' utility can be used to check out policy controls on
2348 incoming SMTP mail.
2349
2350 Testing a new version on a system that is already running Exim can most easily
2351 be done by building a binary with a different CONFIGURE_FILE setting. From
2352 within the run time configuration, all other file and directory names
2353 that Exim uses can be altered, in order to keep it entirely clear of the
2354 production version.
2355
2356
2357 Replacing another MTA with Exim
2358 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2359 cindex:[replacing another MTA]
2360 Building and installing Exim for the first time does not of itself put it in
2361 general use. The name by which the system's MTA is called by mail user agents
2362 is either _/usr/sbin/sendmail_, or _/usr/lib/sendmail_ (depending on the
2363 operating system), and it is necessary to make this name point to the 'exim'
2364 binary in order to get the user agents to pass messages to Exim. This is
2365 normally done by renaming any existing file and making _/usr/sbin/sendmail_
2366 or _/usr/lib/sendmail_
2367
2368 cindex:[symbolic link,to 'exim' binary]
2369 a symbolic link to the 'exim' binary. It is a good idea to remove any setuid
2370 privilege and executable status from the old MTA. It is then necessary to stop
2371 and restart the mailer daemon, if one is running.
2372
2373 cindex:[FreeBSD, MTA indirection]
2374 cindex:[_/etc/mail/mailer.conf_]
2375 Some operating systems have introduced alternative ways of switching MTAs. For
2376 example, if you are running FreeBSD, you need to edit the file
2377 _/etc/mail/mailer.conf_ instead of setting up a symbolic link as just
2378 described. A typical example of the contents of this file for running Exim is
2379 as follows:
2380
2381   sendmail            /usr/exim/bin/exim
2382   send-mail           /usr/exim/bin/exim
2383   mailq               /usr/exim/bin/exim -bp
2384   newaliases          /usr/bin/true
2385
2386
2387 Once you have set up the symbolic link, or edited _/etc/mail/mailer.conf_,
2388 your Exim installation is ``live''. Check it by sending a message from your
2389 favourite user agent.
2390
2391 You should consider what to tell your users about the change of MTA. Exim may
2392 have different capabilities to what was previously running, and there are
2393 various operational differences such as the text of messages produced by
2394 command line options and in bounce messages. If you allow your users to make
2395 use of Exim's filtering capabilities, you should make the document entitled
2396 'Exim's interface to mail filtering'
2397 available to them.
2398
2399
2400
2401 Upgrading Exim
2402 ~~~~~~~~~~~~~~
2403 cindex:[upgrading Exim]
2404 If you are already running Exim on your host, building and installing a new
2405 version automatically makes it available to MUAs, or any other programs that
2406 call the MTA directly. However, if you are running an Exim daemon, you do need
2407 to send it a HUP signal, to make it re-exec itself, and thereby pick up the new
2408 binary. You do not need to stop processing mail in order to install a new
2409 version of Exim. The install script does not modify an existing runtime
2410 configuration file.
2411
2412
2413
2414
2415 Stopping the Exim daemon on Solaris
2416 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2417 cindex:[Solaris,stopping Exim on]
2418 The standard command for stopping the mailer daemon on Solaris is
2419
2420   /etc/init.d/sendmail stop
2421
2422 If _/usr/lib/sendmail_ has been turned into a symbolic link, this script
2423 fails to stop Exim because it uses the command 'ps -e' and greps the output
2424 for the text ``sendmail''; this is not present because the actual program name
2425 (that is, ``exim'') is given by the 'ps' command with these options. A solution
2426 is to replace the line that finds the process id with something like
2427
2428   pid=`cat /var/spool/exim/exim-daemon.pid`
2429
2430 to obtain the daemon's pid directly from the file that Exim saves it in.
2431
2432 Note, however, that stopping the daemon does not ``stop Exim''. Messages can
2433 still be received from local processes, and if automatic delivery is configured
2434 (the normal case), deliveries will still occur.
2435
2436
2437
2438
2439 ////////////////////////////////////////////////////////////////////////////
2440 ////////////////////////////////////////////////////////////////////////////
2441
2442 [[CHAPcommandline]]
2443 The Exim command line
2444 ---------------------
2445 cindex:[command line,options]
2446 cindex:[options,command line]
2447 Exim's command line takes the standard Unix form of a sequence of options,
2448 each starting with a hyphen character, followed by a number of arguments. The
2449 options are compatible with the main options of Sendmail, and there are also
2450 some additional options, some of which are compatible with Smail 3. Certain
2451 combinations of options do not make sense, and provoke an error if used.
2452 The form of the arguments depends on which options are set.
2453
2454
2455 Setting options by program name
2456 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2457 cindex:['mailq']
2458 If Exim is called under the name 'mailq', it behaves as if the option %-bp%
2459 were present before any other options.
2460 The %-bp% option requests a listing of the contents of the mail queue on the
2461 standard output.
2462 This feature is for compatibility with some systems that contain a command of
2463 that name in one of the standard libraries, symbolically linked to
2464 _/usr/sbin/sendmail_ or _/usr/lib/sendmail_.
2465
2466 cindex:['rsmtp']
2467 If Exim is called under the name 'rsmtp' it behaves as if the option %-bS%
2468 were present before any other options, for compatibility with Smail. The %-bS%
2469 option is used for reading in a number of messages in batched SMTP format.
2470
2471 cindex:['rmail']
2472 If Exim is called under the name 'rmail' it behaves as if the %-i% and
2473 %-oee% options were present before any other options, for compatibility with
2474 Smail. The name 'rmail' is used as an interface by some UUCP systems.
2475
2476 cindex:['runq']
2477 cindex:[queue runner]
2478 If Exim is called under the name 'runq' it behaves as if the option %-q% were
2479 present before any other options, for compatibility with Smail. The %-q%
2480 option causes a single queue runner process to be started.
2481
2482 cindex:['newaliases']
2483 cindex:[alias file,building]
2484 cindex:[Sendmail compatibility,calling Exim as 'newaliases']
2485 If Exim is called under the name 'newaliases' it behaves as if the option
2486 %-bi% were present before any other options, for compatibility with Sendmail.
2487 This option is used for rebuilding Sendmail's alias file. Exim does not have
2488 the concept of a single alias file, but can be configured to run a given
2489 command if called with the %-bi% option.
2490
2491
2492 [[SECTtrustedadmin]]
2493 Trusted and admin users
2494 ~~~~~~~~~~~~~~~~~~~~~~~
2495 Some Exim options are available only to 'trusted users' and others are
2496 available only to 'admin users'. In the description below, the phrases ``Exim
2497 user'' and ``Exim group'' mean the user and group defined by EXIM_USER and
2498 EXIM_GROUP in _Local/Makefile_ or set by the %exim_user% and
2499 %exim_group% options. These do not necessarily have to use the name ``exim''.
2500
2501 - cindex:[trusted user,definition of]
2502 cindex:[user, trusted definition of]
2503 The trusted users are root, the Exim user, any user listed in the
2504 %trusted_users% configuration option, and any user whose current group or any
2505 supplementary group is one of those listed in the %trusted_groups%
2506 configuration option. Note that the Exim group is not automatically trusted.
2507 +
2508 cindex:[``From'' line]
2509 cindex:[envelope sender]
2510 Trusted users are always permitted to use the %-f% option or a leading ``From ''
2511 line to specify the envelope sender of a message that is passed to Exim through
2512 the local interface (see the %-bm% and %-f% options below). See the
2513 %untrusted_set_sender% option for a way of permitting non-trusted users to
2514 set envelope senders.
2515 +
2516 cindex:['From:' header line]
2517 cindex:['Sender:' header line]
2518 For a trusted user, there is never any check on the contents of the 'From:'
2519 header line, and a 'Sender:' line is never added. Furthermore, any existing
2520 'Sender:' line in incoming local (non-TCP/IP) messages is not removed.
2521 +
2522 Trusted users may also specify a host name, host address, interface address,
2523 protocol name, ident value, and authentication data when submitting a message
2524 locally. Thus, they are able to insert messages into Exim's queue locally that
2525 have the characteristics of messages received from a remote host. Untrusted
2526 users may in some circumstances use %-f%, but can never set the other values
2527 that are available to trusted users.
2528
2529 - cindex:[user, admin definition of]
2530 cindex:[admin user,definition of]
2531 The admin users are root, the Exim user, and any user that is a member of the
2532 Exim group or of any group listed in the %admin_groups% configuration option.
2533 The current group does not have to be one of these groups.
2534 +
2535 Admin users are permitted to list the queue, and to carry out certain
2536 operations on messages, for example, to force delivery failures. It is also
2537 necessary to be an admin user in order to see the full information provided by
2538 the Exim monitor, and full debugging output.
2539 +
2540 By default, the use of the %-M%, %-q%, %-R%, and %-S% options to cause Exim
2541 to attempt delivery of messages on its queue is restricted to admin users.
2542 However, this restriction can be relaxed by setting the %prod_requires_admin%
2543 option false (that is, specifying %no_prod_requires_admin%).
2544 +
2545 Similarly, the use of the %-bp% option to list all the messages in the queue
2546 is restricted to admin users unless %queue_list_requires_admin% is set
2547 false.
2548
2549
2550 *Warning*: If you configure your system so that admin users are able to
2551 edit Exim's configuration file, you are giving those users an easy way of
2552 getting root. There is further discussion of this issue at the start of chapter
2553 <<CHAPconf>>.
2554
2555
2556
2557
2558 Command line options
2559 ~~~~~~~~~~~~~~~~~~~~
2560 The command options are described in alphabetical order below.
2561
2562 ///
2563 We insert a stylized DocBook comment here, to identify the start of the command
2564 line options. This is for the benefit of the Perl script that automatically
2565 creates a man page for the options.
2566 ///
2567
2568 ++++
2569 <!-- === Start of command line options === -->
2570 ++++
2571
2572
2573 *{hh}*::
2574 oindex:[{hh}]
2575 cindex:[options, command line; terminating]
2576 This is a pseudo-option whose only purpose is to terminate the options and
2577 therefore to cause subsequent command line items to be treated as arguments
2578 rather than options, even if they begin with hyphens.
2579
2580 *--help*::
2581 oindex:[%{hh}help%]
2582 This option causes Exim to output a few sentences stating what it is.
2583 The same output is generated if the Exim binary is called with no options and
2584 no arguments.
2585
2586 *-B*<'type'>::
2587 oindex:[%-B%]
2588 cindex:[8-bit characters]
2589 cindex:[Sendmail compatibility,8-bit characters]
2590 This is a Sendmail option for selecting 7 or 8 bit processing. Exim is 8-bit
2591 clean; it ignores this option.
2592
2593 *-bd*::
2594 oindex:[%-bd%]
2595 cindex:[daemon]
2596 cindex:[SMTP listener]
2597 cindex:[queue runner]
2598 This option runs Exim as a daemon, awaiting incoming SMTP connections. Usually
2599 the %-bd% option is combined with the %-q%<'time'> option, to specify that
2600 the daemon should also initiate periodic queue runs.
2601 +
2602 The %-bd% option can be used only by an admin user. If either of the %-d%
2603 (debugging) or %-v% (verifying) options are set, the daemon does not
2604 disconnect from the controlling terminal. When running this way, it can be
2605 stopped by pressing ctrl-C.
2606 +
2607 By default, Exim listens for incoming connections to the standard SMTP port on
2608 all the host's running interfaces. However, it is possible to listen on other
2609 ports, on multiple ports, and only on specific interfaces. Chapter
2610 <<CHAPinterfaces>> contains a description of the options that control this.
2611 +
2612 When a listening daemon
2613 cindex:[daemon,process id (pid)]
2614 cindex:[pid (process id),of daemon]
2615 is started without the use of %-oX% (that is, without overriding the normal
2616 configuration), it writes its process id to a file called _exim-daemon.pid_ in
2617 Exim's spool directory. This location can be overridden by setting
2618 PID_FILE_PATH in _Local/Makefile_. The file is written while Exim is still
2619 running as root.
2620 +
2621 When %-oX% is used on the command line to start a listening daemon, the
2622 process id is not written to the normal pid file path. However, %-oP% can be
2623 used to specify a path on the command line if a pid file is required.
2624 +
2625 The SIGHUP signal
2626 cindex:[SIGHUP]
2627 can be used to cause the daemon to re-exec itself. This should be done whenever
2628 Exim's configuration file, or any file that is incorporated into it by means of
2629 the %.include% facility, is changed, and also whenever a new version of Exim is
2630 installed. It is not necessary to do this when other files that are referenced
2631 from the configuration (for example, alias files) are changed, because these
2632 are reread each time they are used.
2633
2634 *-bdf*::
2635 oindex:[%-bdf%]
2636 This option has the same effect as %-bd% except that it never disconnects from
2637 the controlling terminal, even when no debugging is specified.
2638
2639 *-be*::
2640 oindex:[%-be%]
2641 cindex:[testing,string expansion]
2642 cindex:[expansion,testing]
2643 Run Exim in expansion testing mode. Exim discards its root privilege, to
2644 prevent ordinary users from using this mode to read otherwise inaccessible
2645 files. If no arguments are given, Exim runs interactively, prompting for lines
2646 of data.
2647 +
2648 If Exim was built with USE_READLINE=yes in _Local/Makefile_, it tries
2649 to load the %libreadline% library dynamically whenever the %-be% option is
2650 used without command line arguments. If successful, it uses the 'readline()'
2651 function, which provides extensive line-editing facilities, for reading the
2652 test data. A line history is supported.
2653 +
2654 Long expansion expressions can be split over several lines by using backslash
2655 continuations. As in Exim's run time configuration, white space at the start of
2656 continuation lines is ignored. Each argument or data line is passed through the
2657 string expansion mechanism, and the result is output. Variable values from the
2658 configuration file (for example, $qualify_domain$) are available, but no
2659 message-specific values (such as $domain$) are set, because no message is
2660 being processed.
2661
2662 *-bF*~<'filename'>::
2663 oindex:[%-bF%]
2664 cindex:[system filter,testing]
2665 cindex:[testing,system filter]
2666 This option is the same as %-bf% except that it assumes that the filter being
2667 tested is a system filter. The additional commands that are available only in
2668 system filters are recognized.
2669
2670 *-bf*~<'filename'>::
2671 oindex:[%-bf%]
2672 cindex:[filter,testing]
2673 cindex:[testing,filter file]
2674 cindex:[forward file,testing]
2675 cindex:[testing,forward file]
2676 cindex:[Sieve filter,testing]
2677 This option runs Exim in user filter testing mode; the file is the filter file
2678 to be tested, and a test message must be supplied on the standard input. If
2679 there are no message-dependent tests in the filter, an empty file can be
2680 supplied.
2681 +
2682 If you want to test a system filter file, use %-bF% instead of %-bf%. You can
2683 use both %-bF% and %-bf% on the same command, in order to
2684 test a system filter and a user filter in the same run. For example:
2685
2686   exim -bF /system/filter -bf /user/filter </test/message
2687 +
2688 This is helpful when the system filter adds header lines or sets filter
2689 variables that are used by the user filter.
2690 +
2691 If the test filter file does not begin with one of the special lines
2692
2693   # Exim filter
2694   # Sieve filter
2695 +
2696 it is taken to be a normal _.forward_ file, and is tested for validity under
2697 that interpretation. See sections <<SECTitenonfilred>> to <<SECTspecitredli>> for a
2698 description of the possible contents of non-filter redirection lists.
2699 +
2700 The result of an Exim command that uses %-bf%, provided no errors are
2701 detected, is a list of the actions that Exim would try to take if presented
2702 with the message for real. More details of filter testing are given in the
2703 separate document entitled 'Exim's interfaces to mail filtering'.
2704 +
2705 When testing a filter file,
2706 cindex:[``From'' line]
2707 cindex:[envelope sender]
2708 cindex:[%-f% option,for filter testing]
2709 the envelope sender can be set by the %-f% option,
2710 or by a ``From '' line at the start of the test message. Various parameters that
2711 would normally be taken from the envelope recipient address of the message can
2712 be set by means of additional command line options (see the next four options).
2713
2714 *-bfd*~<'domain'>::
2715 oindex:[%-bfd%]
2716 cindex:[$qualify_domain$]
2717 This sets the domain of the recipient address when a filter file is being
2718 tested by means of the %-bf% option. The default is the value of
2719 $qualify_domain$.
2720
2721 *-bfl*~<'local~part'>::
2722 oindex:[%-bfl%]
2723 This sets the local part of the recipient address when a filter file is being
2724 tested by means of the %-bf% option. The default is the username of the
2725 process that calls Exim. A local part should be specified with any prefix or
2726 suffix stripped, because that is how it appears to the filter when a message is
2727 actually being delivered.
2728
2729 *-bfp*~<'prefix'>::
2730 oindex:[%-bfp%]
2731 This sets the prefix of the local part of the recipient address when a filter
2732 file is being tested by means of the %-bf% option. The default is an empty
2733 prefix.
2734
2735 *-bfs*~<'suffix'>::
2736 oindex:[%-bfs%]
2737 This sets the suffix of the local part of the recipient address when a filter
2738 file is being tested by means of the %-bf% option. The default is an empty
2739 suffix.
2740
2741 *-bh*~<'IP~address'>::
2742 oindex:[%-bh%]
2743 cindex:[testing,incoming SMTP]
2744 cindex:[SMTP,testing incoming]
2745 cindex:[testing,relay control]
2746 cindex:[relaying,testing configuration]
2747 cindex:[policy control,testing]
2748 cindex:[debugging,%-bh% option]
2749 This option runs a fake SMTP session as if from the given IP address, using the
2750 standard input and output. The IP address may include a port number at the end,
2751 after a full stop. For example:
2752
2753   exim -bh 10.9.8.7.1234
2754   exim -bh fe80::a00:20ff:fe86:a061.5678
2755 +
2756 When an IPv6 address is given, it is converted into canonical form. In the case
2757 of the second example above, the value of $sender_host_address$ after
2758 conversion to the canonical form is `fe80:0000:0000:0a00:20ff:fe86:a061.5678`.
2759 +
2760 Comments as to what is going on are written to the standard error file. These
2761 include lines beginning with ``LOG'' for anything that would have been logged.
2762 This facility is provided for testing configuration options for incoming
2763 messages, to make sure they implement the required policy. For example, you can
2764 test your relay controls using %-bh%.
2765 +
2766 *Warning 1*:
2767 cindex:[RFC 1413]
2768 You cannot test features of the configuration that rely on
2769 ident (RFC 1413) callouts. These cannot be done when testing using
2770 %-bh% because there is no incoming SMTP connection.
2771 +
2772 *Warning 2*: Address verification callouts (see section <<SECTcallver>>) are
2773 also skipped when testing using %-bh%. If you want these callouts to occur,
2774 use %-bhc% instead.
2775 +
2776 Messages supplied during the testing session are discarded, and nothing is
2777 written to any of the real log files. There may be pauses when DNS (and other)
2778 lookups are taking place, and of course these may time out. The %-oMi% option
2779 can be used to specify a specific IP interface and port if this is important.
2780 +
2781 The 'exim_checkaccess' utility is a ``packaged'' version of %-bh% whose
2782 output just states whether a given recipient address from a given host is
2783 acceptable or not. See section <<SECTcheckaccess>>.
2784
2785 *-bhc*~<'IP~address'>::
2786 oindex:[%-bhc%]
2787 This option operates in the same way as %-bh%, except that address
2788 verification callouts are performed if required. This includes consulting and
2789 updating the callout cache database.
2790
2791 *-bi*::
2792 oindex:[%-bi%]
2793 cindex:[alias file,building]
2794 cindex:[building alias file]
2795 cindex:[Sendmail compatibility,%-bi% option]
2796 Sendmail interprets the %-bi% option as a request to rebuild its alias file.
2797 Exim does not have the concept of a single alias file, and so it cannot mimic
2798 this behaviour. However, calls to _/usr/lib/sendmail_ with the %-bi% option
2799 tend to appear in various scripts such as NIS make files, so the option must be
2800 recognized.
2801 +
2802 If %-bi% is encountered, the command specified by the %bi_command%
2803 configuration option is run, under the uid and gid of the caller of Exim. If
2804 the %-oA% option is used, its value is passed to the command as an argument.
2805 The command set by %bi_command% may not contain arguments. The command can use
2806 the 'exim_dbmbuild' utility, or some other means, to rebuild alias files if
2807 this is required. If the %bi_command% option is not set, calling Exim with
2808 %-bi% is a no-op.
2809
2810 *-bm*::
2811 oindex:[%-bm%]
2812 cindex:[local message reception]
2813 This option runs an Exim receiving process that accepts an incoming,
2814 locally-generated message on the current input. The recipients are given as the
2815 command arguments (except when %-t% is also present -- see below). Each
2816 argument can be a comma-separated list of RFC 2822 addresses. This is the
2817 default option for selecting the overall action of an Exim call; it is assumed
2818 if no other conflicting option is present.
2819 +
2820 If any addresses in the message are unqualified (have no domain), they are
2821 qualified by the values of the %qualify_domain% or %qualify_recipient%
2822 options, as appropriate. The %-bnq% option (see below) provides a way of
2823 suppressing this for special cases.
2824 +
2825 Policy checks on the contents of local messages can be enforced by means of
2826 the non-SMTP ACL. See chapter <<CHAPACL>> for details.
2827 +
2828 The return code
2829 cindex:[return code,for %-bm%]
2830 is zero if the message is successfully accepted. Otherwise, the
2831 action is controlled by the %-oe'x'% option setting -- see below.
2832 +
2833 The format
2834 cindex:[message,format]
2835 cindex:[format,message]
2836 cindex:[``From'' line]
2837 cindex:[UUCP,``From'' line]
2838 cindex:[Sendmail compatibility,``From'' line]
2839 of the message must be as defined in RFC 2822, except that, for
2840 compatibility with Sendmail and Smail, a line in one of the forms
2841
2842   From sender Fri Jan  5 12:55 GMT 1997
2843   From sender Fri, 5 Jan 97 12:55:01
2844 +
2845 (with the weekday optional, and possibly with additional text after the date)
2846 is permitted to appear at the start of the message. There appears to be no
2847 authoritative specification of the format of this line. Exim recognizes it by
2848 matching against the regular expression defined by the %uucp_from_pattern%
2849 option, which can be changed if necessary.
2850 +
2851 The
2852 cindex:[%-f% option,overriding ``From'' line]
2853 specified sender is treated as if it were given as the argument to the
2854 %-f% option, but if a %-f% option is also present, its argument is used in
2855 preference to the address taken from the message. The caller of Exim must be a
2856 trusted user for the sender of a message to be set in this way.
2857
2858 *-bnq*::
2859 oindex:[%-bnq%]
2860 cindex:[address qualification, suppressing]
2861 By default, Exim automatically qualifies unqualified addresses (those
2862 without domains) that appear in messages that are submitted locally (that
2863 is, not over TCP/IP). This qualification applies both to addresses in
2864 envelopes, and addresses in header lines. Sender addresses are qualified using
2865 %qualify_domain%, and recipient addresses using %qualify_recipient% (which
2866 defaults to the value of %qualify_domain%).
2867 +
2868 Sometimes, qualification is not wanted. For example, if %-bS% (batch SMTP) is
2869 being used to re-submit messages that originally came from remote hosts after
2870 content scanning, you probably do not want to qualify unqualified addresses in
2871 header lines. (Such lines will be present only if you have not enabled a header
2872 syntax check in the appropriate ACL.)
2873 +
2874 The %-bnq% option suppresses all qualification of unqualified addresses in
2875 messages that originate on the local host. When this is used, unqualified
2876 addresses in the envelope provoke errors (causing message rejection) and
2877 unqualified addresses in header lines are left alone.
2878
2879
2880 *-bP*::
2881 oindex:[%-bP%]
2882 cindex:[configuration options, extracting]
2883 cindex:[options,configuration -- extracting]
2884 If this option is given with no arguments, it causes the values of all Exim's
2885 main configuration options to be written to the standard output. The values
2886 of one or more specific options can be requested by giving their names as
2887 arguments, for example:
2888
2889   exim -bP qualify_domain hold_domains
2890 +
2891 However, any option setting that is preceded by the word ``hide'' in the
2892 configuration file is not shown in full, except to an admin user. For other
2893 users, the output is as in this example:
2894
2895   mysql_servers = <value not displayable>
2896 +
2897 If %configure_file% is given as an argument, the name of the run time
2898 configuration file is output.
2899 If a list of configuration files was supplied, the value that is output here
2900 is the name of the file that was actually used.
2901 +
2902 cindex:[daemon,process id (pid)]
2903 cindex:[pid (process id),of daemon]
2904 If %log_file_path% or %pid_file_path% are given, the names of the directories
2905 where log files and daemon pid files are written are output, respectively. If
2906 these values are unset, log files are written in a sub-directory of the spool
2907 directory called %log%, and the pid file is written directly into the spool
2908 directory.
2909 +
2910 If %-bP% is followed by a name preceded by `+`, for example,
2911
2912   exim -bP +local_domains
2913 +
2914 it searches for a matching named list of any type (domain, host, address, or
2915 local part) and outputs what it finds.
2916 +
2917 If
2918 cindex:[options,router -- extracting]
2919 cindex:[options,transport -- extracting]
2920 one of the words %router%, %transport%, or %authenticator% is given,
2921 followed by the name of an appropriate driver instance, the option settings for
2922 that driver are output. For example:
2923
2924   exim -bP transport local_delivery
2925 +
2926 The generic driver options are output first, followed by the driver's private
2927 options. A list of the names of drivers of a particular type can be obtained by
2928 using one of the words %router_list%, %transport_list%, or
2929 %authenticator_list%, and a complete list of all drivers with their option
2930 settings can be obtained by using %routers%, %transports%, or %authenticators%.
2931
2932
2933 *-bp*::
2934 oindex:[%-bp%]
2935 cindex:[queue,listing messages on]
2936 cindex:[listing,messages on the queue]
2937 This option requests a listing of the contents of the mail queue on the
2938 standard output. If the %-bp% option is followed by a list of message ids,
2939 just those messages are listed. By default, this option can be used only by an
2940 admin user. However, the %queue_list_requires_admin% option can be set false
2941 to allow any user to see the queue.
2942 +
2943 Each message on the queue is displayed as in the following example:
2944
2945   25m  2.9K 0t5C6f-0000c8-00 <alice@wonderland.fict.example>
2946             red.king@looking-glass.fict.example
2947             <other addresses>
2948 +
2949 The
2950 cindex:[message,size in queue listing]
2951 cindex:[size,of message]
2952 first line contains the length of time the message has been on the queue
2953 (in this case 25 minutes), the size of the message (2.9K), the unique local
2954 identifier for the message, and the message sender, as contained in the
2955 envelope. For bounce messages, the sender address is empty, and appears as
2956 ``<>''. If the message was submitted locally by an untrusted user who overrode
2957 the default sender address, the user's login name is shown in parentheses
2958 before the sender address.
2959 +
2960 If
2961 cindex:[frozen messages,in queue listing]
2962 the message is frozen (attempts to deliver it are suspended) then the text
2963 ``\*\*\* frozen \*\*\*'' is displayed at the end of this line.
2964 +
2965 The recipients of the message (taken from the envelope, not the headers) are
2966 displayed on subsequent lines. Those addresses to which the message has already
2967 been delivered are marked with the letter D. If an original address gets
2968 expanded into several addresses via an alias or forward file, the original is
2969 displayed with a D only when deliveries for all of its child addresses are
2970 complete.
2971
2972
2973 *-bpa*::
2974 oindex:[%-bpa%]
2975 This option operates like %-bp%, but in addition it shows delivered addresses
2976 that were generated from the original top level address(es) in each message by
2977 alias or forwarding operations. These addresses are flagged with ``+D'' instead
2978 of just ``D''.
2979
2980
2981 *-bpc*::
2982 oindex:[%-bpc%]
2983 cindex:[queue,count of messages on]
2984 This option counts the number of messages on the queue, and writes the total
2985 to the standard output. It is restricted to admin users, unless
2986 %queue_list_requires_admin% is set false.
2987
2988
2989 *-bpr*::
2990 oindex:[%-bpr%]
2991 This option operates like %-bp%, but the output is not sorted into
2992 chronological order of message arrival. This can speed it up when there are
2993 lots of messages on the queue, and is particularly useful if the output is
2994 going to be post-processed in a way that doesn't need the sorting.
2995
2996 *-bpra*::
2997 oindex:[%-bpra%]
2998 This option is a combination of %-bpr% and %-bpa%.
2999
3000 *-bpru*::
3001 oindex:[%-bpru%]
3002 This option is a combination of %-bpr% and %-bpu%.
3003
3004
3005 *-bpu*::
3006 oindex:[%-bpu%]
3007 This option operates like %-bp% but shows only undelivered top-level addresses
3008 for each message displayed. Addresses generated by aliasing or forwarding are
3009 not shown, unless the message was deferred after processing by a router with
3010 the %one_time% option set.
3011
3012
3013 *-brt*::
3014 oindex:[%-brt%]
3015 cindex:[testing,retry configuration]
3016 cindex:[retry,configuration testing]
3017 This option is for testing retry rules, and it must be followed by up to three
3018 arguments. It causes Exim to look for a retry rule that matches the values
3019 and to write it to the standard output. For example:
3020
3021   exim -brt bach.comp.mus.example
3022   Retry rule: *.comp.mus.example  F,2h,15m; F,4d,30m;
3023 +
3024 See chapter <<CHAPretry>> for a description of Exim's retry rules. The first
3025 argument, which is required, can be a complete address in the form
3026 'local_part@domain', or it can be just a domain name. The second argument is
3027 an optional second domain name; if no retry rule is found for the first
3028 argument, the second is tried. This ties in with Exim's behaviour when looking
3029 for retry rules for remote hosts -- if no rule is found that matches the host,
3030 one that matches the mail domain is sought. The final argument is the name of a
3031 specific delivery error, as used in setting up retry rules, for example
3032 ``quota_3d''.
3033
3034 *-brw*::
3035 oindex:[%-brw%]
3036 cindex:[testing,rewriting]
3037 cindex:[rewriting,testing]
3038 This option is for testing address rewriting rules, and it must be followed by
3039 a single argument, consisting of either a local part without a domain, or a
3040 complete address with a fully qualified domain. Exim outputs how this address
3041 would be rewritten for each possible place it might appear. See chapter
3042 <<CHAPrewrite>> for further details.
3043
3044 *-bS*::
3045 oindex:[%-bS%]
3046 cindex:[SMTP,batched incoming]
3047 cindex:[batched SMTP input]
3048 This option is used for batched SMTP input, which is an alternative interface
3049 for non-interactive local message submission. A number of messages can be
3050 submitted in a single run. However, despite its name, this is not really SMTP
3051 input. Exim reads each message's envelope from SMTP commands on the standard
3052 input, but generates no responses. If the caller is trusted, or
3053 %untrusted_set_sender% is set, the senders in the SMTP MAIL commands are
3054 believed; otherwise the sender is always the caller of Exim.
3055 +
3056 The message itself is read from the standard input, in SMTP format (leading
3057 dots doubled), terminated by a line containing just a single dot. An error is
3058 provoked if the terminating dot is missing. A further message may then follow.
3059 +
3060 As for other local message submissions, the contents of incoming batch SMTP
3061 messages can be checked using the non-SMTP ACL (see chapter <<CHAPACL>>).
3062 Unqualified addresses are automatically qualified using %qualify_domain% and
3063 %qualify_recipient%, as appropriate, unless the %-bnq% option is used.
3064 +
3065 Some other SMTP commands are recognized in the input. HELO and EHLO act
3066 as RSET; VRFY, EXPN, ETRN, and HELP act as NOOP;
3067 QUIT quits, ignoring the rest of the standard input.
3068 +
3069 cindex:[return code,for %-bS%]
3070 If any error is encountered, reports are written to the standard output and
3071 error streams, and Exim gives up immediately. The return code is 0 if no error
3072 was detected; it is 1 if one or more messages were accepted before the error
3073 was detected; otherwise it is 2.
3074 +
3075 More details of input using batched SMTP are given in section
3076 <<SECTincomingbatchedSMTP>>.
3077
3078 *-bs*::
3079 oindex:[%-bs%]
3080 cindex:[SMTP,local input]
3081 cindex:[local SMTP input]
3082 This option causes Exim to accept one or more messages by reading SMTP commands
3083 on the standard input, and producing SMTP replies on the standard output. SMTP
3084 policy controls, as defined in ACLs (see chapter <<CHAPACL>>) are applied.
3085 Some user agents use this interface as a way of passing locally-generated
3086 messages to the MTA.
3087 +
3088 In
3089 cindex:[sender,source of]
3090 this usage, if the caller of Exim is trusted, or %untrusted_set_sender% is
3091 set, the senders of messages are taken from the SMTP MAIL commands.
3092 Otherwise the content of these commands is ignored and the sender is set up as
3093 the calling user. Unqualified addresses are automatically qualified using
3094 %qualify_domain% and %qualify_recipient%, as appropriate, unless the %-bnq%
3095 option is used.
3096 +
3097 cindex:[inetd]
3098 The
3099 %-bs% option is also used to run Exim from 'inetd', as an alternative to using
3100 a listening daemon. Exim can distinguish the two cases by checking whether the
3101 standard input is a TCP/IP socket. When Exim is called from 'inetd', the source
3102 of the mail is assumed to be remote, and the comments above concerning senders
3103 and qualification do not apply. In this situation, Exim behaves in exactly the
3104 same way as it does when receiving a message via the listening daemon.
3105
3106 *-bt*::
3107 oindex:[%-bt%]
3108 cindex:[testing,addresses]
3109 cindex:[address,testing]
3110 This option runs Exim in address testing mode, in which each argument is taken
3111 as an address to be tested for deliverability. The results are written to the
3112 standard output. If a test fails, and the caller is not an admin user, no
3113 details of the failure are output, because these might contain sensitive
3114 information such as usernames and passwords for database lookups.
3115 +
3116 If no arguments are given, Exim runs in an interactive manner, prompting with a
3117 right angle bracket for addresses to be tested.
3118 +
3119 Unlike the %-be% test option, you cannot arrange for Exim to use the
3120 'readline()' function, because it is running as 'root' and there are
3121 security issues.
3122 +
3123 Each address is handled as if it were the recipient address of a message
3124 (compare the %-bv% option). It is passed to the routers and the result is
3125 written to the standard output. However, any router that has
3126 %no_address_test% set is bypassed. This can make %-bt% easier to use for
3127 genuine routing tests if your first router passes everything to a scanner
3128 program.
3129 +
3130 The
3131 cindex:[return code,for %-bt%]
3132 return code is 2 if any address failed outright; it is 1 if no address
3133 failed outright but at least one could not be resolved for some reason. Return
3134 code 0 is given only when all addresses succeed.
3135 +
3136 *Warning*: %-bt% can only do relatively simple testing. If any of the
3137 routers in the configuration makes any tests on the sender address of a
3138 message,
3139 cindex:[%-f% option,for address testing]
3140 you can use the %-f% option to set an appropriate sender when running
3141 %-bt% tests. Without it, the sender is assumed to be the calling user at the
3142 default qualifying domain. However, if you have set up (for example) routers
3143 whose behaviour depends on the contents of an incoming message, you cannot test
3144 those conditions using %-bt%. The %-N% option provides a possible way of
3145 doing such tests.
3146
3147 *-bV*::
3148 oindex:[%-bV%]
3149 cindex:[version number of Exim, verifying]
3150 This option causes Exim to write the current version number, compilation
3151 number, and compilation date of the 'exim' binary to the standard output.
3152 It also lists the DBM library this is being used, the optional modules (such as
3153 specific lookup types), the drivers that are included in the binary, and the
3154 name of the run time configuration file that is in use.
3155 +
3156 As part of its operation, %-bV% causes Exim to read and syntax check its
3157 configuration file. However, this is a static check only. It cannot check
3158 values that are to be expanded. For example, although a misspelt ACL verb is
3159 detected, an error in the verb's arguments is not. You cannot rely on %-bV%
3160 alone to discover (for example) all the typos in the configuration; some
3161 realistic testing is needed. The %-bh% and %-N% options provide more dynamic
3162 testing facilities.
3163
3164 *-bv*::
3165 oindex:[%-bv%]
3166 cindex:[verifying address, using %-bv%]
3167 cindex:[address,verification]
3168 This option runs Exim in address verification mode, in which each argument is
3169 taken as an address to be verified. During normal operation, verification
3170 happens mostly as a consequence processing a %verify% condition in an ACL (see
3171 chapter <<CHAPACL>>). If you want to test an entire ACL, see the %-bh% option.
3172 +
3173 If verification fails, and the caller is not an admin user, no details of the
3174 failure are output, because these might contain sensitive information such as
3175 usernames and passwords for database lookups.
3176 +
3177 If no arguments are given, Exim runs in an interactive manner, prompting with a
3178 right angle bracket for addresses to be verified.
3179 +
3180 Unlike the %-be% test option, you cannot arrange for Exim to use the
3181 'readline()' function, because it is running as 'exim' and there are
3182 security issues.
3183 +
3184 Verification differs from address testing (the %-bt% option) in that routers
3185 that have %no_verify% set are skipped, and if the address is accepted by a
3186 router that has %fail_verify% set, verification fails. The address is verified
3187 as a recipient if %-bv% is used; to test verification for a sender address,
3188 %-bvs% should be used.
3189 +
3190 If the %-v% option is not set, the output consists of a single line for each
3191 address, stating whether it was verified or not, and giving a reason in the
3192 latter case. Otherwise, more details are given of how the address has been
3193 handled, and in the case of address redirection, all the generated addresses
3194 are also considered. Without %-v%, generating more than one address by
3195 redirection causes verification to end sucessfully.
3196 +
3197 The
3198 cindex:[return code,for %-bv%]
3199 return code is 2 if any address failed outright; it is 1 if no address
3200 failed outright but at least one could not be resolved for some reason. Return
3201 code 0 is given only when all addresses succeed.
3202 +
3203 If any of the routers in the configuration makes any tests on the sender
3204 address of a message, you should use the %-f% option to set an appropriate
3205 sender when running %-bv% tests. Without it, the sender is assumed to be the
3206 calling user at the default qualifying domain.
3207
3208 *-bvs*::
3209 oindex:[%-bvs%]
3210 This option acts like %-bv%, but verifies the address as a sender rather
3211 than a recipient address. This affects any rewriting and qualification that
3212 might happen.
3213
3214 *-C*~<'filelist'>::
3215 oindex:[%-C%]
3216 cindex:[configuration file,alternate]
3217 cindex:[CONFIGURE_FILE]
3218 cindex:[alternate configuration file]
3219 This option causes Exim to find the run time configuration file from the given
3220 list instead of from the list specified by the CONFIGURE_FILE
3221 compile-time setting. Usually, the list will consist of just a single file
3222 name, but it can be a colon-separated list of names. In this case, the first
3223 file that exists is used. Failure to open an existing file stops Exim from
3224 proceeding any further along the list, and an error is generated.
3225 +
3226 When this option is used by a caller other than root or the Exim user, and the
3227 list is different from the compiled-in list, Exim gives up its root privilege
3228 immediately, and runs with the real and effective uid and gid set to those of
3229 the caller. However, if ALT_CONFIG_ROOT_ONLY is defined in
3230 _Local/Makefile_, root privilege is retained for %-C% only if the caller of
3231 Exim is root.
3232 +
3233 That is, the Exim user is no longer privileged in this regard. This build-time
3234 option is not set by default in the Exim source distribution tarbundle.
3235 However, if you are using a ``packaged'' version of Exim (source or binary), the
3236 packagers might have enabled it.
3237 +
3238 Setting ALT_CONFIG_ROOT_ONLY locks out the possibility of testing a
3239 configuration using %-C% right through message reception and delivery, even if
3240 the caller is root. The reception works, but by that time, Exim is running as
3241 the Exim user, so when it re-execs to regain privilege for the delivery, the
3242 use of %-C% causes privilege to be lost. However, root can test reception and
3243 delivery using two separate commands (one to put a message on the queue, using
3244 %-odq%, and another to do the delivery, using %-M%).
3245 +
3246 If ALT_CONFIG_PREFIX is defined _in Local/Makefile_, it specifies a
3247 prefix string with which any file named in a %-C% command line option
3248 must start. In addition, the file name must not contain the sequence `/../`.
3249 However, if the value of the %-C% option is identical to the value of
3250 CONFIGURE_FILE in _Local/Makefile_, Exim ignores %-C% and proceeds as
3251 usual. There is no default setting for ALT_CONFIG_PREFIX; when it is
3252 unset, any file name can be used with %-C%.
3253 +
3254 ALT_CONFIG_PREFIX can be used to confine alternative configuration files
3255 to a directory to which only root has access. This prevents someone who has
3256 broken into the Exim account from running a privileged Exim with an arbitrary
3257 configuration file.
3258 +
3259 The %-C% facility is useful for ensuring that configuration files are
3260 syntactically correct, but cannot be used for test deliveries, unless the
3261 caller is privileged, or unless it is an exotic configuration that does not
3262 require privilege. No check is made on the owner or group of the files
3263 specified by this option.
3264
3265 *-D*<'macro'>=<'value'>::
3266 oindex:[%-D%]
3267 cindex:[macro,setting on command line]
3268 This option can be used to override macro definitions in the configuration file
3269 (see section <<SECTmacrodefs>>). However, like %-C%, if it is used by an
3270 unprivileged caller, it causes Exim to give up its root privilege.
3271 If DISABLE_D_OPTION is defined in _Local/Makefile_, the use of %-D% is
3272 completely disabled, and its use causes an immediate error exit.
3273 +
3274 The entire option (including equals sign if present) must all be within one
3275 command line item. %-D% can be used to set the value of a macro to the empty
3276 string, in which case the equals sign is optional. These two commands are
3277 synonymous:
3278
3279   exim -DABC  ...
3280   exim -DABC= ...
3281 +
3282 To include spaces in a macro definition item, quotes must be used. If you use
3283 quotes, spaces are permitted around the macro name and the equals sign. For
3284 example:
3285
3286   exim '-D ABC = something' ...
3287 +
3288 %-D% may be repeated up to 10 times on a command line.
3289
3290 *-d*<'debug~options'>::
3291 oindex:[%-d%]
3292 cindex:[debugging,list of selectors]
3293 cindex:[debugging,%-d% option]
3294 This option causes debugging information to be written to the standard
3295 error stream. It is restricted to admin users because debugging output may show
3296 database queries that contain password information. Also, the details of users'
3297 filter files should be protected. When %-d% is used, %-v% is assumed. If %-d%
3298 is given on its own, a lot of standard debugging data is output. This can be
3299 reduced, or increased to include some more rarely needed information, by
3300 directly following %-d% with a string made up of names preceded by plus or
3301 minus characters. These add or remove sets of debugging data, respectively. For
3302 example, %-d+filter% adds filter debugging, whereas %-d-all+filter% selects
3303 only filter debugging. Note that no spaces are allowed in the debug setting.
3304 The available debugging categories are:
3305 +
3306 &&&
3307 `acl            ` ACL interpretation
3308 `auth           ` authenticators
3309 `deliver        ` general delivery logic
3310 `dns            ` DNS lookups (see also resolver)
3311 `dnsbl          ` DNS black list (aka RBL) code
3312 `exec           ` arguments for ^^execv()^^ calls
3313 `expand         ` detailed debugging for string expansions
3314 `filter         ` filter handling
3315 `hints_lookup   ` hints data lookups
3316 `host_lookup    ` all types of name-to-IP address handling
3317 `ident          ` ident lookup
3318 `interface      ` lists of local interfaces
3319 `lists          ` matching things in lists
3320 `load           ` system load checks
3321 `local_scan     ` can be used by ^^local_scan()^^ (see chapter <<CHAPlocalscan>>)
3322 `lookup         ` general lookup code and all lookups
3323 `memory         ` memory handling
3324 `pid            ` add pid to debug output lines
3325 `process_info   ` setting info for the process log
3326 `queue_run      ` queue runs
3327 `receive        ` general message reception logic
3328 `resolver       ` turn on the DNS resolver's debugging output
3329 `retry          ` retry handling
3330 `rewrite        ` address rewriting
3331 `route          ` address routing
3332 `timestamp      ` add timestamp to debug output lines
3333 `tls            ` TLS logic
3334 `transport      ` transports
3335 `uid            ` changes of uid/gid and looking up uid/gid
3336 `verify         ` address verification logic
3337 `all            ` almost all of the above (see below), and also %-v%
3338 &&&
3339 +
3340 [revisionflag="changed"]
3341 The `all` option excludes `memory` when used as `+all`, but includes it for
3342 `-all`. The reason for this is that `+all` is something that people tend to use
3343 when generating debug output for Exim maintainers. If `+memory` is included, an
3344 awful lot of output that is very rarely of interest is generated, so it now has
3345 to be explicitly requested. However, `-all` does turn everything off.
3346 +
3347 The
3348 cindex:[resolver, debugging output]
3349 cindex:[DNS resolver, debugging output]
3350 `resolver` option produces output only if the DNS resolver was compiled
3351 with DEBUG enabled. This is not the case in some operating systems. Also,
3352 unfortunately, debugging output from the DNS resolver is written to stdout
3353 rather than stderr.
3354 +
3355 The default (%-d% with no argument) omits `expand`, `filter`,
3356 `interface`, `load`, `memory`, `pid`, `resolver`, and `timestamp`.
3357 However, the `pid` selector is forced when debugging is turned on for a
3358 daemon, which then passes it on to any re-executed Exims. Exim also
3359 automatically adds the pid to debug lines when several remote deliveries are
3360 run in parallel.
3361 +
3362 The `timestamp` selector causes the current time to be inserted at the start
3363 of all debug output lines. This can be useful when trying to track down delays
3364 in processing.
3365 +
3366 If the %debug_print% option is set in any driver, it produces output whenever
3367 any debugging is selected, or if %-v% is used.
3368
3369 *-dd*<'debug~options'>::
3370 oindex:[%-dd%]
3371 This option behaves exactly like %-d% except when used on a command that
3372 starts a daemon process. In that case, debugging is turned off for the
3373 subprocesses that the daemon creates. Thus, it is useful for monitoring the
3374 behaviour of the daemon without creating as much output as full debugging does.
3375
3376 *-dropcr*::
3377 oindex:[%-dropcr%]
3378 This is an obsolete option that is now a no-op. It used to affect the way Exim
3379 handled CR and LF characters in incoming messages. What happens now is
3380 described in section <<SECTlineendings>>.
3381
3382 *-E*::
3383 oindex:[%-E%]
3384 cindex:[bounce message,generating]
3385 This option specifies that an incoming message is a locally-generated delivery
3386 failure report. It is used internally by Exim when handling delivery failures
3387 and is not intended for external use. Its only effect is to stop Exim
3388 generating certain messages to the postmaster, as otherwise message cascades
3389 could occur in some situations. As part of the same option, a message id may
3390 follow the characters %-E%. If it does, the log entry for the receipt of the
3391 new message contains the id, following ``R='', as a cross-reference.
3392
3393 *-e*'x'::
3394 oindex:[%-e'x'%]
3395 There are a number of Sendmail options starting with %-oe% which seem to be
3396 called by various programs without the leading %o% in the option. For example,
3397 the %vacation% program uses %-eq%. Exim treats all options of the form
3398 %-e'x'% as synonymous with the corresponding %-oe'x'% options.
3399
3400 *-F*~<'string'>::
3401 oindex:[%-F%]
3402 cindex:[sender,name]
3403 cindex:[name,of sender]
3404 This option sets the sender's full name for use when a locally-generated
3405 message is being accepted. In the absence of this option, the user's 'gecos'
3406 entry from the password data is used. As users are generally permitted to alter
3407 their 'gecos' entries, no security considerations are involved. White space
3408 between %-F% and the <'string'> is optional.
3409
3410 *-f*~<'address'>::
3411 oindex:[%-f%]
3412 cindex:[sender,address]
3413 cindex:[address,sender]
3414 cindex:[trusted user]
3415 cindex:[envelope sender]
3416 cindex:[user,trusted]
3417 This option sets the address of the envelope sender of a locally-generated
3418 message (also known as the return path). The option can normally be used only
3419 by a trusted user, but %untrusted_set_sender% can be set to allow untrusted
3420 users to use it.
3421 +
3422 Processes running as root or the Exim user are always trusted. Other
3423 trusted users are defined by the %trusted_users% or %trusted_groups% options.
3424 In the absence of %-f%, or if the caller is not trusted, the sender of a local
3425 message is set to the caller's login name at the default qualify domain.
3426 +
3427 There is one exception to the restriction on the use of %-f%: an empty sender
3428 can be specified by any user, trusted or not, to create a message that can
3429 never provoke a bounce. An empty sender can be specified either as an empty
3430 string, or as a pair of angle brackets with nothing between them, as in these
3431 examples of shell commands:
3432
3433   exim -f '<>' user@domain
3434   exim -f "" user@domain
3435 +
3436 In addition, the use of %-f% is not restricted when testing a filter file with
3437 %-bf% or when testing or verifying addresses using the %-bt% or %-bv%
3438 options.
3439 +
3440 Allowing untrusted users to change the sender address does not of itself make
3441 it possible to send anonymous mail. Exim still checks that the 'From:' header
3442 refers to the local user, and if it does not, it adds a 'Sender:' header,
3443 though this can be overridden by setting %no_local_from_check%.
3444 +
3445 White
3446 cindex:[``From'' line]
3447 space between %-f% and the <'address'> is optional (that is, they can be given
3448 as two arguments or one combined argument). The sender of a locally-generated
3449 message can also be set (when permitted) by an initial ``From '' line in the
3450 message -- see the description of %-bm% above -- but if %-f% is also present,
3451 it overrides ``From''.
3452
3453 *-G*::
3454 oindex:[%-G%]
3455 cindex:[Sendmail compatibility,%-G% option ignored]
3456 This is a Sendmail option which is ignored by Exim.
3457
3458 *-h*~<'number'>::
3459 oindex:[%-h%]
3460 cindex:[Sendmail compatibility,%-h% option ignored]
3461 This option is accepted for compatibility with Sendmail, but has no effect. (In
3462 Sendmail it overrides the ``hop count'' obtained by counting 'Received:'
3463 headers.)
3464
3465 *-i*::
3466 oindex:[%-i%]
3467 cindex:[Solaris,'mail' command]
3468 cindex:[dot in incoming, non-SMTP message]
3469 This option, which has the same effect as %-oi%, specifies that a dot on a line
3470 by itself should not terminate an incoming, non-SMTP message. I can find no
3471 documentation for this option in Solaris 2.4 Sendmail, but the 'mailx' command
3472 in Solaris 2.4 uses it. See also %-ti%.
3473
3474 *-M*~<'message~id'>~<'message~id'>~...::
3475 oindex:[%-M%]
3476 cindex:[forcing delivery]
3477 cindex:[delivery,forcing attempt]
3478 cindex:[frozen messages,forcing delivery]
3479 This option requests Exim to run a delivery attempt on each message in turn. If
3480 any of the messages are frozen, they are automatically thawed before the
3481 delivery attempt. The settings of %queue_domains%, %queue_smtp_domains%, and
3482 %hold_domains% are ignored.
3483 +
3484 Retry
3485 cindex:[hints database,overriding retry hints]
3486 hints for any of the addresses are overridden -- Exim tries to deliver even if
3487 the normal retry time has not yet been reached. This option requires the caller
3488 to be an admin user. However, there is an option called %prod_requires_admin%
3489 which can be set false to relax this restriction (and also the same requirement
3490 for the %-q%, %-R%, and %-S% options).
3491 +
3492 [revisionflag="changed"]
3493 The deliveries happen synchronously, that is, the original Exim process does
3494 not terminate until all the delivery attempts have finished. No output is
3495 produced unless there is a serious error. If you want to see what is happening,
3496 use the %-v% option as well, or inspect Exim's main log.
3497
3498 *-Mar*~<'message~id'>~<'address'>~<'address'>~...::
3499 oindex:[%-Mar%]
3500 cindex:[message,adding recipients]
3501 cindex:[recipient,adding]
3502 This option requests Exim to add the addresses to the list of recipients of the
3503 message (``ar'' for ``add recipients''). The first argument must be a message id,
3504 and the remaining ones must be email addresses. However, if the message is
3505 active (in the middle of a delivery attempt), it is not altered. This option
3506 can be used only by an admin user.
3507
3508 *-MC*~<'transport'>~<'hostname'>~<'sequence~number'>~<'message~id'>::
3509 oindex:[%-MC%]
3510 cindex:[SMTP,passed connection]
3511 cindex:[SMTP,multiple deliveries]
3512 cindex:[multiple SMTP deliveries]
3513 This option is not intended for use by external callers. It is used internally
3514 by Exim to invoke another instance of itself to deliver a waiting message using
3515 an existing SMTP connection, which is passed as the standard input. Details are
3516 given in chapter <<CHAPSMTP>>. This must be the final option, and the caller must
3517 be root or the Exim user in order to use it.
3518
3519 *-MCA*::
3520 oindex:[%-MCA%]
3521 This option is not intended for use by external callers. It is used internally
3522 by Exim in conjunction with the %-MC% option. It signifies that the connection
3523 to the remote host has been authenticated.
3524
3525 *-MCP*::
3526 oindex:[%-MCP%]
3527 This option is not intended for use by external callers. It is used internally
3528 by Exim in conjunction with the %-MC% option. It signifies that the server to
3529 which Exim is connected supports pipelining.
3530
3531 *-MCQ*~<'process~id'>~<'pipe~fd'>::
3532 oindex:[%-MCQ%]
3533 This option is not intended for use by external callers. It is used internally
3534 by Exim in conjunction with the %-MC% option when the original delivery was
3535 started by a queue runner. It passes on the process id of the queue runner,
3536 together with the file descriptor number of an open pipe. Closure of the pipe
3537 signals the final completion of the sequence of processes that are passing
3538 messages through the same SMTP connection.
3539
3540 *-MCS*::
3541 oindex:[%-MCS%]
3542 This option is not intended for use by external callers. It is used internally
3543 by Exim in conjunction with the %-MC% option, and passes on the fact that the
3544 SMTP SIZE option should be used on messages delivered down the existing
3545 connection.
3546
3547 *-MCT*::
3548 oindex:[%-MCT%]
3549 This option is not intended for use by external callers. It is used internally
3550 by Exim in conjunction with the %-MC% option, and passes on the fact that the
3551 host to which Exim is connected supports TLS encryption.
3552
3553 *-Mc*~<'message~id'>~<'message~id'>~...::
3554 oindex:[%-Mc%]
3555 cindex:[hints database,not overridden by %-Mc%]
3556 cindex:[delivery,manually started -- not forced]
3557 This option requests Exim to run a delivery attempt on each message in turn,
3558 but unlike the %-M% option, it does check for retry hints, and respects any
3559 that are found. This option is not very useful to external callers. It is
3560 provided mainly for internal use by Exim when it needs to re-invoke itself in
3561 order to regain root privilege for a delivery (see chapter <<CHAPsecurity>>).
3562 However, %-Mc% can be useful when testing, in order to run a delivery that
3563 respects retry times and other options such as %hold_domains% that are
3564 overridden when %-M% is used. Such a delivery does not count as a queue run.
3565 If you want to run a specific delivery as if in a queue run, you should use
3566 %-q% with a message id argument. A distinction between queue run deliveries
3567 and other deliveries is made in one or two places.
3568
3569 *-Mes*~<'message~id'>~<'address'>::
3570 oindex:[%-Mes%]
3571 cindex:[message,changing sender]
3572 cindex:[sender,changing]
3573 This option requests Exim to change the sender address in the message to the
3574 given address, which must be a fully qualified address or ``<>'' (``es'' for ``edit
3575 sender''). There must be exactly two arguments. The first argument must be a
3576 message id, and the second one an email address. However, if the message is
3577 active (in the middle of a delivery attempt), its status is not altered. This
3578 option can be used only by an admin user.
3579
3580 *-Mf*~<'message~id'>~<'message~id'>~...::
3581 oindex:[%-Mf%]
3582 cindex:[freezing messages]
3583 cindex:[message,manually freezing]
3584 This option requests Exim to mark each listed message as ``frozen''. This
3585 prevents any delivery attempts taking place until the message is ``thawed'',
3586 either manually or as a result of the %auto_thaw% configuration option.
3587 However, if any of the messages are active (in the middle of a delivery
3588 attempt), their status is not altered. This option can be used only by an admin
3589 user.
3590
3591 *-Mg*~<'message~id'>~<'message~id'>~...::
3592 oindex:[%-Mg%]
3593 cindex:[giving up on messages]
3594 cindex:[message,abandoning delivery attempts]
3595 cindex:[delivery,abandoning further attempts]
3596 This option requests Exim to give up trying to deliver the listed messages,
3597 including any that are frozen. However, if any of the messages are active,
3598 their status is not altered. For non-bounce messages, a delivery error message
3599 is sent to the sender, containing the text ``cancelled by administrator''.
3600 Bounce messages are just discarded. This option can be used only by an admin
3601 user.
3602
3603 *-Mmad*~<'message~id'>~<'message~id'>~...::
3604 oindex:[%-Mmad%]
3605 cindex:[delivery,cancelling all]
3606 This option requests Exim to mark all the recipient addresses in the messages
3607 as already delivered (``mad'' for ``mark all delivered''). However, if any
3608 message is active (in the middle of a delivery attempt), its status is not
3609 altered. This option can be used only by an admin user.
3610
3611 *-Mmd*~<'message~id'>~<'address'>~<'address'>~...::
3612 oindex:[%-Mmd%]
3613 cindex:[delivery,cancelling by address]
3614 cindex:[recipient,removing]
3615 cindex:[removing recipients]
3616 This option requests Exim to mark the given addresses as already delivered
3617 (``md'' for ``mark delivered''). The first argument must be a message id, and
3618 the remaining ones must be email addresses. These are matched to recipient
3619 addresses in the message in a case-sensitive manner. If the message is active
3620 (in the middle of a delivery attempt), its status is not altered. This option
3621 can be used only by an admin user.
3622
3623 *-Mrm*~<'message~id'>~<'message~id'>~...::
3624 oindex:[%-Mrm%]
3625 cindex:[removing messages]
3626 cindex:[abandoning mail]
3627 cindex:[message,manually discarding]
3628 This option requests Exim to remove the given messages from the queue. No
3629 bounce messages are sent; each message is simply forgotten. However, if any of
3630 the messages are active, their status is not altered. This option can be used
3631 only by an admin user or by the user who originally caused the message to be
3632 placed on the queue.
3633
3634 *-Mt*~<'message~id'>~<'message~id'>~...::
3635 oindex:[%-Mt%]
3636 cindex:[thawing messages]
3637 cindex:[unfreezing messages]
3638 cindex:[frozen messages,thawing]
3639 cindex:[message,thawing frozen]
3640 This option requests Exim to ``thaw'' any of the listed messages that are
3641 ``frozen'', so that delivery attempts can resume. However, if any of the messages
3642 are active, their status is not altered. This option can be used only by an
3643 admin user.
3644
3645 *-Mvb*~<'message~id'>::
3646 oindex:[%-Mvb%]
3647 cindex:[listing,message body]
3648 cindex:[message,listing body of]
3649 This option causes the contents of the message body (-D) spool file to be
3650 written to the standard output. This option can be used only by an admin user.
3651
3652 *-Mvh*~<'message~id'>::
3653 oindex:[%-Mvh%]
3654 cindex:[listing,message headers]
3655 cindex:[header lines,listing]
3656 cindex:[message,listing header lines]
3657 This option causes the contents of the message headers (-H) spool file to be
3658 written to the standard output. This option can be used only by an admin user.
3659
3660 *-Mvl*~<'message~id'>::
3661 oindex:[%-Mvl%]
3662 cindex:[listing,message log]
3663 cindex:[message,listing message log]
3664 This option causes the contents of the message log spool file to be written to
3665 the standard output. This option can be used only by an admin user.
3666
3667 *-m*::
3668 oindex:[%-m%]
3669 This is apparently a synonym for %-om% that is accepted by Sendmail, so Exim
3670 treats it that way too.
3671
3672 *-N*::
3673 oindex:[%-N%]
3674 cindex:[debugging,%-N% option]
3675 cindex:[debugging,suppressing delivery]
3676 This is a debugging option that inhibits delivery of a message at the transport
3677 level. It implies %-v%. Exim goes through many of the motions of delivery --
3678 it just doesn't actually transport the message, but instead behaves as if it
3679 had successfully done so. However, it does not make any updates to the retry
3680 database, and the log entries for deliveries are flagged with ``\*>'' rather
3681 than ``=>''.
3682 +
3683 Because %-N% discards any message to which it applies, only root or the Exim
3684 user are allowed to use it with %-bd%, %-q%, %-R% or %-M%. In other words,
3685 an ordinary user can use it only when supplying an incoming message to which it
3686 will apply. Although transportation never fails when %-N% is set, an address
3687 may be deferred because of a configuration problem on a transport, or a routing
3688 problem. Once %-N% has been used for a delivery attempt, it sticks to the
3689 message, and applies to any subsequent delivery attempts that may happen for
3690 that message.
3691
3692 *-n*::
3693 oindex:[%-n%]
3694 cindex:[Sendmail compatibility,%-n% option ignored]
3695 This option is interpreted by Sendmail to mean ``no aliasing''. It is ignored by
3696 Exim.
3697
3698 *-O*~<'data'>::
3699 oindex:[%-O%]
3700 This option is interpreted by Sendmail to mean `set option`. It is ignored by
3701 Exim.
3702
3703 *-oA*~<'file~name'>::
3704 oindex:[%-oA%]
3705 cindex:[Sendmail compatibility,%-oA% option]
3706 This option is used by Sendmail in conjunction with %-bi% to specify an
3707 alternative alias file name. Exim handles %-bi% differently; see the
3708 description above.
3709
3710 *-oB*~<'n'>::
3711 oindex:[%-oB%]
3712 cindex:[SMTP,passed connection]
3713 cindex:[SMTP,multiple deliveries]
3714 cindex:[multiple SMTP deliveries]
3715 This is a debugging option which limits the maximum number of messages that can
3716 be delivered down one SMTP connection, overriding the value set in any ^smtp^
3717 transport. If <'n'> is omitted, the limit is set to 1.
3718
3719 *-odb*::
3720 oindex:[%-odb%]
3721 cindex:[background delivery]
3722 cindex:[delivery,in the background]
3723 This option applies to all modes in which Exim accepts incoming messages,
3724 including the listening daemon. It requests ``background'' delivery of such
3725 messages, which means that the accepting process automatically starts a
3726 delivery process for each message received, but does not wait for the delivery
3727 processes to finish.
3728 +
3729 When all the messages have been received, the reception process exits,
3730 leaving the delivery processes to finish in their own time. The standard output
3731 and error streams are closed at the start of each delivery process.
3732 This is the default action if none of the %-od% options are present.
3733 +
3734 If one of the queueing options in the configuration file
3735 (%queue_only% or %queue_only_file%, for example) is in effect, %-odb%
3736 overrides it if %queue_only_override% is set true, which is the default
3737 setting. If %queue_only_override% is set false, %-odb% has no effect.
3738
3739 *-odf*::
3740 oindex:[%-odf%]
3741 cindex:[foreground delivery]
3742 cindex:[delivery,in the foreground]
3743 This option requests ``foreground'' (synchronous) delivery when Exim has accepted
3744 a locally-generated message. (For the daemon it is exactly the same as
3745 %-odb%.) A delivery process is automatically started to deliver the
3746 message, and Exim waits for it to complete before proceeding.
3747 +
3748 The original Exim reception process does not finish until the delivery
3749 process for the final message has ended. The standard error stream is left open
3750 during deliveries.
3751 +
3752 However, like %-odb%, this option has no effect if %queue_only_override% is
3753 false and one of the queueing options in the configuration file is in effect.
3754 +
3755 If there is a temporary delivery error during foreground delivery, the
3756 message is left on the queue for later delivery, and the original reception
3757 process exits. See chapter <<CHAPnonqueueing>> for a way of setting up a
3758 restricted configuration that never queues messages.
3759
3760
3761 *-odi*::
3762 oindex:[%-odi%]
3763 This option is synonymous with %-odf%. It is provided for compatibility with
3764 Sendmail.
3765
3766 *-odq*::
3767 oindex:[%-odq%]
3768 cindex:[non-immediate delivery]
3769 cindex:[delivery,suppressing immediate]
3770 cindex:[queueing incoming messages]
3771 This option applies to all modes in which Exim accepts incoming messages,
3772 including the listening daemon. It specifies that the accepting process should
3773 not automatically start a delivery process for each message received. Messages
3774 are placed on the queue, and remain there until a subsequent queue runner
3775 process encounters them. There are several configuration options (such as
3776 %queue_only%) that can be used to queue incoming messages under certain
3777 conditions. This option overrides all of them and also %-odqs%. It always
3778 forces queueing.
3779
3780 *-odqs*::
3781 oindex:[%-odqs%]
3782 cindex:[SMTP,delaying delivery]
3783 This option is a hybrid between %-odb%/%-odi% and %-odq%.
3784 However, like %-odb% and %-odi%, this option has no effect if
3785 %queue_only_override% is false and one of the queueing options in the
3786 configuration file is in effect.
3787 +
3788 When %-odqs% does operate, a delivery process is started for each incoming
3789 message, in the background by default, but in the foreground if %-odi% is also
3790 present. The recipient addresses are routed, and local deliveries are done in
3791 the normal way. However, if any SMTP deliveries are required, they are not done
3792 at this time, so the message remains on the queue until a subsequent queue
3793 runner process encounters it. Because routing was done, Exim knows which
3794 messages are waiting for which hosts, and so a number of messages for the same
3795 host can be sent in a single SMTP connection. The %queue_smtp_domains%
3796 configuration option has the same effect for specific domains. See also the
3797 %-qq% option.
3798
3799 *-oee*::
3800 oindex:[%-oee%]
3801 cindex:[error,reporting]
3802 If an error is detected while a non-SMTP message is being received (for
3803 example, a malformed address), the error is reported to the sender in a mail
3804 message.
3805 +
3806 Provided
3807 cindex:[return code,for %-oee%]
3808 this error message is successfully sent, the Exim receiving process
3809 exits with a return code of zero. If not, the return code is 2 if the problem
3810 is that the original message has no recipients, or 1 any other error. This is
3811 the default %-oe'x'% option if Exim is called as 'rmail'.
3812
3813 *-oem*::
3814 oindex:[%-oem%]
3815 cindex:[error,reporting]
3816 cindex:[return code,for %-oem%]
3817 This is the same as %-oee%, except that Exim always exits with a non-zero
3818 return code, whether or not the error message was successfully sent.
3819 This is the default %-oe'x'% option, unless Exim is called as 'rmail'.
3820
3821 *-oep*::
3822 oindex:[%-oep%]
3823 cindex:[error,reporting]
3824 If an error is detected while a non-SMTP message is being received, the
3825 error is reported by writing a message to the standard error file (stderr).
3826 cindex:[return code,for %-oep%]
3827 The return code is 1 for all errors.
3828
3829 *-oeq*::
3830 oindex:[%-oeq%]
3831 cindex:[error,reporting]
3832 This option is supported for compatibility with Sendmail, but has the same
3833 effect as %-oep%.
3834
3835 *-oew*::
3836 oindex:[%-oew%]
3837 cindex:[error,reporting]
3838 This option is supported for compatibility with Sendmail, but has the same
3839 effect as %-oem%.
3840
3841 *-oi*::
3842 oindex:[%-oi%]
3843 cindex:[dot in incoming, non-SMTP message]
3844 This option, which has the same effect as %-i%, specifies that a dot on a line
3845 by itself should not terminate an incoming, non-SMTP message.
3846 Otherwise, a single dot does terminate, though Exim does no special processing
3847 for other lines that start with a dot.
3848 This option is set by default if Exim is called as 'rmail'. See also %-ti%.
3849
3850 *-oitrue*::
3851 oindex:[%-oitrue%]
3852 This option is treated as synonymous with %-oi%.
3853
3854 *-oMa*~<'host~address'>::
3855 oindex:[%-oMa%]
3856 cindex:[sender host address, specifying for local message]
3857 A number of options starting with %-oM% can be used to set values associated
3858 with remote hosts on locally-submitted messages (that is, messages not received
3859 over TCP/IP). These options can be used by any caller in conjunction with the
3860 %-bh%, %-be%, %-bf%, %-bF%, %-bt%, or %-bv% testing options. In other
3861 circumstances, they are ignored unless the caller is trusted.
3862 +
3863 The %-oMa% option sets the sender host address. This may include a port number
3864 at the end, after a full stop (period). For example:
3865
3866   exim -bs -oMa 10.9.8.7.1234
3867 +
3868 An alternative syntax is to enclose the IP address in square brackets,
3869 followed by a colon and the port number:
3870
3871   exim -bs -oMa [10.9.8.7]:1234
3872 +
3873 The IP address is placed in the $sender_host_address$ variable, and the
3874 port, if present, in $sender_host_port$.
3875
3876 *-oMaa*~<'name'>::
3877 oindex:[%-oMaa%]
3878 cindex:[authentication name, specifying for local message]
3879 See %-oMa% above for general remarks about the %-oM% options. The %-oMaa%
3880 option sets the value of $sender_host_authenticated$ (the authenticator
3881 name). See chapter <<CHAPSMTPAUTH>> for a discussion of SMTP authentication.
3882
3883 *-oMai*~<'string'>::
3884 oindex:[%-oMai%]
3885 cindex:[authentication id, specifying for local message]
3886 See %-oMa% above for general remarks about the %-oM% options. The %-oMai%
3887 option sets the value of $authenticated_id$ (the id that was authenticated).
3888 This overrides the default value (the caller's login id) for messages from
3889 local sources. See chapter <<CHAPSMTPAUTH>> for a discussion of authenticated
3890 ids.
3891
3892 *-oMas*~<'address'>::
3893 oindex:[%-oMas%]
3894 cindex:[authentication sender, specifying for local message]
3895 See %-oMa% above for general remarks about the %-oM% options. The %-oMas%
3896 option sets the authenticated sender value in $authenticated_sender$. It
3897 overrides the sender address that is created from the caller's login id for
3898 messages from local sources. See chapter <<CHAPSMTPAUTH>> for a discussion of
3899 authenticated senders.
3900
3901 *-oMi*~<'interface~address'>::
3902 oindex:[%-oMi%]
3903 cindex:[interface address, specifying for local message]
3904 See %-oMa% above for general remarks about the %-oM% options. The %-oMi% option
3905 sets the IP interface address value. A port number may be included, using the
3906 same syntax as for %-oMa%. The interface address is placed in
3907 $interface_address$ and the port number, if present, in $interface_port$.
3908
3909 *-oMr*~<'protocol~name'>::
3910 oindex:[%-oMr%]
3911 cindex:[protocol,incoming -- specifying for local message]
3912 cindex:[$received_protocol$]
3913 See %-oMa% above for general remarks about the %-oM% options. The %-oMr% option
3914 sets the received protocol value that is stored in $received_protocol$.
3915 However, this applies only when %-bs% is not used. For interactive SMTP input
3916 (%-bs%), the protocol is always ``local-'' followed by one of the standard SMTP
3917 protocol names (see the description of $received_protocol$ in section
3918 <<SECTexpvar>>). For %-bS% (batch SMTP) however, the protocol can be set by
3919 <<%-oMr%.
3920
3921 *-oMs*~<'host~name'>::
3922 oindex:[%-oMs%]
3923 cindex:[sender host name, specifying for local message]
3924 See %-oMa% above for general remarks about the %-oM% options. The %-oMs% option
3925 sets the sender host name in $sender_host_name$. When this option is present,
3926 Exim does not attempt to look up a host name from an IP address; it uses the
3927 name it is given.
3928
3929 *-oMt*~<'ident~string'>::
3930 oindex:[%-oMt%]
3931 cindex:[sender ident string, specifying for local message]
3932 See %-oMa% above for general remarks about the %-oM% options. The %-oMt% option
3933 sets the sender ident value in $sender_ident$. The default setting for local
3934 callers is the login id of the calling process.
3935
3936 *-om*::
3937 oindex:[%-om%]
3938 cindex:[Sendmail compatibility,%-om% option ignored]
3939 In Sendmail, this option means ``me too'', indicating that the sender of a
3940 message should receive a copy of the message if the sender appears in an alias
3941 expansion. Exim always does this, so the option does nothing.
3942
3943 *-oo*::
3944 oindex:[%-oo%]
3945 cindex:[Sendmail compatibility,%-oo% option ignored]
3946 This option is ignored. In Sendmail it specifies ``old style headers'', whatever
3947 that means.
3948
3949 *-oP*~<'path'>::
3950 oindex:[%-oP%]
3951 cindex:[pid (process id),of daemon]
3952 cindex:[daemon,process id (pid)]
3953 This option is useful only in conjunction with %-bd% or %-q% with a time
3954 value. The option specifies the file to which the process id of the daemon is
3955 written. When %-oX% is used with %-bd%, or when %-q% with a time is used
3956 without %-bd%, this is the only way of causing Exim to write a pid file,
3957 because in those cases, the normal pid file is not used.
3958
3959 *-or*~<'time'>::
3960 oindex:[%-or%]
3961 cindex:[timeout,for non-SMTP input]
3962 This option sets a timeout value for incoming non-SMTP messages. If it is not
3963 set, Exim will wait forever for the standard input. The value can also be set
3964 by the %receive_timeout% option. The format used for specifying times is
3965 described in section <<SECTtimeformat>>.
3966
3967 *-os*~<'time'>::
3968 oindex:[%-os%]
3969 cindex:[timeout,for SMTP input]
3970 cindex:[SMTP timeout, input]
3971 This option sets a timeout value for incoming SMTP messages. The timeout
3972 applies to each SMTP command and block of data. The value can also be set by
3973 the %smtp_receive_timeout% option; it defaults to 5 minutes. The format used
3974 for specifying times is described in section <<SECTtimeformat>>.
3975
3976 *-ov*::
3977 oindex:[%-ov%]
3978 This option has exactly the same effect as %-v%.
3979
3980 *-oX*~<'number~or~string'>::
3981 oindex:[%-oX%]
3982 cindex:[TCP/IP,setting listening ports]
3983 cindex:[TCP/IP,setting listening interfaces]
3984 cindex:[port,receiving TCP/IP]
3985 This option is relevant only when the %-bd% (start listening daemon) option is
3986 also given. It controls which ports and interfaces the daemon uses. Details of
3987 the syntax, and how it interacts with configuration file options, are given in
3988 chapter <<CHAPinterfaces>>. When %-oX% is used to start a daemon, no pid file is
3989 written unless %-oP% is also present to specify a pid file name.
3990
3991 *-pd*::
3992 oindex:[%-pd%]
3993 cindex:[Perl,starting the interpreter]
3994 This option applies when an embedded Perl interpreter is linked with Exim (see
3995 chapter <<CHAPperl>>). It overrides the setting of the %perl_at_start% option,
3996 forcing the starting of the interpreter to be delayed until it is needed.
3997
3998 *-ps*::
3999 oindex:[%-ps%]
4000 cindex:[Perl,starting the interpreter]
4001 This option applies when an embedded Perl interpreter is linked with Exim (see
4002 chapter <<CHAPperl>>). It overrides the setting of the %perl_at_start% option,
4003 forcing the starting of the interpreter to occur as soon as Exim is started.
4004
4005 *-p*<'rval'>:<'sval'>::
4006 oindex:[%-p%]
4007 For compatibility with Sendmail, this option is equivalent to
4008
4009   -oMr <rval> -oMs <sval>
4010 +
4011 It sets the incoming protocol and host name (for trusted callers). The
4012 host name and its colon can be omitted when only the protocol is to be set.
4013 Note the Exim already has two private options, %-pd% and %-ps%, that refer to
4014 embedded Perl. It is therefore impossible to set a protocol value of `p` or
4015 `s` using this option (but that does not seem a real limitation).
4016
4017 *-q*::
4018 oindex:[%-q%]
4019 cindex:[queue runner,starting manually]
4020 This option is normally restricted to admin users. However, there is a
4021 configuration option called %prod_requires_admin% which can be set false to
4022 relax this restriction (and also the same requirement for the %-M%, %-R%, and
4023 %-S% options).
4024 +
4025 The
4026 cindex:[queue runner,description of operation]
4027 %-q% option starts one queue runner process. This scans the queue of
4028 waiting messages, and runs a delivery process for each one in turn. It waits
4029 for each delivery process to finish before starting the next one. A delivery
4030 process may not actually do any deliveries if the retry times for the addresses
4031 have not been reached. Use %-qf% (see below) if you want to override this.
4032 +
4033 If
4034 cindex:[SMTP,passed connection]
4035 cindex:[SMTP,multiple deliveries]
4036 cindex:[multiple SMTP deliveries]
4037 the delivery process spawns other processes to deliver other messages down
4038 passed SMTP connections, the queue runner waits for these to finish before
4039 proceeding.
4040 +
4041 When all the queued messages have been considered, the original queue runner
4042 process terminates. In other words, a single pass is made over the waiting
4043 mail, one message at a time. Use %-q% with a time (see below) if you want this
4044 to be repeated periodically.
4045 +
4046 Exim processes the waiting messages in an unpredictable order. It isn't very
4047 random, but it is likely to be different each time, which is all that matters.
4048 If one particular message screws up a remote MTA, other messages to the same
4049 MTA have a chance of getting through if they get tried first.
4050 +
4051 It is possible to cause the messages to be processed in lexical message id
4052 order, which is essentially the order in which they arrived, by setting the
4053 %queue_run_in_order% option, but this is not recommended for normal use.
4054
4055 *-q*<'qflags'>::
4056 The %-q% option may be followed by one or more flag letters that change its
4057 behaviour. They are all optional, but if more than one is present, they must
4058 appear in the correct order. Each flag is described in a separate item below.
4059
4060 *-qq...*::
4061 oindex:[%-qq%]
4062 cindex:[queue,double scanning]
4063 cindex:[queue,routing]
4064 cindex:[routing,whole queue before delivery]
4065 An option starting with %-qq% requests a two-stage queue run. In the first
4066 stage, the queue is scanned as if the %queue_smtp_domains% option matched
4067 every domain. Addresses are routed, local deliveries happen, but no remote
4068 transports are run.
4069 +
4070 The
4071 cindex:[hints database,remembering routing]
4072 hints database that remembers which messages are waiting for specific hosts is
4073 updated, as if delivery to those hosts had been deferred. After this is
4074 complete, a second, normal queue scan happens, with routing and delivery taking
4075 place as normal. Messages that are routed to the same host should mostly be
4076 delivered down a single SMTP
4077 cindex:[SMTP,passed connection]
4078 cindex:[SMTP,multiple deliveries]
4079 cindex:[multiple SMTP deliveries]
4080 connection because of the hints that were set up during the first queue scan.
4081 This option may be useful for hosts that are connected to the Internet
4082 intermittently.
4083
4084 *-q[q]i...*::
4085 oindex:[%-qi%]
4086 cindex:[queue,initial delivery]
4087 If the 'i' flag is present, the queue runner runs delivery processes only for
4088 those messages that haven't previously been tried. ('i' stands for ``initial
4089 delivery''.) This can be helpful if you are putting messages on the queue using
4090 %-odq% and want a queue runner just to process the new messages.
4091
4092 *-q[q][i]f...*::
4093 oindex:[%-qf%]
4094 cindex:[queue,forcing delivery]
4095 cindex:[delivery,forcing in queue run]
4096 If one 'f' flag is present, a delivery attempt is forced for each non-frozen
4097 message, whereas without %f% only those non-frozen addresses that have passed
4098 their retry times are tried.
4099
4100 *-q[q][i]ff...*::
4101 oindex:[%-qff%]
4102 cindex:[frozen messages,forcing delivery]
4103 If 'ff' is present, a delivery attempt is forced for every message, whether
4104 frozen or not.
4105
4106 *-q[q][i][f[f]]l*::
4107 oindex:[%-ql%]
4108 cindex:[queue,local deliveries only]
4109 The 'l' (the letter ``ell'') flag specifies that only local deliveries are to be
4110 done. If a message requires any remote deliveries, it remains on the queue for
4111 later delivery.
4112
4113 *-q*<'qflags'>~<'start~id'>~<'end~id'>::
4114 cindex:[queue,delivering specific messages]
4115 When scanning the queue, Exim can be made to skip over messages whose ids are
4116 lexically less than a given value by following the %-q% option with a starting
4117 message id. For example:
4118
4119   exim -q 0t5C6f-0000c8-00
4120 +
4121 Messages that arrived earlier than `0t5C6f-0000c8-00` are not inspected. If a
4122 second message id is given, messages whose ids are lexically greater than it
4123 are also skipped. If the same id is given twice, for example,
4124
4125   exim -q 0t5C6f-0000c8-00 0t5C6f-0000c8-00
4126 +
4127 just one delivery process is started, for that message. This differs from %-M%
4128 in that retry data is respected, and it also differs from %-Mc% in that it
4129 counts as a delivery from a queue run. Note that the selection mechanism does
4130 not affect the order in which the messages are scanned. There are also other
4131 ways of selecting specific sets of messages for delivery in a queue run -- see
4132 %-R% and %-S%.
4133
4134 *-q*<'qflags'><'time'>::
4135 cindex:[queue runner,starting periodically]
4136 cindex:[periodic queue running]
4137 When a time value is present, the %-q% option causes Exim to run as a daemon,
4138 starting a queue runner process at intervals specified by the given time value
4139 (whose format is described in section <<SECTtimeformat>>). This form of the %-q%
4140 option is commonly combined with the %-bd% option, in which case a single
4141 daemon process handles both functions. A common way of starting up a combined
4142 daemon at system boot time is to use a command such as
4143
4144   /usr/exim/bin/exim -bd -q30m
4145 +
4146 Such a daemon listens for incoming SMTP calls, and also starts a queue runner
4147 process every 30 minutes.
4148 +
4149 When a daemon is started by %-q% with a time value, but without %-bd%, no pid
4150 file is written unless one is explicitly requested by the %-oP% option.
4151
4152 *-qR*<'rsflags'>~<'string'>::
4153 oindex:[%-qR%]
4154 This option is synonymous with %-R%. It is provided for Sendmail compatibility.
4155
4156 *-qS*<'rsflags'>~<'string'>::
4157 oindex:[%-qS%]
4158 This option is synonymous with %-S%.
4159
4160 *-R*<'rsflags'>~<'string'>::
4161 oindex:[%-R%]
4162 cindex:[queue runner,for specific recipients]
4163 cindex:[delivery,to given domain]
4164 cindex:[domain,delivery to]
4165 The <'rsflags'> may be empty, in which case the white space before the string
4166 is optional, unless the string is 'f', 'ff', 'r', 'rf', or 'rff', which are the
4167 possible values for <'rsflags'>. White space is required if <'rsflags'> is not
4168 empty.
4169 +
4170 This option is similar to %-q% with no time value, that is, it causes Exim to
4171 perform a single queue run, except that, when scanning the messages on the
4172 queue, Exim processes only those that have at least one undelivered recipient
4173 address containing the given string, which is checked in a case-independent
4174 way. If the <'rsflags'> start with 'r', <'string'> is interpreted as a regular
4175 expression; otherwise it is a literal string.
4176 +
4177 Once a message is selected, all its addresses are processed. For the first
4178 selected message, Exim overrides any retry information and forces a delivery
4179 attempt for each undelivered address. This means that if delivery of any
4180 address in the first message is successful, any existing retry information is
4181 deleted, and so delivery attempts for that address in subsequently selected
4182 messages (which are processed without forcing) will run. However, if delivery
4183 of any address does not succeed, the retry information is updated, and in
4184 subsequently selected messages, the failing address will be skipped.
4185 +
4186 If the <'rsflags'> contain 'f' or 'ff', the delivery forcing applies to all
4187 selected messages, not just the first;
4188 cindex:[frozen messages,forcing delivery]
4189 frozen messages are included when 'ff' is present.
4190 +
4191 The %-R% option makes it straightforward to initiate delivery of all messages
4192 to a given domain after a host has been down for some time. When the SMTP
4193 command ETRN is accepted by its ACL (see chapter <<CHAPACL>>), its default
4194 effect is to run Exim with the %-R% option, but it can be configured to run an
4195 arbitrary command instead.
4196
4197 *-r*::
4198 oindex:[%-r%]
4199 This is a documented (for Sendmail) obsolete alternative name for %-f%.
4200
4201 *-S*<'rsflags'>~<'string'>::
4202 oindex:[%-S%]
4203 cindex:[delivery,from given sender]
4204 cindex:[queue runner,for specific senders]
4205 This option acts like %-R% except that it checks the string against each
4206 message's sender instead of against the recipients. If %-R% is also set, both
4207 conditions must be met for a message to be selected. If either of the options
4208 has 'f' or 'ff' in its flags, the associated action is taken.
4209
4210 *-Tqt*~<'times'>::
4211 oindex:[%-Tqt%]
4212 This an option that is exclusively for use by the Exim testing suite. It is not
4213 recognized when Exim is run normally. It allows for the setting up of explicit
4214 ``queue times'' so that various warning/retry features can be tested.
4215
4216 *-t*::
4217 oindex:[%-t%]
4218 cindex:[recipient,extracting from header lines]
4219 cindex:['Bcc:' header line]
4220 cindex:['Cc:' header line]
4221 cindex:['To:' header line]
4222 When Exim is receiving a locally-generated, non-SMTP message on its standard
4223 input, the %-t% option causes the recipients of the message to be obtained
4224 from the 'To:', 'Cc:', and 'Bcc:' header lines in the message instead of from
4225 the command arguments. The addresses are extracted before any rewriting takes
4226 place.
4227 +
4228 If
4229 cindex:[Sendmail compatibility,%-t% option]
4230 the command has any arguments, they specify addresses to which the message
4231 is 'not' to be delivered. That is, the argument addresses are removed from
4232 the recipients list obtained from the headers. This is compatible with Smail 3
4233 and in accordance with the documented behaviour of several versions of
4234 Sendmail, as described in man pages on a number of operating systems (e.g.
4235 Solaris 8, IRIX 6.5, HP-UX 11). However, some versions of Sendmail 'add'
4236 argument addresses to those obtained from the headers, and the O'Reilly
4237 Sendmail book documents it that way. Exim can be made to add argument addresses
4238 instead of subtracting them by setting the option
4239 %extract_addresses_remove_arguments% false.
4240 +
4241 If a 'Bcc:' header line is present, it is removed from the message unless
4242 there is no 'To:' or 'Cc:', in which case a 'Bcc:' line with no data is
4243 created. This is necessary for conformity with the original RFC 822 standard;
4244 the requirement has been removed in RFC 2822, but that is still very new.
4245 +
4246 If
4247 cindex:[%Resent-% header lines,with %-t%]
4248 there are any %Resent-% header lines in the message, Exim extracts
4249 recipients from all 'Resent-To:', 'Resent-Cc:', and 'Resent-Bcc:' header
4250 lines instead of from 'To:', 'Cc:', and 'Bcc:'. This is for compatibility
4251 with Sendmail and other MTAs. (Prior to release 4.20, Exim gave an error if
4252 %-t% was used in conjunction with %Resent-% header lines.)
4253 +
4254 RFC 2822 talks about different sets of %Resent-% header lines (for when a
4255 message is resent several times). The RFC also specifies that they should be
4256 added at the front of the message, and separated by 'Received:' lines. It is
4257 not at all clear how %-t% should operate in the present of multiple sets,
4258 nor indeed exactly what constitutes a ``set''.
4259 In practice, it seems that MUAs do not follow the RFC. The %Resent-% lines are
4260 often added at the end of the header, and if a message is resent more than
4261 once, it is common for the original set of %Resent-% headers to be renamed as
4262 %X-Resent-% when a new set is added. This removes any possible ambiguity.
4263
4264 *-ti*::
4265 oindex:[%-ti%]
4266 This option is exactly equivalent to %-t% %-i%. It is provided for
4267 compatibility with Sendmail.
4268
4269 *-tls-on-connect*::
4270 oindex:[%-tls-on-connect%]
4271 cindex:[TLS,use without STARTTLS]
4272 cindex:[TLS,automatic start]
4273 This option is available when Exim is compiled with TLS support. It forces all
4274 incoming SMTP connections to behave as if the incoming port is listed in the
4275 %tls_on_connect_ports% option. See section <<SECTsupobssmt>> and chapter
4276 <<CHAPTLS>> for further details.
4277
4278
4279 *-U*::
4280 oindex:[%-U%]
4281 cindex:[Sendmail compatibility,%-U% option ignored]
4282 Sendmail uses this option for ``initial message submission'', and its
4283 documentation states that in future releases, it may complain about
4284 syntactically invalid messages rather than fixing them when this flag is not
4285 set. Exim ignores this option.
4286
4287 *-v*::
4288 oindex:[%-v%]
4289 This option causes Exim to write information to the standard error stream,
4290 describing what it is doing. In particular, it shows the log lines for
4291 receiving and delivering a message, and if an SMTP connection is made, the SMTP
4292 dialogue is shown. Some of the log lines shown may not actually be written to
4293 the log if the setting of %log_selector% discards them. Any relevant selectors
4294 are shown with each log line. If none are shown, the logging is unconditional.
4295
4296 *-x*::
4297 oindex:[%-x%]
4298 AIX uses %-x% for a private purpose (``mail from a local mail program has
4299 National Language Support extended characters in the body of the mail item'').
4300 It sets %-x% when calling the MTA from its %mail% command. Exim ignores this
4301 option.
4302
4303 ///
4304 We insert a stylized DocBook comment here, to identify the end of the command
4305 line options. This is for the benefit of the Perl script that automatically
4306 creates a man page for the options.
4307 ///
4308
4309 ++++
4310 <!-- === End of command line options === -->
4311 ++++
4312
4313
4314
4315
4316
4317 ////////////////////////////////////////////////////////////////////////////
4318 ////////////////////////////////////////////////////////////////////////////
4319
4320
4321 [[CHAPconf]]
4322 [titleabbrev="The runtime configuration file"]
4323 The Exim run time configuration file
4324 ------------------------------------
4325
4326 cindex:[run time configuration]
4327 cindex:[configuration file,general description]
4328 cindex:[CONFIGURE_FILE]
4329 cindex:[configuration file,errors in]
4330 cindex:[error,in configuration file]
4331 cindex:[return code,for bad configuration]
4332 Exim uses a single run time configuration file that is read whenever an Exim
4333 binary is executed. Note that in normal operation, this happens frequently,
4334 because Exim is designed to operate in a distributed manner, without central
4335 control.
4336
4337 If a syntax error is detected while reading the configuration file, Exim
4338 writes a message on the standard error, and exits with a non-zero return code.
4339 The message is also written to the panic log. *Note*: only simple syntax
4340 errors can be detected at this time. The values of any expanded options are
4341 not checked until the expansion happens, even when the expansion does not
4342 actually alter the string.
4343
4344
4345
4346 The name of the configuration file is compiled into the binary for security
4347 reasons, and is specified by the CONFIGURE_FILE compilation option. In
4348 most configurations, this specifies a single file. However, it is permitted to
4349 give a colon-separated list of file names, in which case Exim uses the first
4350 existing file in the list.
4351
4352 cindex:[EXIM_USER]
4353 cindex:[EXIM_GROUP]
4354 cindex:[CONFIGURE_OWNER]
4355 cindex:[CONFIGURE_GROUP]
4356 cindex:[configuration file,ownership]
4357 cindex:[ownership,configuration file]
4358 The run time configuration file must be owned by root or by the user that is
4359 specified at compile time by the EXIM_USER option, or by the user that is
4360 specified at compile time by the CONFIGURE_OWNER option (if set). The
4361 configuration file must not be world-writeable or group-writeable, unless its
4362 group is the one specified at compile time by the EXIM_GROUP option
4363
4364 or by the CONFIGURE_GROUP option.
4365
4366
4367 *Warning*: In a conventional configuration, where the Exim binary is setuid
4368 to root, anybody who is able to edit the run time configuration file has an
4369 easy way to run commands as root. If you make your mail administrators members
4370 of the Exim group, but do not trust them with root, make sure that the run time
4371 configuration is not group writeable.
4372
4373 A default configuration file, which will work correctly in simple situations,
4374 is provided in the file _src/configure.default_. If CONFIGURE_FILE
4375 defines just one file name, the installation process copies the default
4376 configuration to a new file of that name if it did not previously exist. If
4377 CONFIGURE_FILE is a list, no default is automatically installed. Chapter
4378 <<CHAPdefconfil>> is a ``walk-through'' discussion of the default configuration.
4379
4380
4381
4382 Using a different configuration file
4383 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4384 cindex:[configuration file,alternate]
4385 A one-off alternate configuration can be specified by the %-C% command line
4386 option, which may specify a single file or a list of files. However, when %-C%
4387 is used, Exim gives up its root privilege, unless called by root or the Exim
4388 user (or unless the argument for %-C% is identical to the built-in value from
4389 CONFIGURE_FILE). %-C% is useful mainly for checking the syntax of
4390 configuration files before installing them. No owner or group checks are done
4391 on a configuration file specified by %-C%.
4392
4393 The privileged use of %-C% by the Exim user can be locked out by setting
4394 ALT_CONFIG_ROOT_ONLY in _Local/Makefile_ when building Exim. However,
4395 if you do this, you also lock out the possibility of testing a
4396 configuration using %-C% right through message reception and delivery, even if
4397 the caller is root. The reception works, but by that time, Exim is running as
4398 the Exim user, so when it re-execs to regain privilege for the delivery, the
4399 use of %-C% causes privilege to be lost. However, root can test reception and
4400 delivery using two separate commands (one to put a message on the queue, using
4401 %-odq%, and another to do the delivery, using %-M%).
4402
4403 If ALT_CONFIG_PREFIX is defined _in Local/Makefile_, it specifies a
4404 prefix string with which any file named in a %-C% command line option must
4405 start. In addition, the file name must not contain the sequence ``##`/../`##''.
4406 There is no default setting for ALT_CONFIG_PREFIX; when it is unset, any file
4407 name can be used with %-C%.
4408
4409 One-off changes to a configuration can be specified by the %-D% command line
4410 option, which defines and overrides values for macros used inside the
4411 configuration file. However, like %-C%, the use of this option by a
4412 non-privileged user causes Exim to discard its root privilege.
4413 If DISABLE_D_OPTION is defined in _Local/Makefile_, the use of %-D% is
4414 completely disabled, and its use causes an immediate error exit.
4415
4416 Some sites may wish to use the same Exim binary on different machines that
4417 share a file system, but to use different configuration files on each machine.
4418 If CONFIGURE_FILE_USE_NODE is defined in _Local/Makefile_, Exim first
4419 looks for a file whose name is the configuration file name followed by a dot
4420 and the machine's node name, as obtained from the 'uname()' function. If this
4421 file does not exist, the standard name is tried. This processing occurs for
4422 each file name in the list given by CONFIGURE_FILE or %-C%.
4423
4424 In some esoteric situations different versions of Exim may be run under
4425 different effective uids and the CONFIGURE_FILE_USE_EUID is defined to
4426 help with this. See the comments in _src/EDITME_ for details.
4427
4428
4429
4430 [[SECTconffilfor]]
4431 Configuration file format
4432 ~~~~~~~~~~~~~~~~~~~~~~~~~
4433 cindex:[configuration file,format of]
4434 cindex:[format,configuration file]
4435 Exim's configuration file is divided into a number of different parts. General
4436 option settings must always appear at the start of the file. The other parts
4437 are all optional, and may appear in any order. Each part other than the first
4438 is introduced by the word ``begin'' followed by the name of the part. The
4439 optional parts are:
4440
4441 - 'ACL': Access control lists for controlling incoming SMTP mail.
4442
4443 - cindex:[AUTH,configuration]
4444 'authenticators': Configuration settings for the authenticator drivers. These
4445 are concerned with the SMTP AUTH command (see chapter <<CHAPSMTPAUTH>>).
4446
4447 - 'routers': Configuration settings for the router drivers. Routers process
4448 addresses and determine how the message is to be delivered.
4449
4450 - 'transports': Configuration settings for the transport drivers. Transports
4451 define mechanisms for copying messages to destinations.
4452
4453 - 'retry': Retry rules, for use when a message cannot be immediately delivered.
4454
4455 - 'rewrite': Global address rewriting rules, for use when a message arrives and
4456 when new addresses are generated during delivery.
4457
4458 - 'local_scan': Private options for the 'local_scan()' function. If you
4459 want to use this feature, you must set
4460
4461   LOCAL_SCAN_HAS_OPTIONS=yes
4462 +
4463 in _Local/Makefile_ before building Exim. Full details of the
4464 'local_scan()' facility are given in chapter <<CHAPlocalscan>>.
4465
4466 cindex:[configuration file,leading white space in]
4467 cindex:[configuration file,trailing white space in]
4468 cindex:[white space,in configuration file]
4469 Leading and trailing white space in configuration lines is always ignored.
4470
4471 Blank lines in the file, and lines starting with a # character (ignoring
4472 leading white space) are treated as comments and are ignored. *Note*: a
4473 # character other than at the beginning of a line is not treated specially,
4474 and does not introduce a comment.
4475
4476 Any non-comment line can be continued by ending it with a backslash. Note that
4477 the general rule for white space means that trailing white space after the
4478 backslash and leading white space at the start of continuation
4479 lines is ignored. Comment lines beginning with # (but not empty lines) may
4480 appear in the middle of a sequence of continuation lines.
4481
4482 A convenient way to create a configuration file is to start from the
4483 default, which is supplied in _src/configure.default_, and add, delete, or
4484 change settings as required.
4485
4486 The ACLs, retry rules, and rewriting rules have their own syntax which is
4487 described in chapters <<CHAPACL>>, <<CHAPretry>>, and <<CHAPrewrite>>,
4488 respectively. The other parts of the configuration file have some syntactic
4489 items in common, and these are described below, from section <<SECTcos>>
4490 onwards. Before that, the inclusion, macro, and conditional facilities are
4491 described.
4492
4493
4494
4495 File inclusions in the configuration file
4496 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4497 cindex:[inclusions in configuration file]
4498 cindex:[configuration file,including other files]
4499 cindex:[.include in configuration file]
4500 cindex:[.include_if_exists in configuration file]
4501 You can include other files inside Exim's run time configuration file by
4502 using this syntax:
4503
4504   .include <file name>
4505
4506 or
4507
4508   .include_if_exists <file name>
4509
4510 on a line by itself. Double quotes round the file name are optional. If you use
4511 the first form, a configuration error occurs if the file does not exist; the
4512 second form does nothing for non-existent files.
4513
4514 Includes may be nested to any depth, but remember that Exim reads its
4515 configuration file often, so it is a good idea to keep them to a minimum.
4516 If you change the contents of an included file, you must HUP the daemon,
4517 because an included file is read only when the configuration itself is read.
4518
4519 The processing of inclusions happens early, at a physical line level, so, like
4520 comment lines, an inclusion can be used in the middle of an option setting,
4521 for example:
4522
4523 ....
4524 hosts_lookup = a.b.c \
4525                .include /some/file
4526 ....
4527
4528 Include processing happens after macro processing (see below). Its effect is to
4529 process the lines of the file as if they occurred inline where the inclusion
4530 appears.
4531
4532
4533
4534 [[SECTmacrodefs]]
4535 Macros in the configuration file
4536 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4537 cindex:[macro,description of]
4538 cindex:[configuration file,macros]
4539 If a line in the main part of the configuration (that is, before the first
4540 ``begin'' line) begins with an upper case letter, it is taken as a macro
4541 definition, and must be of the form
4542
4543 &&&
4544 <'name'> = <'rest of line'>
4545 &&&
4546
4547 The name must consist of letters, digits, and underscores, and need not all be
4548 in upper case, though that is recommended. The rest of the line, including any
4549 continuations, is the replacement text, and has leading and trailing white
4550 space removed. Quotes are not removed. The replacement text can never end with
4551 a backslash character, but this doesn't seem to be a serious limitation.
4552
4553 [revisionflag="changed"]
4554 Macros may also be defined between router, transport, authenticator, or ACL
4555 definitions. They may not, however, be defined within an individual driver or
4556 ACL, or in the %local_scan%, retry, or rewrite sections of the configuration.
4557
4558
4559 Macro substitution
4560 ~~~~~~~~~~~~~~~~~~
4561 Once a macro is defined, all subsequent lines in the file (and any included
4562 files) are scanned for the macro name; if there are several macros, the line is
4563 scanned for each in turn, in the order in which the macros are defined. The
4564 replacement text is not re-scanned for the current macro, though it is scanned
4565 for subsequently defined macros. For this reason, a macro name may not contain
4566 the name of a previously defined macro as a substring. You could, for example,
4567 define
4568
4569 &&&
4570 `ABCD_XYZ = `<'something'>
4571 `ABCD = `<'something else'>
4572 &&&
4573
4574 but putting the definitions in the opposite order would provoke a configuration
4575 error. Macro expansion is applied to individual physical lines from the file,
4576 before checking for line continuation or file inclusion (see above). If a line
4577 consists solely of a macro name, and the expansion of the macro is empty, the
4578 line is ignored. A macro at the start of a line may turn the line into a
4579 comment line or a `.include` line.
4580
4581
4582 Redefining macros
4583 ~~~~~~~~~~~~~~~~~
4584 [revisionflag="changed"]
4585 Once defined, the value of a macro can be redefined later in the configuration
4586 (or in an included file). Redefinition is specified by using '==' instead of
4587 '='. For example:
4588
4589   MAC =  initial value
4590   ...
4591   MAC == updated value
4592
4593 Redefinition does not alter the order in which the macros are applied to
4594 the subsequent lines of the configuration file. It is still the same
4595 order in which the macros were originally defined. All that changes is
4596 the macro's value. Redefinition makes it possible to accumulate values.
4597 For example:
4598
4599   MAC =  initial value
4600   ...
4601   MAC == MAC and something added
4602
4603 This can be helpful in situations where the configuration file is built
4604 from a number of other files.
4605
4606
4607 Overriding macro values
4608 ~~~~~~~~~~~~~~~~~~~~~~~
4609 The values set for macros in the configuration file can be overridden by the
4610 %-D% command line option, but Exim gives up its root privilege when %-D% is
4611 used, unless called by root or the Exim user. A definition on the command line
4612 using the %-D% option causes all definitions and redefinitions within the file
4613 to be ignored.
4614
4615
4616
4617 Example of macro usage
4618 ~~~~~~~~~~~~~~~~~~~~~~
4619 As an example of macro usage, consider a configuration where aliases are looked
4620 up in a MySQL database. It helps to keep the file less cluttered if long
4621 strings such as SQL statements are defined separately as macros, for example:
4622
4623 ....
4624 ALIAS_QUERY = select mailbox from user where \
4625               login=${quote_mysql:$local_part};
4626 ....
4627
4628 This can then be used in a ^redirect^ router setting like this:
4629
4630   data = ${lookup mysql{ALIAS_QUERY}}
4631
4632 In earlier versions of Exim macros were sometimes used for domain, host, or
4633 address lists. In Exim 4 these are handled better by named lists -- see section
4634 <<SECTnamedlists>>.
4635
4636
4637 Conditional skips in the configuration file
4638 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4639 cindex:[configuration file,conditional skips]
4640 cindex:[.ifdef]
4641 You can use the directives `.ifdef`, `.ifndef`, `.elifdef`,
4642 `.elifndef`, `.else`, and `.endif` to dynamically include or exclude
4643 portions of the configuration file. The processing happens whenever the file is
4644 read (that is, when an Exim binary starts to run).
4645
4646 The implementation is very simple. Instances of the first four directives must
4647 be followed by text that includes the names of one or macros. The condition
4648 that is tested is whether or not any macro substitution has taken place in the
4649 line. Thus:
4650
4651   .ifdef AAA
4652   message_size_limit = 50M
4653   .else
4654   message_size_limit = 100M
4655   .endif
4656
4657 sets a message size limit of 50M if the macro `AAA` is defined, and 100M
4658 otherwise. If there is more than one macro named on the line, the condition
4659 is true if any of them are defined. That is, it is an ``or'' condition. To
4660 obtain an ``and'' condition, you need to use nested `.ifdef`##s.
4661
4662 Although you can use a macro expansion to generate one of these directives,
4663 it is not very useful, because the condition ``there was a macro substitution
4664 in this line'' will always be true.
4665
4666 Text following `.else` and `.endif` is ignored, and can be used as comment
4667 to clarify complicated nestings.
4668
4669
4670
4671 [[SECTcos]]
4672 Common option syntax
4673 ~~~~~~~~~~~~~~~~~~~~
4674 cindex:[common option syntax]
4675 cindex:[syntax of common options]
4676 cindex:[configuration file,common option syntax]
4677 For the main set of options, driver options, and 'local_scan()' options,
4678 each setting is on a line by itself, and starts with a name consisting of
4679 lower-case letters and underscores. Many options require a data value, and in
4680 these cases the name must be followed by an equals sign (with optional white
4681 space) and then the value. For example:
4682
4683   qualify_domain = mydomain.example.com
4684
4685 Some option settings may contain sensitive data, for example, passwords for
4686 accessing databases. To stop non-admin users from using the %-bP% command line
4687 option to read these values, you can precede the option settings with the word
4688 ``hide''. For example:
4689
4690   hide mysql_servers = localhost/users/admin/secret-password
4691
4692 For non-admin users, such options are displayed like this:
4693
4694   mysql_servers = <value not displayable>
4695
4696 If ``hide'' is used on a driver option, it hides the value of that option on all
4697 instances of the same driver.
4698
4699 The following sections describe the syntax used for the different data types
4700 that are found in option settings.
4701
4702
4703 Boolean options
4704 ~~~~~~~~~~~~~~~
4705 cindex:[format,boolean]
4706 cindex:[boolean configuration values]
4707 oindex:[%no_%'xxx']
4708 oindex:[%not_%'xxx']
4709 Options whose type is given as boolean are on/off switches. There are two
4710 different ways of specifying such options: with and without a data value. If
4711 the option name is specified on its own without data, the switch is turned on;
4712 if it is preceded by ``no_'' or ``not_'' the switch is turned off. However,
4713 boolean options may be followed by an equals sign and one of the words
4714 ``true'', ``false'', ``yes'', or ``no'', as an alternative syntax. For example,
4715 the following two settings have exactly the same effect:
4716
4717   queue_only
4718   queue_only = true
4719
4720 The following two lines also have the same (opposite) effect:
4721
4722   no_queue_only
4723   queue_only = false
4724
4725 You can use whichever syntax you prefer.
4726
4727
4728
4729
4730 Integer values
4731 ~~~~~~~~~~~~~~
4732 cindex:[integer configuration values]
4733 cindex:[format,integer]
4734 If an integer data item starts with the characters ``0x'', the remainder of it
4735 is interpreted as a hexadecimal number. Otherwise, it is treated as octal if it
4736 starts with the digit 0, and decimal if not. If an integer value is followed by
4737 the letter K, it is multiplied by 1024; if it is followed by the letter M, it
4738 is multiplied by 1024x1024.
4739
4740 When the values of integer option settings are output, values which are an
4741 exact multiple of 1024 or 1024x1024 are
4742 sometimes, but not always,
4743 printed using the letters K and M. The printing style is independent of the
4744 actual input format that was used.
4745
4746
4747 Octal integer values
4748 ~~~~~~~~~~~~~~~~~~~~
4749 cindex:[integer format]
4750 cindex:[format,octal integer]
4751 The value of an option specified as an octal integer is always interpreted in
4752 octal, whether or not it starts with the digit zero. Such options are always
4753 output in octal.
4754
4755
4756
4757 Fixed point number values
4758 ~~~~~~~~~~~~~~~~~~~~~~~~~
4759 cindex:[fixed point configuration values]
4760 cindex:[format,fixed point]
4761 A fixed point number consists of a decimal integer, optionally followed by a
4762 decimal point and up to three further digits.
4763
4764
4765
4766 [[SECTtimeformat]]
4767 Time interval values
4768 ~~~~~~~~~~~~~~~~~~~~
4769 cindex:[time interval,specifying in configuration]
4770 cindex:[format,time interval]
4771 A time interval is specified as a sequence of numbers, each followed by one of
4772 the following letters, with no intervening white space:
4773
4774 [frame="none"]
4775 `-`-----`--------
4776   %s%   seconds
4777   %m%   minutes
4778   %h%   hours
4779   %d%   days
4780   %w%   weeks
4781 -----------------
4782
4783 For example, ``3h50m'' specifies 3 hours and 50 minutes. The values of time
4784 intervals are output in the same format. Exim does not restrict the values; it
4785 is perfectly acceptable, for example, to specify ``90m'' instead of ``1h30m''.
4786
4787
4788
4789 [[SECTstrings]]
4790 String values
4791 ~~~~~~~~~~~~~
4792 cindex:[string,format of configuration values]
4793 cindex:[format,string]
4794 If a string data item does not start with a double-quote character, it is taken
4795 as consisting of the remainder of the line plus any continuation lines,
4796 starting at the first character after any leading white space, with trailing
4797 white space characters removed, and with no interpretation of the characters in
4798 the string. Because Exim removes comment lines (those beginning with #) at an
4799 early stage, they can appear in the middle of a multi-line string. The
4800 following settings are therefore equivalent:
4801
4802 ....
4803 trusted_users = uucp:mail
4804
4805 trusted_users = uucp:\
4806                 # This comment line is ignored
4807                 mail
4808 ....
4809
4810 cindex:[string,quoted]
4811 cindex:[escape characters in quoted strings]
4812 If a string does start with a double-quote, it must end with a closing
4813 double-quote, and any backslash characters other than those used for line
4814 continuation are interpreted as escape characters, as follows:
4815
4816 [frame="none"]
4817 `-`----------------------`--------------------------------------------------
4818   `\\`                   single backslash
4819   `\n`                   newline
4820   `\r`                   carriage return
4821   `\t`                   tab
4822   `\`<'octal digits'>    up to 3 octal digits specify one character
4823   `\x`<'hex digits'>     up to 2 hexadecimal digits specify one character
4824 ----------------------------------------------------------------------------
4825
4826 If a backslash is followed by some other character, including a double-quote
4827 character, that character replaces the pair.
4828
4829 Quoting is necessary only if you want to make use of the backslash escapes to
4830 insert special characters, or if you need to specify a value with leading or
4831 trailing spaces. These cases are rare, so quoting is almost never needed in
4832 current versions of Exim. In versions of Exim before 3.14, quoting was required
4833 in order to continue lines, so you may come across older configuration files
4834 and examples that apparently quote unnecessarily.
4835
4836
4837 Expanded strings
4838 ~~~~~~~~~~~~~~~~
4839 cindex:[string expansion, definition of]
4840 cindex:[expansion,definition of]
4841 Some strings in the configuration file are subjected to 'string expansion',
4842 by which means various parts of the string may be changed according to the
4843 circumstances (see chapter <<CHAPexpand>>). The input syntax for such strings is
4844 as just described; in particular, the handling of backslashes in quoted strings
4845 is done as part of the input process, before expansion takes place. However,
4846 backslash is also an escape character for the expander, so any backslashes that
4847 are required for that reason must be doubled if they are within a quoted
4848 configuration string.
4849
4850
4851 User and group names
4852 ~~~~~~~~~~~~~~~~~~~~
4853 cindex:[user name,format of]
4854 cindex:[format,user name]
4855 cindex:[group,name format]
4856 cindex:[format,group name]
4857 User and group names are specified as strings, using the syntax described
4858 above, but the strings are interpreted specially. A user or group name must
4859 either consist entirely of digits, or be a name that can be looked up using the
4860 'getpwnam()' or 'getgrnam()' function, as appropriate.
4861
4862
4863 [[SECTlistconstruct]]
4864 List construction
4865 ~~~~~~~~~~~~~~~~~
4866 cindex:[list,syntax of in configuration]
4867 cindex:[format,list item in configuration]
4868 cindex:[string list, definition]
4869 The data for some configuration options is a list of items, with colon as the
4870 default separator. Many of these options are shown with type ``string list'' in
4871 the descriptions later in this document. Others are listed as ``domain list'',
4872 ``host list'', ``address list'', or ``local part list''. Syntactically, they
4873 are all the same; however, those other than ``string list'' are subject to
4874 particular kinds of interpretation, as described in chapter
4875 <<CHAPdomhosaddlists>>.
4876
4877 In all these cases, the entire list is treated as a single string as far as the
4878 input syntax is concerned. The %trusted_users% setting in section
4879 <<SECTstrings>> above is an example. If a colon is actually needed in an item in
4880 a list, it must be entered as two colons. Leading and trailing white space on
4881 each item in a list is ignored. This makes it possible to include items that
4882 start with a colon, and in particular, certain forms of IPv6 address. For
4883 example, the list
4884
4885   local_interfaces = 127.0.0.1 : ::::1
4886
4887 contains two IP addresses, the IPv4 address 127.0.0.1 and the IPv6 address ::1.
4888
4889 [revisionflag="changed"]
4890 *Note*: Although leading and trailing white space is ignored in individual list
4891 items, it is not ignored when parsing the list. The space after the first colon
4892 in the example above is necessary. If it were not there, the list would be
4893 interpreted as the two items 127.0.0.1:: and 1.
4894
4895 cindex:[list separator, changing]
4896 cindex:[IPv6,addresses in lists]
4897 Doubling colons in IPv6 addresses is an unwelcome chore, so a mechanism was
4898 introduced to allow the separator character to be changed. If a list begins
4899 with a left angle bracket, followed by any punctuation character, that
4900 character is used instead of colon as the list separator. For example, the list
4901 above can be rewritten to use a semicolon separator like this:
4902
4903   local_interfaces = <; 127.0.0.1 ; ::1
4904
4905 This facility applies to all lists, with the exception of the list in
4906 %log_file_path%. It is recommended that the use of non-colon separators be
4907 confined to circumstances where they really are needed.
4908
4909
4910
4911 [[SECTempitelis]]
4912 Empty items in lists
4913 ~~~~~~~~~~~~~~~~~~~~
4914 cindex:[list,empty item in]
4915 An empty item at the end of a list is always ignored. In other words, trailing
4916 separator characters are ignored. Thus, the list in
4917
4918   senders = user@domain :
4919
4920 contains only a single item. If you want to include an empty string as one item
4921 in a list, it must not be the last item. For example, this list contains three
4922 items, the second of which is empty:
4923
4924   senders = user1@domain : : user2@domain
4925
4926 *Note*: there must be white space between the two colons, as otherwise they
4927 are interpreted as representing a single colon data character (and the list
4928 would then contain just one item). If you want to specify a list that contains
4929 just one, empty item, you can do it as in this example:
4930
4931   senders = :
4932
4933 In this case, the first item is empty, and the second is discarded because it
4934 is at the end of the list.
4935
4936
4937
4938
4939 [[SECTfordricon]]
4940 Format of driver configurations
4941 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4942 cindex:[drivers,configuration format]
4943 There are separate parts in the configuration for defining routers, transports,
4944 and authenticators. In each part, you are defining a number of driver
4945 instances, each with its own set of options. Each driver instance is defined by
4946 a sequence of lines like this:
4947
4948 &&&
4949 <'instance name'>:
4950   <'option'>
4951   ...
4952   <'option'>
4953 &&&
4954
4955 In the following example, the instance name is ^localuser^, and it is
4956 followed by three options settings:
4957
4958   localuser:
4959     driver = accept
4960     check_local_user
4961     transport = local_delivery
4962
4963 For each driver instance, you specify which Exim code module it uses -- by the
4964 setting of the %driver% option -- and (optionally) some configuration settings.
4965 For example, in the case of transports, if you want a transport to deliver with
4966 SMTP you would use the ^smtp^ driver; if you want to deliver to a local file
4967 you would use the ^appendfile^ driver. Each of the drivers is described in
4968 detail in its own separate chapter later in this manual.
4969
4970 You can have several routers, transports, or authenticators that are based on
4971 the same underlying driver (each must have a different instance name).
4972
4973 The order in which routers are defined is important, because addresses are
4974 passed to individual routers one by one, in order. The order in which
4975 transports are defined does not matter at all. The order in which
4976 authenticators are defined is used only when Exim, as a client, is searching
4977 them to find one that matches an authentication mechanism offered by the
4978 server.
4979
4980 cindex:[generic options]
4981 cindex:[options, generic -- definition of]
4982 Within a driver instance definition, there are two kinds of option:
4983 'generic' and 'private'. The generic options are those that apply to all
4984 drivers of the same type (that is, all routers, all transports or all
4985 authenticators).
4986 The %driver% option is a generic option that must appear in every definition.
4987
4988 cindex:[private options]
4989 The private options are special for each driver, and none need appear, because
4990 they all have default values.
4991
4992 The options may appear in any order, except that the %driver% option must
4993 precede any private options, since these depend on the particular driver. For
4994 this reason, it is recommended that %driver% always be the first option.
4995
4996 Driver instance names, which are used for reference in log entries and
4997 elsewhere, can be any sequence of letters, digits, and underscores (starting
4998 with a letter) and must be unique among drivers of the same type. A router and
4999 a transport (for example) can each have the same name, but no two router
5000 instances can have the same name. The name of a driver instance should not be
5001 confused with the name of the underlying driver module. For example, the
5002 configuration lines:
5003
5004   remote_smtp:
5005     driver = smtp
5006
5007 create an instance of the ^smtp^ transport driver whose name is
5008 ^remote_smtp^. The same driver code can be used more than once, with
5009 different instance names and different option settings each time. A second
5010 instance of the ^smtp^ transport, with different options, might be defined
5011 thus:
5012
5013   special_smtp:
5014     driver = smtp
5015     port = 1234
5016     command_timeout = 10s
5017
5018 The names ^remote_smtp^ and ^special_smtp^ would be used to reference
5019 these transport instances from routers, and these names would appear in log
5020 lines.
5021
5022 Comment lines may be present in the middle of driver specifications. The full
5023 list of option settings for any particular driver instance, including all the
5024 defaulted values, can be extracted by making use of the %-bP% command line
5025 option.
5026
5027
5028
5029
5030
5031
5032 ////////////////////////////////////////////////////////////////////////////
5033 ////////////////////////////////////////////////////////////////////////////
5034
5035 [[CHAPdefconfil]]
5036 The default configuration file
5037 ------------------------------
5038 cindex:[configuration file,default ``walk through'']
5039 cindex:[default,configuration file ``walk through'']
5040 The default configuration file supplied with Exim as _src/configure.default_
5041 is sufficient for a host with simple mail requirements. As an introduction to
5042 the way Exim is configured, this chapter ``walks through'' the default
5043 configuration, giving brief explanations of the settings. Detailed descriptions
5044 of the options are given in subsequent chapters. The default configuration file
5045 itself contains extensive comments about ways you might want to modify the
5046 initial settings. However, note that there are many options that are not
5047 mentioned at all in the default configuration.
5048
5049
5050
5051 Main configuration settings
5052 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
5053 The main (global) configuration option settings must always come first in the
5054 file. The first thing you'll see in the file, after some initial comments, is
5055 the line
5056
5057   # primary_hostname =
5058
5059 This is a commented-out setting of the %primary_hostname% option. Exim needs
5060 to know the official, fully qualified name of your host, and this is where you
5061 can specify it. However, in most cases you do not need to set this option. When
5062 it is unset, Exim uses the 'uname()' system function to obtain the host name.
5063
5064 The first three non-comment configuration lines are as follows:
5065
5066   domainlist local_domains = @
5067   domainlist relay_to_domains =
5068   hostlist   relay_from_hosts = 127.0.0.1
5069
5070 These are not, in fact, option settings. They are definitions of two named
5071 domain lists and one named host list. Exim allows you to give names to lists of
5072 domains, hosts, and email addresses, in order to make it easier to manage the
5073 configuration file (see section <<SECTnamedlists>>).
5074
5075 The first line defines a domain list called 'local_domains'; this is used
5076 later in the configuration to identify domains that are to be delivered
5077 on the local host.
5078
5079 cindex:[@ in a domain list]
5080 There is just one item in this list, the string ``@''. This is a special form of
5081 entry which means ``the name of the local host''. Thus, if the local host is
5082 called 'a.host.example', mail to 'any.user@a.host.example' is expected to
5083 be delivered locally. Because the local host's name is referenced indirectly,
5084 the same configuration file can be used on different hosts.
5085
5086 The second line defines a domain list called 'relay_to_domains', but the
5087 list itself is empty. Later in the configuration we will come to the part that
5088 controls mail relaying through the local host; it allows relaying to any
5089 domains in this list. By default, therefore, no relaying on the basis of a mail
5090 domain is permitted.
5091
5092 The third line defines a host list called 'relay_from_hosts'. This list is
5093 used later in the configuration to permit relaying from any host or IP address
5094 that matches the list. The default contains just the IP address of the IPv4
5095 loopback interface, which means that processes on the local host are able to
5096 submit mail for relaying by sending it over TCP/IP to that interface. No other
5097 hosts are permitted to submit messages for relaying.
5098
5099 Just to be sure there's no misunderstanding: at this point in the configuration
5100 we aren't actually setting up any controls. We are just defining some domains
5101 and hosts that will be used in the controls that are specified later.
5102
5103 The next two configuration lines are genuine option settings:
5104
5105   acl_smtp_rcpt = acl_check_rcpt
5106   acl_smtp_data = acl_check_data
5107
5108 [revisionflag="changed"]
5109 These options specify 'Access Control Lists' (ACLs) that are to be used during
5110 an incoming SMTP session for every recipient of a message (every RCPT command),
5111 and after the contents of the message have been received, respectively. The
5112 names of the lists are 'acl_check_rcpt' and 'acl_check_data', and we will come
5113 to their definitions below, in the ACL section of the configuration. The RCPT
5114 ACL controls which recipients are accepted for an incoming message -- if a
5115 configuration does not provide an ACL to check recipients, no SMTP mail can be
5116 accepted. The DATA ACL allows the contents of a message to be checked.
5117
5118 [revisionflag="changed"]
5119 Two commented-out option settings are next:
5120
5121 [revisionflag="changed"]
5122 ....
5123 # av_scanner = clamd:/tmp/clamd
5124 # spamd_address = 127.0.0.1 783
5125 ....
5126
5127 [revisionflag="changed"]
5128 These are example settings that can be used when Exim is compiled with the
5129 content-scanning extension. The first specifies the interface to the virus
5130 scanner, and the second specifies the interface to SpamAssassin. Further
5131 details are given in chapter <<CHAPexiscan>>.
5132
5133 Two more commented-out options settings follow:
5134
5135   # qualify_domain =
5136   # qualify_recipient =
5137
5138 The first of these specifies a domain that Exim uses when it constructs a
5139 complete email address from a local login name. This is often needed when Exim
5140 receives a message from a local process. If you do not set %qualify_domain%,
5141 the value of %primary_hostname% is used. If you set both of these options, you
5142 can have different qualification domains for sender and recipient addresses. If
5143 you set only the first one, its value is used in both cases.
5144
5145 cindex:[domain literal,recognizing format]
5146 The following line must be uncommented if you want Exim to recognize
5147 addresses of the form 'user@[10.11.12.13]' that is, with a ``domain literal''
5148 (an IP address within square brackets) instead of a named domain.
5149
5150   # allow_domain_literals
5151
5152 The RFCs still require this form, but many people think that in the modern
5153 Internet it makes little sense to permit mail to be sent to specific hosts by
5154 quoting their IP addresses. This ancient format has been used by people who
5155 try to abuse hosts by using them for unwanted relaying. However, some
5156 people believe there are circumstances (for example, messages addressed to
5157 'postmaster') where domain literals are still useful.
5158
5159 The next configuration line is a kind of trigger guard:
5160
5161   never_users = root
5162
5163 It specifies that no delivery must ever be run as the root user. The normal
5164 convention is to set up 'root' as an alias for the system administrator. This
5165 setting is a guard against slips in the configuration.
5166 The list of users specified by %never_users% is not, however, the complete
5167 list; the build-time configuration in _Local/Makefile_ has an option called
5168 FIXED_NEVER_USERS specifying a list that cannot be overridden. The
5169 contents of %never_users% are added to this list. By default
5170 FIXED_NEVER_USERS also specifies root.
5171
5172 When a remote host connects to Exim in order to send mail, the only information
5173 Exim has about the host's identity is its IP address. The next configuration
5174 line,
5175
5176   host_lookup = *
5177
5178 specifies that Exim should do a reverse DNS lookup on all incoming connections,
5179 in order to get a host name. This improves the quality of the logging
5180 information, but if you feel it is too expensive, you can remove it entirely,
5181 or restrict the lookup to hosts on ``nearby'' networks.
5182 Note that it is not always possible to find a host name from an IP address,
5183 because not all DNS reverse zones are maintained, and sometimes DNS servers are
5184 unreachable.
5185
5186 The next two lines are concerned with 'ident' callbacks, as defined by RFC
5187 1413 (hence their names):
5188
5189   rfc1413_hosts = *
5190   rfc1413_query_timeout = 30s
5191
5192 These settings cause Exim to make ident callbacks for all incoming SMTP calls.
5193 You can limit the hosts to which these calls are made, or change the timeout
5194 that is used. If you set the timeout to zero, all ident calls are disabled.
5195 Although they are cheap and can provide useful information for tracing problem
5196 messages, some hosts and firewalls have problems with ident calls. This can
5197 result in a timeout instead of an immediate refused connection, leading to
5198 delays on starting up an incoming SMTP session.
5199
5200 When Exim receives messages over SMTP connections, it expects all addresses to
5201 be fully qualified with a domain, as required by the SMTP definition. However,
5202 if you are running a server to which simple clients submit messages, you may
5203 find that they send unqualified addresses. The two commented-out options:
5204
5205   # sender_unqualified_hosts =
5206   # recipient_unqualified_hosts =
5207
5208 show how you can specify hosts that are permitted to send unqualified sender
5209 and recipient addresses, respectively.
5210
5211 The %percent_hack_domains% option is also commented out:
5212
5213   # percent_hack_domains =
5214
5215 It provides a list of domains for which the ``percent hack'' is to operate. This
5216 is an almost obsolete form of explicit email routing. If you do not know
5217 anything about it, you can safely ignore this topic.
5218
5219 The last two settings in the main part of the default configuration are
5220 concerned with messages that have been ``frozen'' on Exim's queue. When a message
5221 is frozen, Exim no longer continues to try to deliver it. Freezing occurs when
5222 a bounce message encounters a permanent failure because the sender address of
5223 the original message that caused the bounce is invalid, so the bounce cannot be
5224 delivered. This is probably the most common case, but there are also other
5225 conditions that cause freezing, and frozen messages are not always bounce
5226 messages.
5227
5228   ignore_bounce_errors_after = 2d
5229   timeout_frozen_after = 7d
5230
5231 The first of these options specifies that failing bounce messages are to be
5232 discarded after 2 days on the queue. The second specifies that any frozen
5233 message (whether a bounce message or not) is to be timed out (and discarded)
5234 after a week. In this configuration, the first setting ensures that no failing
5235 bounce message ever lasts a week.
5236
5237
5238
5239 ACL configuration
5240 ~~~~~~~~~~~~~~~~~
5241 cindex:[default,ACLs]
5242 cindex:[{ACL},default configuration]
5243 In the default configuration, the ACL section follows the main configuration.
5244 It starts with the line
5245
5246   begin acl
5247
5248 and it contains the definitions of two ACLs, called 'acl_check_rcpt' and
5249 'acl_check_data', that were referenced in the settings of %acl_smtp_rcpt% and
5250 %acl_smtp_data% above.
5251
5252 cindex:[RCPT,ACL for]
5253 The first ACL is used for every RCPT command in an incoming SMTP message. Each
5254 RCPT command specifies one of the message's recipients. The ACL statements
5255 are considered in order, until the recipient address is either accepted or
5256 rejected. The RCPT command is then accepted or rejected, according to the
5257 result of the ACL processing.
5258
5259   acl_check_rcpt:
5260
5261 This line, consisting of a name terminated by a colon, marks the start of the
5262 ACL, and names it.
5263
5264   accept  hosts = :
5265
5266 This ACL statement accepts the recipient if the sending host matches the list.
5267 But what does that strange list mean? It doesn't actually contain any host
5268 names or IP addresses. The presence of the colon puts an empty item in the
5269 list; Exim matches this only if the incoming message did not come from a remote
5270 host, because in that case, the remote hostname is empty. The colon is
5271 important. Without it, the list itself is empty, and can never match anything.
5272
5273 What this statement is doing is to accept unconditionally all recipients in
5274 messages that are submitted by SMTP from local processes using the standard
5275 input and output (that is, not using TCP/IP). A number of MUAs operate in this
5276 manner.
5277
5278   deny    message       = Restricted characters in address
5279           domains       = +local_domains
5280           local_parts   = ^[.] : ^.*[@%!/|]
5281
5282   deny    message       = Restricted characters in address
5283           domains       = !+local_domains
5284           local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
5285
5286 These statements are concerned with local parts that contain any of the
5287 characters ``@'', ``%'', ``!'', ``/'', ``|'', or dots in unusual places. Although these
5288 characters are entirely legal in local parts (in the case of ``@'' and leading
5289 dots, only if correctly quoted), they do not commonly occur in Internet mail
5290 addresses.
5291
5292 The first three have in the past been associated with explicitly routed
5293 addresses (percent is still sometimes used -- see the %percent_hack_domains%
5294 option). Addresses containing these characters are regularly tried by spammers
5295 in an attempt to bypass relaying restrictions, and also by open relay testing
5296 programs. Unless you really need them it is safest to reject these characters
5297 at this early stage. This configuration is heavy-handed in rejecting these
5298 characters for all messages it accepts from remote hosts. This is a deliberate
5299 policy of being as safe as possible.
5300
5301 The first rule above is stricter, and is applied to messages that are addressed
5302 to one of the local domains handled by this host. This is implemented by the
5303 first condition, which restricts it to domains that are listed in the
5304 'local_domains' domain list. The ``+'' character is used to indicate a
5305 reference to a named list. In this configuration, there is just one domain in
5306 'local_domains', but in general there may be many.
5307
5308 The second condition on the first statement uses two regular expressions to
5309 block local parts that begin with a dot or contain ``@'', ``%'', ``!'', ``/'', or ``|''.
5310 If you have local accounts that include these characters, you will have to
5311 modify this rule.
5312
5313 Empty components (two dots in a row) are not valid in RFC 2822, but Exim
5314 allows them because they have been encountered in practice. (Consider local
5315 parts constructed as ``first-initial.second-initial.family-name'' when applied to
5316 someone like the author of Exim, who has no second initial.) However, a local
5317 part starting with a dot or containing ``/../'' can cause trouble if it is used
5318 as part of a file name (for example, for a mailing list). This is also true for
5319 local parts that contain slashes. A pipe symbol can also be troublesome if the
5320 local part is incorporated unthinkingly into a shell command line.
5321
5322 The second rule above applies to all other domains, and is less strict. This
5323 allows your own users to send outgoing messages to sites that use slashes
5324 and vertical bars in their local parts. It blocks local parts that begin
5325 with a dot, slash, or vertical bar, but allows these characters within the
5326 local part. However, the sequence ``/../'' is barred. The use of ``@'', ``%'', and
5327 ``!'' is blocked, as before. The motivation here is to prevent your users (or
5328 your users' viruses) from mounting certain kinds of attack on remote sites.
5329
5330   accept  local_parts   = postmaster
5331           domains       = +local_domains
5332
5333 This statement, which has two conditions, accepts an incoming address if the
5334 local part is 'postmaster' and the domain is one of those listed in the
5335 'local_domains' domain list. The ``+'' character is used to indicate a
5336 reference to a named list. In this configuration, there is just one domain in
5337 'local_domains', but in general there may be many.
5338
5339 The presence of this statement means that mail to postmaster is never blocked
5340 by any of the subsequent tests. This can be helpful while sorting out problems
5341 in cases where the subsequent tests are incorrectly denying access.
5342
5343   require verify        = sender
5344
5345 This statement requires the sender address to be verified before any subsequent
5346 ACL statement can be used. If verification fails, the incoming recipient
5347 address is refused. Verification consists of trying to route the address, to
5348 see if a bounce message could be delivered to it. In the case of remote
5349 addresses, basic verification checks only the domain, but 'callouts' can be
5350 used for more verification if required. Section <<SECTaddressverification>>
5351 discusses the details of address verification.
5352
5353   accept  hosts         = +relay_from_hosts
5354           control       = submission
5355
5356 [revisionflag="changed"]
5357 This statement accepts the address if the message is coming from one of the
5358 hosts that are defined as being allowed to relay through this host. Recipient
5359 verification is omitted here, because in many cases the clients are dumb MUAs
5360 that do not cope well with SMTP error responses. For the same reason, the
5361 second line specifies ``submission mode'' for messages that are accepted. This
5362 is described in detail in section <<SECTsubmodnon>>; it causes Exim to fix
5363 messages that are deficient in some way, for example, because they lack a
5364 'Date:' header line. If you are actually relaying out from MTAs, you should
5365 probably add recipient verification here, and disable submission mode.
5366
5367   accept  authenticated = *
5368           control       = submission
5369
5370 [revisionflag="changed"]
5371 This statement accepts the address if the client host has authenticated itself.
5372 Submission mode is again specified, on the grounds that such messages are most
5373 likely to come from MUAs. The default configuration does not define any
5374 authenticators, which means that no client can in fact authenticate. You will
5375 need to add authenticator definitions if you want to make use of this ACL
5376 statement.
5377
5378 ....
5379 # deny    message       = rejected because $sender_host_address is \
5380 #                         in a black list at $dnslist_domain\n\
5381 #                         $dnslist_text
5382 #         dnslists      = black.list.example
5383 #
5384 # warn    message       = X-Warning: $sender_host_address is \
5385 #                         in a black list at $dnslist_domain
5386 #         log_message   = found in $dnslist_domain
5387 #         dnslists      = black.list.example
5388 ....
5389
5390 These commented-out lines are examples of how you could configure Exim to check
5391 sending hosts against a DNS black list. The first statement rejects messages
5392 from blacklisted hosts, whereas the second merely inserts a warning header
5393 line.
5394
5395   accept  domains       = +local_domains
5396           endpass
5397           verify        = recipient
5398
5399 This statement accepts the incoming recipient address if its domain is one of
5400 the local domains, but only if the address can be verified. Verification of
5401 local addresses normally checks both the local part and the domain. The
5402 %endpass% line needs some explanation: if the condition above %endpass% fails,
5403 that is, if the address is not in a local domain, control is passed to the next
5404 ACL statement. However, if the condition below %endpass% fails, that is, if a
5405 recipient in a local domain cannot be verified, access is denied and the
5406 recipient is rejected.
5407
5408   accept  domains       = +relay_to_domains
5409           endpass
5410           verify        = recipient
5411
5412 This statement accepts the incoming recipient address if its domain is one of
5413 the domains for which this host is a relay, but again, only if the address can
5414 be verified.
5415
5416   deny    message       = relay not permitted
5417
5418 The final statement denies access, giving a specific error message. Reaching
5419 the end of the ACL also causes access to be denied, but with the generic
5420 message ``administrative prohibition''.
5421
5422   acl_check_data:
5423
5424 [revisionflag="changed"]
5425 This line marks the start of the second ACL, and names it. Most of the contents
5426 of this ACL are commented out:
5427
5428 [revisionflag="changed"]
5429 ....
5430 # deny    malware   = *
5431 #         message   = This message contains a virus \
5432 #                     ($malware_name).
5433 ....
5434
5435 [revisionflag="changed"]
5436 These lines are examples of how to arrange for messages to be scanned for
5437 viruses when Exim has been compiled with the content-scanning extension, and a
5438 suitable virus scanner is installed. If the message is found to contain a
5439 virus, it is rejected with the given custom error message.
5440
5441 [revisionflag="changed"]
5442 ....
5443 # warn    spam      = nobody
5444 #         message   = X-Spam_score: $spam_score\n\
5445 #                     X-Spam_score_int: $spam_score_int\n\
5446 #                     X-Spam_bar: $spam_bar\n\
5447 #                     X-Spam_report: $spam_report
5448 ....
5449
5450 [revisionflag="changed"]
5451 These lines are an example of how to arrange for messages to be scanned by
5452 SpamAssassin when Exim has been compiled with the content-scanning extension,
5453 and SpamAssassin has been installed. The SpamAssassin check is run with
5454 `nobody` as its user parameter, and the results are added to the message as a
5455 series of extra header line. In this case, the message is not rejected,
5456 whatever the spam score.
5457
5458   accept
5459
5460 [revisionflag="changed"]
5461 This final line in the DATA ACL accepts the message unconditionally.
5462
5463
5464
5465 Router configuration
5466 ~~~~~~~~~~~~~~~~~~~~
5467 cindex:[default,routers]
5468 cindex:[routers,default]
5469 The router configuration comes next in the default configuration, introduced
5470 by the line
5471
5472   begin routers
5473
5474 Routers are the modules in Exim that make decisions about where to send
5475 messages. An address is passed to each router in turn, until it is either
5476 accepted, or failed. This means that the order in which you define the routers
5477 matters. Each router is fully described in its own chapter later in this
5478 manual. Here we give only brief overviews.
5479
5480   # domain_literal:
5481   #   driver = ipliteral
5482   #   domains = !+local_domains
5483   #   transport = remote_smtp
5484
5485 cindex:[domain literal,default router]
5486 This router is commented out because the majority of sites do not want to
5487 support domain literal addresses (those of the form 'user@[10.9.8.7]'). If
5488 you uncomment this router, you also need to uncomment the setting of
5489 %allow_domain_literals% in the main part of the configuration.
5490
5491   dnslookup:
5492     driver = dnslookup
5493     domains = ! +local_domains
5494     transport = remote_smtp
5495     ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
5496     no_more
5497
5498 The first uncommented router handles addresses that do not involve any local
5499 domains. This is specified by the line
5500
5501   domains = ! +local_domains
5502
5503 The %domains% option lists the domains to which this router applies, but the
5504 exclamation mark is a negation sign, so the router is used only for domains
5505 that are not in the domain list called 'local_domains' (which was defined at
5506 the start of the configuration). The plus sign before 'local_domains'
5507 indicates that it is referring to a named list. Addresses in other domains are
5508 passed on to the following routers.
5509
5510 The name of the router driver is ^dnslookup^,
5511 and is specified by the %driver% option. Do not be confused by the fact that
5512 the name of this router instance is the same as the name of the driver. The
5513 instance name is arbitrary, but the name set in the %driver% option must be one
5514 of the driver modules that is in the Exim binary.
5515
5516 The ^dnslookup^ router routes addresses by looking up their domains in the
5517 DNS in order to obtain a list of hosts to which the address is routed. If the
5518 router succeeds, the address is queued for the ^remote_smtp^ transport, as
5519 specified by the %transport% option. If the router does not find the domain in
5520 the DNS, no further routers are tried because of the %no_more% setting, so the
5521 address fails and is bounced.
5522
5523 The %ignore_target_hosts% option specifies a list of IP addresses that are to
5524 be entirely ignored. This option is present because a number of cases have been
5525 encountered where MX records in the DNS point to host names
5526 whose IP addresses are 0.0.0.0 or are in the 127 subnet (typically 127.0.0.1).
5527 Completely ignoring these IP addresses causes Exim to fail to route the
5528 email address, so it bounces. Otherwise, Exim would log a routing problem, and
5529 continue to try to deliver the message periodically until the address timed
5530 out.
5531
5532   system_aliases:
5533     driver = redirect
5534     allow_fail
5535     allow_defer
5536     data = ${lookup{$local_part}lsearch{/etc/aliases}}
5537   # user = exim
5538     file_transport = address_file
5539     pipe_transport = address_pipe
5540
5541 Control reaches this and subsequent routers only for addresses in the local
5542 domains. This router checks to see whether the local part is defined as an
5543 alias in the _/etc/aliases_ file, and if so, redirects it according to the
5544 data that it looks up from that file. If no data is found for the local part,
5545 the value of the %data% option is empty, causing the address to be passed to
5546 the next router.
5547
5548 _/etc/aliases_ is a conventional name for the system aliases file that is
5549 often used. That is why it is referenced by from the default configuration
5550 file. However, you can change this by setting SYSTEM_ALIASES_FILE in
5551 _Local/Makefile_ before building Exim.
5552
5553   userforward:
5554     driver = redirect
5555     check_local_user
5556   # local_part_suffix = +* : -*
5557   # local_part_suffix_optional
5558     file = $home/.forward
5559   # allow_filter
5560     no_verify
5561     no_expn
5562     check_ancestor
5563     file_transport = address_file
5564     pipe_transport = address_pipe
5565     reply_transport = address_reply
5566
5567 [revisionflag="changed"]
5568 This is the most complicated router in the default configuration. It is another
5569 redirection router, but this time it is looking for forwarding data set up by
5570 individual users. The %check_local_user% setting specifies a check that the
5571 local part of the address is the login name of a local user. If it is not, the
5572 router is skipped. The two commented options that follow %check_local_user%,
5573 namely:
5574
5575 [revisionflag="changed"]
5576 ....
5577 # local_part_suffix = +* : -*
5578 # local_part_suffix_optional
5579 ....
5580
5581 [revisionflag="changed"]
5582 cindex:[$local_part_suffix$]
5583 show how you can specify the recognition of local part suffixes. If the first
5584 is uncommented, a suffix beginning with either a plus or a minus sign, followed
5585 by any sequence of characters, is removed from the local part and placed in the
5586 variable $local_part_suffix$. The second suffix option specifies that the
5587 presence of a suffix in the local part is optional. When a suffix is present,
5588 the check for a local login uses the local part with the suffix removed.
5589
5590 When a local user account is found, the file called _.forward_ in the user's
5591 home directory is consulted. If it does not exist, or is empty, the router
5592 declines. Otherwise, the contents of _.forward_ are interpreted as redirection
5593 data (see chapter <<CHAPredirect>> for more details).
5594
5595 cindex:[Sieve filter,enabling in default router]
5596 Traditional _.forward_ files contain just a list of addresses, pipes, or
5597 files. Exim supports this by default. However, if %allow_filter% is set (it is
5598 commented out by default), the contents of the file are interpreted as a set of
5599 Exim or Sieve filtering instructions, provided the file begins with ``#Exim
5600 filter'' or ``#Sieve filter'', respectively. User filtering is discussed in the
5601 separate document entitled 'Exim's interfaces to mail filtering'.
5602
5603 The %no_verify% and %no_expn% options mean that this router is skipped when
5604 verifying addresses, or when running as a consequence of an SMTP EXPN command.
5605 There are two reasons for doing this:
5606
5607 . Whether or not a local user has a _.forward_ file is not really relevant when
5608 checking an address for validity; it makes sense not to waste resources doing
5609 unnecessary work.
5610
5611 . More importantly, when Exim is verifying addresses or handling an EXPN
5612 command during an SMTP session, it is running as the Exim user, not as root.
5613 The group is the Exim group, and no additional groups are set up.
5614 It may therefore not be possible for Exim to read users' _.forward_ files at
5615 this time.
5616
5617 The setting of %check_ancestor% prevents the router from generating a new
5618 address that is the same as any previous address that was redirected. (This
5619 works round a problem concerning a bad interaction between aliasing and
5620 forwarding -- see section <<SECTredlocmai>>).
5621
5622 The final three option settings specify the transports that are to be used when
5623 forwarding generates a direct delivery to a file, or to a pipe, or sets up an
5624 auto-reply, respectively. For example, if a _.forward_ file contains
5625
5626   a.nother@elsewhere.example, /home/spqr/archive
5627
5628 the delivery to _/home/spqr/archive_ is done by running the %address_file%
5629 transport.
5630
5631   localuser:
5632     driver = accept
5633     check_local_user
5634   # local_part_suffix = +* : -*
5635   # local_part_suffix_optional
5636     transport = local_delivery
5637
5638 [revisionflag="changed"]
5639 The final router sets up delivery into local mailboxes, provided that the local
5640 part is the name of a local login, by accepting the address and assigning it to
5641 the ^local_delivery^ transport. Otherwise, we have reached the end of the
5642 routers, so the address is bounced. The commented suffix settings fulfil the
5643 same purpose as they do for the ^userforward^ router.
5644
5645
5646
5647 Transport configuration
5648 ~~~~~~~~~~~~~~~~~~~~~~~
5649 cindex:[default,transports]
5650 cindex:[transports,default]
5651 Transports define mechanisms for actually delivering messages. They operate
5652 only when referenced from routers, so the order in which they are defined does
5653 not matter. The transports section of the configuration starts with
5654
5655   begin transports
5656
5657 One remote transport and four local transports are defined.
5658
5659   remote_smtp:
5660     driver = smtp
5661
5662 This transport is used for delivering messages over SMTP connections. All its
5663 options are defaulted. The list of remote hosts comes from the router.
5664
5665   local_delivery:
5666     driver = appendfile
5667     file = /var/mail/$local_part
5668     delivery_date_add
5669     envelope_to_add
5670     return_path_add
5671   # group = mail
5672   # mode = 0660
5673
5674 This ^appendfile^ transport is used for local delivery to user mailboxes in
5675 traditional BSD mailbox format. By default it runs under the uid and gid of the
5676 local user, which requires the sticky bit to be set on the _/var/mail_
5677 directory. Some systems use the alternative approach of running mail deliveries
5678 under a particular group instead of using the sticky bit. The commented options
5679 show how this can be done.
5680
5681 Exim adds three headers to the message as it delivers it: 'Delivery-date:',
5682 'Envelope-to:' and 'Return-path:'. This action is requested by the three
5683 similarly-named options above.
5684
5685   address_pipe:
5686     driver = pipe
5687     return_output
5688
5689 This transport is used for handling deliveries to pipes that are generated by
5690 redirection (aliasing or users' _.forward_ files). The %return_output%
5691 option specifies that any output generated by the pipe is to be returned to the
5692 sender.
5693
5694   address_file:
5695     driver = appendfile
5696     delivery_date_add
5697     envelope_to_add
5698     return_path_add
5699
5700 This transport is used for handling deliveries to files that are generated by
5701 redirection. The name of the file is not specified in this instance of
5702 ^appendfile^, because it comes from the ^redirect^ router.
5703
5704   address_reply:
5705     driver = autoreply
5706
5707 This transport is used for handling automatic replies generated by users'
5708 filter files.
5709
5710
5711
5712 Default retry rule
5713 ~~~~~~~~~~~~~~~~~~
5714 cindex:[retry,default rule]
5715 cindex:[default,retry rule]
5716 The retry section of the configuration file contains rules which affect the way
5717 Exim retries deliveries that cannot be completed at the first attempt. It is
5718 introduced by the line
5719
5720   begin retry
5721
5722 In the default configuration, there is just one rule, which applies to all
5723 errors:
5724
5725 &&&
5726 `\*   \*   F,2h,15m; G,16h,1h,1.5; F,4d,6h`
5727 &&&
5728
5729 This causes any temporarily failing address to be retried every 15 minutes for
5730 2 hours, then at intervals starting at one hour and increasing by a factor of
5731 1.5 until 16 hours have passed, then every 6 hours up to 4 days. If an address
5732 is not delivered after 4 days of failure, it is bounced.
5733
5734
5735
5736 Rewriting configuration
5737 ~~~~~~~~~~~~~~~~~~~~~~~
5738 The rewriting section of the configuration, introduced by
5739
5740   begin rewrite
5741
5742 contains rules for rewriting addresses in messages as they arrive. There are no
5743 rewriting rules in the default configuration file.
5744
5745
5746
5747 Authenticators configuration
5748 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5749 cindex:[AUTH,configuration]
5750 The authenticators section of the configuration, introduced by
5751
5752   begin authenticators
5753
5754 defines mechanisms for the use of the SMTP AUTH command. No authenticators
5755 are specified in the default configuration file.
5756
5757
5758
5759 ////////////////////////////////////////////////////////////////////////////
5760 ////////////////////////////////////////////////////////////////////////////
5761
5762 [[CHAPregexp]]
5763 Regular expressions
5764 -------------------
5765
5766 cindex:[regular expressions,library]
5767 cindex:[PCRE]
5768 Exim supports the use of regular expressions in many of its options. It
5769 uses the PCRE regular expression library; this provides regular expression
5770 matching that is compatible with Perl 5. The syntax and semantics of
5771 regular expressions is discussed in many Perl reference books, and also in
5772 Jeffrey Friedl's 'Mastering Regular Expressions', which is published by
5773 O'Reilly (*http://www.oreilly.com/catalog/regex/[]*).
5774
5775 The documentation for the syntax and semantics of the regular expressions that
5776 are supported by PCRE is included in plain text in the file
5777 _doc/pcrepattern.txt_ in the Exim distribution, and also in the HTML tarbundle
5778 of Exim documentation. It describes in detail the features of the regular
5779 expressions that PCRE supports, so no further description is included here. The
5780 PCRE functions are called from Exim using the default option settings (that is,
5781 with no PCRE options set), except that the PCRE_CASELESS option is set when the
5782 matching is required to be case-insensitive.
5783
5784 In most cases, when a regular expression is required in an Exim configuration,
5785 it has to start with a circumflex, in order to distinguish it from plain text
5786 or an ``ends with'' wildcard. In this example of a configuration setting, the
5787 second item in the colon-separated list is a regular expression.
5788
5789   domains = a.b.c : ^\\d{3} : *.y.z : ...
5790
5791 The doubling of the backslash is required because of string expansion that
5792 precedes interpretation -- see section <<SECTlittext>> for more discussion of
5793 this issue, and a way of avoiding the need for doubling backslashes. The
5794 regular expression that is eventually used in this example contains just one
5795 backslash. The circumflex is included in the regular expression, and has the
5796 normal effect of ``anchoring'' it to the start of the string that is being
5797 matched.
5798
5799 There are, however, two cases where a circumflex is not required for the
5800 recognition of a regular expression: these are the %match% condition in a
5801 string expansion, and the %matches% condition in an Exim filter file. In these
5802 cases, the relevant string is always treated as a regular expression; if it
5803 does not start with a circumflex, the expression is not anchored, and can match
5804 anywhere in the subject string.
5805
5806 In all cases, if you want a regular expression to match at the end of a string,
5807 you must code the \$ metacharacter to indicate this. For example:
5808
5809   domains = ^\\d{3}\\.example
5810
5811 matches the domain '123.example', but it also matches '123.example.com'.
5812 You need to use:
5813
5814   domains = ^\\d{3}\\.example\$
5815
5816 if you want 'example' to be the top-level domain. The backslash before the
5817 \$ is needed because string expansion also interprets dollar characters.
5818
5819
5820
5821 Testing regular expressions
5822 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
5823 cindex:[testing,regular expressions]
5824 cindex:[regular expressions,testing]
5825 cindex:['pcretest']
5826 A program called 'pcretest' forms part of the PCRE distribution and is built
5827 with PCRE during the process of building Exim. It is primarily intended for
5828 testing PCRE itself, but it can also be used for experimenting with regular
5829 expressions. After building Exim, the binary can be found in the build
5830 directory (it is not installed anywhere automatically). There is documentation
5831 of various options in _doc/pcretest.txt_, but for simple testing, none are
5832 needed. This is the output of a sample run of 'pcretest':
5833
5834 &&&
5835 `  re> `*`/^([^@]+)@.+\.(ac|edu)\.(?!kr)[a-z]{2}$/`*
5836 `data> `*`x@y.ac.uk`*
5837 ` 0: x@y.ac.uk`
5838 ` 1: x`
5839 ` 2: ac`
5840 `data> `*`x@y.ac.kr`*
5841 `No match`
5842 `data> `*`x@y.edu.com`*
5843 `No match`
5844 `data> `*`x@y.edu.co`*
5845 ` 0: x@y.edu.co`
5846 ` 1: x`
5847 ` 2: edu`
5848 &&&
5849
5850 Input typed by the user is shown in bold face. After the ``re>'' prompt, a
5851 regular expression enclosed in delimiters is expected. If this compiles without
5852 error, ``data>'' prompts are given for strings against which the expression is
5853 matched. An empty data line causes a new regular expression to be read. If the
5854 match is successful, the captured substring values (that is, what would be in
5855 the variables $0$, $1$, $2$, etc.) are shown. The above example tests for an
5856 email address whose domain ends with either ``ac'' or ``edu'' followed by a
5857 two-character top-level domain that is not ``kr''. The local part is captured
5858 in $1$ and the ``ac'' or ``edu'' in $2$.
5859
5860
5861
5862
5863
5864
5865 ////////////////////////////////////////////////////////////////////////////
5866 ////////////////////////////////////////////////////////////////////////////
5867
5868 [[CHAPfdlookup]]
5869 File and database lookups
5870 -------------------------
5871 cindex:[file,lookup]
5872 cindex:[database lookups]
5873 cindex:[lookup,description of]
5874 Exim can be configured to look up data in files or databases as it processes
5875 messages. Two different kinds of syntax are used:
5876
5877 . A string that is to be expanded may contain explicit lookup requests. These
5878 cause parts of the string to be replaced by data that is obtained from the
5879 lookup. String expansions are described in detail in chapter <<CHAPexpand>>.
5880
5881 . Lists of domains, hosts, and email addresses can contain lookup requests as a
5882 way of avoiding excessively long linear lists. In this case, the data that is
5883 returned by the lookup is often (but not always) discarded; whether the lookup
5884 succeeds or fails is what really counts. These kinds of list are described in
5885 chapter <<CHAPdomhosaddlists>>.
5886
5887 [revisionflag="changed"]
5888 String expansions, lists, and lookups interact with each other in such a way
5889 that there is no order in which to describe any one of them that does not
5890 involve references to the others. Each of these three chapters makes more sense
5891 if you have read the other two first. If you are reading this for the first
5892 time, be aware that some of it will make a lot more sense after you have read
5893 chapters <<CHAPdomhosaddlists>> and <<CHAPexpand>>.
5894
5895
5896 Examples of different lookup syntax
5897 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5898 It is easy to confuse the two different kinds of lookup, especially as the
5899 lists that may contain the second kind are always expanded before being
5900 processed as lists. Therefore, they may also contain lookups of the first kind.
5901 Be careful to distinguish between the following two examples:
5902
5903   domains = ${lookup{$sender_host_address}lsearch{/some/file}}
5904   domains = lsearch;/some/file
5905
5906 The first uses a string expansion, the result of which must be a domain list.
5907 The expansion takes place before the string is processed as a list, and the
5908 file that is searched could contain lines like this:
5909
5910   192.168.3.4: domain1:domain2:...
5911   192.168.1.9: domain3:domain4:...
5912
5913 The result of the expansion (assuming the lookup succeeds) is a list of domains
5914 (and possibly other types of item that are allowed in domain lists).
5915
5916 In the second example, the lookup is a single item in a domain list. It causes
5917 Exim to use a lookup to see if the domain that is being processed can be found
5918 in the file. The file could contains lines like this:
5919
5920   domain1:
5921   domain2:
5922
5923 Any data that follows the keys is not relevant when checking that the domain
5924 matches the list item.
5925
5926 It is possible, though no doubt confusing, to use both kinds of lookup at once.
5927 Consider a file containing lines like this:
5928
5929   192.168.5.6: lsearch;/another/file
5930
5931 If the value of $sender_host_address$ is 192.168.5.6, expansion of the
5932 first %domains% setting above generates the second setting, which therefore
5933 causes a second lookup to occur.
5934
5935 The rest of this chapter describes the different lookup types that are
5936 available. Any of them can be used in any part of the configuration where a
5937 lookup is permitted.
5938
5939
5940 Lookup types
5941 ~~~~~~~~~~~~
5942 cindex:[lookup,types of]
5943 cindex:[single-key lookup,definition of]
5944 Two different types of data lookup are implemented:
5945
5946 - The 'single-key' type requires the specification of a file in which to look,
5947 and a single key to search for. The key must be a non-empty string for the
5948 lookup to succeed. The lookup type determines how the file is searched.
5949
5950 - cindex:[query-style lookup,definition of]
5951 The 'query-style' type accepts a generalized database query. No particular key
5952 value is assumed by Exim for query-style lookups. You can use whichever Exim
5953 variables you need to construct the database query.
5954
5955 The code for each lookup type is in a separate source file that is included in
5956 the binary of Exim only if the corresponding compile-time option is set. The
5957 default settings in _src/EDITME_ are:
5958
5959   LOOKUP_DBM=yes
5960   LOOKUP_LSEARCH=yes
5961
5962 which means that only linear searching and DBM lookups are included by default.
5963 For some types of lookup (e.g. SQL databases), you need to install appropriate
5964 libraries and header files before building Exim.
5965
5966
5967
5968
5969 [[SECTsinglekeylookups]]
5970 Single-key lookup types
5971 ~~~~~~~~~~~~~~~~~~~~~~~
5972 cindex:[lookup,single-key types]
5973 cindex:[single-key lookup,list of types]
5974 The following single-key lookup types are implemented:
5975
5976 - cindex:[cdb,description of]
5977 cindex:[lookup,cdb]
5978 cindex:[binary zero,in lookup key]
5979 ^cdb^: The given file is searched as a Constant DataBase file, using the key
5980 string without a terminating binary zero. The cdb format is designed for
5981 indexed files that are read frequently and never updated, except by total
5982 re-creation. As such, it is particulary suitable for large files containing
5983 aliases or other indexed data referenced by an MTA. Information about cdb can
5984 be found in several places:
5985 +
5986 &&&
5987 *http://www.pobox.com/~djb/cdb.html[]*
5988 *ftp://ftp.corpit.ru/pub/tinycdb/[]*
5989 *http://packages.debian.org/stable/utils/freecdb.html[]*
5990 &&&
5991 +
5992 A cdb distribution is not needed in order to build Exim with cdb support,
5993 because the code for reading cdb files is included directly in Exim itself.
5994 However, no means of building or testing cdb files is provided with Exim, so
5995 you need to obtain a cdb distribution in order to do this.
5996
5997 - cindex:[DBM,lookup type]
5998 cindex:[lookup,dbm]
5999 cindex:[binary zero,in lookup key]
6000 ^dbm^: Calls to DBM library functions are used to extract data from the given
6001 DBM file by looking up the record with the given key. A terminating binary
6002 zero is included in the key that is passed to the DBM library. See section
6003 <<SECTdb>> for a discussion of DBM libraries.
6004 +
6005 cindex:[Berkeley DB library,file format]
6006 For all versions of Berkeley DB, Exim uses the DB_HASH style of database
6007 when building DBM files using the %exim_dbmbuild% utility. However, when using
6008 Berkeley DB versions 3 or 4, it opens existing databases for reading with the
6009 DB_UNKNOWN option. This enables it to handle any of the types of database
6010 that the library supports, and can be useful for accessing DBM files created by
6011 other applications. (For earlier DB versions, DB_HASH is always used.)
6012
6013 - cindex:[lookup,dbmnz]
6014 cindex:[lookup,dbm -- terminating zero]
6015 cindex:[binary zero,in lookup key]
6016 cindex:[Courier]
6017 cindex:[_/etc/userdbshadow.dat_]
6018 cindex:[dmbnz lookup type]
6019 ^dbmnz^: This is the same as ^dbm^, except that a terminating binary zero
6020 is not included in the key that is passed to the DBM library. You may need this
6021 if you want to look up data in files that are created by or shared with some
6022 other application that does not use terminating zeros. For example, you need to
6023 use ^dbmnz^ rather than ^dbm^ if you want to authenticate incoming SMTP
6024 calls using the passwords from Courier's _/etc/userdbshadow.dat_ file. Exim's
6025 utility program for creating DBM files ('exim_dbmbuild') includes the zeros
6026 by default, but has an option to omit them (see section <<SECTdbmbuild>>).
6027
6028 - cindex:[lookup,dsearch]
6029 cindex:[dsearch lookup type]
6030 ^dsearch^: The given file must be a directory; this is searched for a file
6031 whose name is the key. The key may not contain any forward slash characters.
6032 The result of a successful lookup is the name of the file. An example of how
6033 this lookup can be used to support virtual domains is given in section
6034 <<SECTvirtualdomains>>.
6035
6036 - cindex:[lookup,iplsearch]
6037 cindex:[iplsearch lookup type]
6038 ^iplsearch^: The given file is a text file containing keys and data. A key is
6039 terminated by a colon or white space or the end of the line. The keys in the
6040 file must be IP addresses, or IP addresses with CIDR masks. Keys that involve
6041 IPv6 addresses must be enclosed in quotes to prevent the first internal colon
6042 being interpreted as a key terminator. For example:
6043
6044   1.2.3.4:           data for 1.2.3.4
6045   192.168.0.0/16     data for 192.168.0.0/16
6046   "abcd::cdab":      data for abcd::cdab
6047   "abcd:abcd::/32"   data for abcd:abcd::/32
6048 +
6049 The key for an ^iplsearch^ lookup must be an IP address (without a mask). The
6050 file is searched linearly, using the CIDR masks where present, until a matching
6051 key is found. The first key that matches is used; there is no attempt to find a
6052 ``best'' match. Apart from the way the keys are matched, the processing for
6053 ^iplsearch^ is the same as for ^lsearch^.
6054 +
6055 *Warning 1*: Unlike most other single-key lookup types, a file of data for
6056 ^iplsearch^ can 'not' be turned into a DBM or cdb file, because those
6057 lookup types support only literal keys.
6058 +
6059 *Warning 2*: In a host list, you must always use ^net-iplsearch^ so that
6060 the implicit key is the host's IP address rather than its name (see section
6061 <<SECThoslispatsikey>>).
6062
6063 - cindex:[linear search]
6064 cindex:[lookup,lsearch]
6065 cindex:[lsearch lookup type]
6066 ^lsearch^: The given file is a text file that is searched linearly for a
6067 line beginning with the search key, terminated by a colon or white space or the
6068 end of the line. The first occurrence that is found in the file is used. White
6069 space between the key and the colon is permitted. The remainder of the line,
6070 with leading and trailing white space removed, is the data. This can be
6071 continued onto subsequent lines by starting them with any amount of white
6072 space, but only a single space character is included in the data at such a
6073 junction. If the data begins with a colon, the key must be terminated by a
6074 colon, for example:
6075
6076   baduser:  :fail:
6077 +
6078 Empty lines and lines beginning with # are ignored, even if they occur in the
6079 middle of an item. This is the traditional textual format of alias files. Note
6080 that the keys in an ^lsearch^ file are literal strings. There is no
6081 wildcarding of any kind.
6082 +
6083 cindex:[lookup,lsearch -- colons in keys]
6084 cindex:[white space,in lsearch key]
6085 In most ^lsearch^ files, keys are not required to contain colons or #
6086 characters, or white space. However, if you need this feature, it is available.
6087 If a key begins with a doublequote character, it is terminated only by a
6088 matching quote (or end of line), and the normal escaping rules apply to its
6089 contents (see section <<SECTstrings>>). An optional colon is permitted after
6090 quoted keys (exactly as for unquoted keys). There is no special handling of
6091 quotes for the data part of an ^lsearch^ line.
6092
6093 - cindex:[NIS lookup type]
6094 cindex:[lookup,NIS]
6095 cindex:[binary zero,in lookup key]
6096 ^nis^: The given file is the name of a NIS map, and a NIS lookup is done with
6097 the given key, without a terminating binary zero. There is a variant called
6098 ^nis0^ which does include the terminating binary zero in the key. This is
6099 reportedly needed for Sun-style alias files. Exim does not recognize NIS
6100 aliases; the full map names must be used.
6101
6102 - cindex:[wildlsearch lookup type]
6103 cindex:[lookup,wildlsearch]
6104 cindex:[nwildlsearch lookup type]
6105 cindex:[lookup,nwildlsearch]
6106 ^wildlsearch^ or ^nwildlsearch^: These search a file linearly, like
6107 ^lsearch^, but instead of being interpreted as a literal string, each key may
6108 be wildcarded. The difference between these two lookup types is that for
6109 ^wildlsearch^, each key in the file is string-expanded before being used,
6110 whereas for ^nwildlsearch^, no expansion takes place.
6111 +
6112 Like ^lsearch^, the testing is done case-insensitively. The following forms
6113 of wildcard are recognized:
6114 +
6115 --
6116 .. The string may begin with an asterisk to mean ``ends with''. For example:
6117
6118       *.a.b.c       data for anything.a.b.c
6119       *fish         data for anythingfish
6120
6121 .. The string may begin with a circumflex to indicate a regular expression. For
6122 example, for ^wildlsearch^:
6123
6124       ^\N\d+\.a\.b\N    data for <digits>.a.b
6125
6126 Note the use of `\N` to disable expansion of the contents of the regular
6127 expression. If you are using ^nwildlsearch^, where the keys are not
6128 string-expanded, the equivalent entry is:
6129
6130       ^\d+\.a\.b        data for <digits>.a.b
6131
6132 If the regular expression contains white space or colon characters, you must
6133 either quote it (see ^lsearch^ above), or represent these characters in other
6134 ways. For example, `\s` can be used for white space and `\x3A` for a
6135 colon. This may be easier than quoting, because if you quote, you have to
6136 escape all the backslashes inside the quotes.
6137
6138 .. Although I cannot see it being of much use, the general matching function
6139 that is used to implement ^(n)wildlsearch^ means that the string may begin with
6140 a lookup name terminated by a semicolon, and followed by lookup data. For
6141 example:
6142
6143       cdb;/some/file  data for keys that match the file
6144
6145 The data that is obtained from the nested lookup is discarded.
6146 --
6147 +
6148 Keys that do not match any of these patterns are interpreted literally. The
6149 continuation rules for the data are the same as for ^lsearch^, and keys may
6150 be followed by optional colons.
6151 +
6152 *Warning*: Unlike most other single-key lookup types, a file of data for
6153 ^(n)wildlsearch^ can 'not' be turned into a DBM or cdb file, because those
6154 lookup types support only literal keys.
6155
6156
6157
6158 Query-style lookup types
6159 ~~~~~~~~~~~~~~~~~~~~~~~~
6160 cindex:[lookup,query-style types]
6161 cindex:[query-style lookup,list of types]
6162 The supported query-style lookup types are listed below. Further details about
6163 many of them are given in later sections.
6164
6165 - cindex:[DNS,as a lookup type]
6166 cindex:[lookup,DNS]
6167 ^dnsdb^: This does a DNS search for one or more records whose domain names are
6168 given in the supplied query. The resulting data is the contents of the records.
6169 See section <<SECTdnsdb>>.
6170
6171 - cindex:[Interbase lookup type]
6172 cindex:[lookup,Interbase]
6173 ^ibase^: This does a lookup in an Interbase database.
6174
6175 - cindex:[LDAP,lookup type]
6176 cindex:[lookup,LDAP]
6177 ^ldap^: This does an LDAP lookup using a query in the form of a URL, and
6178 returns attributes from a single entry. There is a variant called ^ldapm^
6179 that permits values from multiple entries to be returned. A third variant
6180 called ^ldapdn^ returns the Distinguished Name of a single entry instead of
6181 any attribute values. See section <<SECTldap>>.
6182
6183 - cindex:[MySQL,lookup type]
6184 cindex:[lookup,MySQL]
6185 ^mysql^: The format of the query is an SQL statement that is passed to a MySQL
6186 database. See section <<SECTsql>>.
6187
6188 - cindex:[NIS+ lookup type]
6189 cindex:[lookup,NIS+]
6190 ^nisplus^: This does a NIS+ lookup using a query that can specify the name of
6191 the field to be returned. See section <<SECTnisplus>>.
6192
6193 - cindex:[Oracle,lookup type]
6194 cindex:[lookup,Oracle]
6195 ^oracle^: The format of the query is an SQL statement that is passed to an
6196 Oracle database. See section <<SECTsql>>.
6197
6198 - cindex:[lookup,passwd]
6199 cindex:[passwd lookup type]
6200 cindex:[_/etc/passwd_]
6201 ^passwd^ is a query-style lookup with queries that are just user names. The
6202 lookup calls 'getpwnam()' to interrogate the system password data, and on
6203 success, the result string is the same as you would get from an ^lsearch^
6204 lookup on a traditional _/etc/passwd file_, though with `*` for the
6205 password value. For example:
6206
6207   *:42:42:King Rat:/home/kr:/bin/bash
6208
6209 - cindex:[PostgreSQL lookup type]
6210 cindex:[lookup,PostgreSQL]
6211 ^pgsql^: The format of the query is an SQL statement that is passed to a
6212 PostgreSQL database. See section <<SECTsql>>.
6213
6214 [revisionflag="changed"]
6215 - cindex:[sqlite lookup type]
6216 cindex:[lookup,sqlite]
6217 ^sqlite^: The format of the query is a file name followed by an SQL statement
6218 that is passed to an SQLite database. See section <<SECTsqlite>>.
6219
6220 - ^testdb^: This is a lookup type that is used for testing Exim. It is
6221 not likely to be useful in normal operation.
6222
6223 - cindex:[whoson lookup type]
6224 cindex:[lookup,whoson]
6225 ^whoson^: 'Whoson' (*http://whoson.sourceforge.net[]*) is a proposed
6226 Internet protocol that allows Internet server programs to check whether a
6227 particular (dynamically allocated) IP address is currently allocated to a known
6228 (trusted) user and, optionally, to obtain the identity of the said user. In
6229 Exim, this can be used to implement ``POP before SMTP'' checking using ACL
6230 statements such as
6231 +
6232 ....
6233 require condition = \
6234   ${lookup whoson {$sender_host_address}{yes}{no}}
6235 ....
6236 +
6237 The query consists of a single IP address. The value returned is the name of
6238 the authenticated user.
6239
6240
6241
6242 Temporary errors in lookups
6243 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
6244 cindex:[lookup,temporary error in]
6245 Lookup functions can return temporary error codes if the lookup cannot be
6246 completed. For example, an SQL or LDAP database might be unavailable. For this
6247 reason, it is not advisable to use a lookup that might do this for critical
6248 options such as a list of local domains.
6249
6250 When a lookup cannot be completed in a router or transport, delivery
6251 of the message (to the relevant address) is deferred, as for any other
6252 temporary error. In other circumstances Exim may assume the lookup has failed,
6253 or may give up altogether.
6254
6255
6256
6257 [[SECTdefaultvaluelookups]]
6258 Default values in single-key lookups
6259 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6260 cindex:[wildcard lookups]
6261 cindex:[lookup,default values]
6262 cindex:[lookup,wildcard]
6263 cindex:[lookup,\* added to type]
6264 cindex:[default,in single-key lookups]
6265 In this context, a ``default value'' is a value specified by the administrator
6266 that is to be used if a lookup fails.
6267
6268 If ``\*'' is added to a single-key lookup type (for example, %lsearch\*%) and
6269 the initial lookup fails, the key ``\*'' is looked up in the file to provide
6270 a default value. See also the section on partial matching below.
6271
6272 cindex:[\*@ with single-key lookup]
6273 cindex:[lookup,\*@ added to type]
6274 cindex:[alias file,per-domain default]
6275 Alternatively, if ``\*@'' is added to a single-key lookup type (for example
6276 \dbm\*\) then, if the initial lookup fails and the key contains an @
6277 character, a second lookup is done with everything before the last @ replaced
6278 by \*. This makes it possible to provide per-domain defaults in alias files
6279 that include the domains in the keys. If the second lookup fails (or doesn't
6280 take place because there is no @ in the key), ``\*'' is looked up.
6281 For example, a ^redirect^ router might contain:
6282
6283   data = ${lookup{$local_part@$domain}lsearch*@{/etc/mixed-aliases}}
6284
6285 Suppose the address that is being processed is 'jane@eyre.example'. Exim
6286 looks up these keys, in this order:
6287
6288   jane@eyre.example
6289   *@eyre.example
6290   *
6291
6292 The data is taken from whichever key it finds first. *Note*: in an
6293 ^lsearch^ file, this does not mean the first of these keys in the file. A
6294 complete scan is done for each key, and only if it is not found at all does
6295 Exim move on to try the next key.
6296
6297
6298
6299 [[SECTpartiallookup]]
6300 Partial matching in single-key lookups
6301 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6302 cindex:[partial matching]
6303 cindex:[wildcard lookups]
6304 cindex:[lookup,partial matching]
6305 cindex:[lookup,wildcard]
6306 cindex:[asterisk,in search type]
6307 The normal operation of a single-key lookup is to search the file for an exact
6308 match with the given key. However, in a number of situations where domains are
6309 being looked up, it is useful to be able to do partial matching. In this case,
6310 information in the file that has a key starting with ``\*.'' is matched by any
6311 domain that ends with the components that follow the full stop. For example, if
6312 a key in a DBM file is
6313
6314   *.dates.fict.example
6315
6316 then when partial matching is enabled this is matched by (amongst others)
6317 '2001.dates.fict.example' and '1984.dates.fict.example'. It is also matched
6318 by 'dates.fict.example', if that does not appear as a separate key in the
6319 file.
6320
6321 *Note*: Partial matching is not available for query-style lookups. It is
6322 also not available for any lookup items in address lists (see section
6323 <<SECTaddresslist>>).
6324
6325 Partial matching is implemented by doing a series of separate lookups using
6326 keys constructed by modifying the original subject key. This means that it can
6327 be used with any of the single-key lookup types, provided that
6328 partial matching keys
6329 beginning with a special prefix (default ``\*.'') are included in the data file.
6330 Keys in the file that do not begin with the prefix are matched only by
6331 unmodified subject keys when partial matching is in use.
6332
6333 Partial matching is requested by adding the string ``partial-'' to the front of
6334 the name of a single-key lookup type, for example, %partial-dbm%. When this is
6335 done, the subject key is first looked up unmodified; if that fails, ``\*.''
6336 is added at the start of the subject key, and it is looked up again. If that
6337 fails, further lookups are tried with dot-separated components removed
6338 from the start of the subject key, one-by-one, and ``\*.'' added on the front of
6339 what remains.
6340
6341 A minimum number of two non-\* components are required. This can be adjusted
6342 by including a number before the hyphen in the search type. For example,
6343 %partial3-lsearch% specifies a minimum of three non-\* components in the
6344 modified keys. Omitting the number is equivalent to ``partial2-''. If the subject
6345 key is '2250.dates.fict.example' then the following keys are looked up when
6346 the minimum number of non-\* components is two:
6347
6348   2250.dates.fict.example
6349   *.2250.dates.fict.example
6350   *.dates.fict.example
6351   *.fict.example
6352
6353 As soon as one key in the sequence is successfully looked up, the lookup
6354 finishes.
6355
6356 cindex:[lookup,partial matching -- changing prefix]
6357 cindex:[prefix,for partial matching]
6358 The use of ``\*.'' as the partial matching prefix is a default that can be
6359 changed. The motivation for this feature is to allow Exim to operate with file
6360 formats that are used by other MTAs. A different prefix can be supplied in
6361 parentheses instead of the hyphen after ``partial''. For example:
6362
6363   domains = partial(.)lsearch;/some/file
6364
6365 In this example, if the domain is 'a.b.c', the sequence of lookups is
6366 `a.b.c`, `.a.b.c`, and `.b.c` (the default minimum of 2 non-wild
6367 components is unchanged). The prefix may consist of any punctuation characters
6368 other than a closing parenthesis. It may be empty, for example:
6369
6370   domains = partial1()cdb;/some/file
6371
6372 For this example, if the domain is 'a.b.c', the sequence of lookups is
6373 `a.b.c`, `b.c`, and `c`.
6374
6375 If ``partial0'' is specified, what happens at the end (when the lookup with just
6376 one non-wild component has failed, and the original key is shortened right down
6377 to the null string) depends on the prefix:
6378
6379 - If the prefix has zero length, the whole lookup fails.
6380
6381 - If the prefix has length 1, a lookup for just the prefix is done. For
6382 example, the final lookup for ``partial0(.)'' is for `.` alone.
6383
6384 - Otherwise, if the prefix ends in a dot, the dot is removed, and the
6385 remainder is looked up. With the default prefix, therefore, the final lookup is
6386 for ``\*'' on its own.
6387
6388 - Otherwise, the whole prefix is looked up.
6389
6390
6391 If the search type ends in ``\*'' or ``\*@'' (see section
6392 <<SECTdefaultvaluelookups>> above), the search for an ultimate default that this
6393 implies happens after all partial lookups have failed. If ``partial0'' is
6394 specified, adding ``\*'' to the search type has no effect with the default
6395 prefix, because the ``\*'' key is already included in the sequence of partial
6396 lookups. However, there might be a use for lookup types such as
6397 ``partial0(.)lsearch\*''.
6398
6399 The use of ``\*'' in lookup partial matching differs from its use as a wildcard
6400 in domain lists and the like. Partial matching works only in terms of
6401 dot-separated components; a key such as `*fict.example`
6402 in a database file is useless, because the asterisk in a partial matching
6403 subject key is always followed by a dot.
6404
6405
6406
6407
6408 Lookup caching
6409 ~~~~~~~~~~~~~~
6410 cindex:[lookup,caching]
6411 cindex:[caching,lookup data]
6412 Exim caches all lookup results in order to avoid needless repetition of
6413 lookups. However, because (apart from the daemon) Exim operates as a collection
6414 of independent, short-lived processes, this caching applies only within a
6415 single Exim process. There is no inter-process caching facility.
6416
6417 For single-key lookups, Exim keeps the relevant files open in case there is
6418 another lookup that needs them. In some types of configuration this can lead to
6419 many files being kept open for messages with many recipients. To avoid hitting
6420 the operating system limit on the number of simultaneously open files, Exim
6421 closes the least recently used file when it needs to open more files than its
6422 own internal limit, which can be changed via the %lookup_open_max% option.
6423
6424 The single-key lookup files are closed and the lookup caches are flushed at
6425 strategic points during delivery -- for example, after all routing is complete.
6426
6427
6428
6429
6430 Quoting lookup data
6431 ~~~~~~~~~~~~~~~~~~~
6432 cindex:[lookup,quoting]
6433 cindex:[quoting,in lookups]
6434 When data from an incoming message is included in a query-style lookup, there
6435 is the possibility of special characters in the data messing up the syntax of
6436 the query. For example, a NIS+ query that contains
6437
6438   [name=$local_part]
6439
6440 will be broken if the local part happens to contain a closing square bracket.
6441 For NIS+, data can be enclosed in double quotes like this:
6442
6443   [name="$local_part"]
6444
6445 but this still leaves the problem of a double quote in the data. The rule for
6446 NIS+ is that double quotes must be doubled. Other lookup types have different
6447 rules, and to cope with the differing requirements, an expansion operator
6448 of the following form is provided:
6449
6450   \$\{quote_<lookup-type>:<string>\}
6451
6452 For example, the safest way to write the NIS+ query is
6453
6454   [name="${quote_nisplus:$local_part}"]
6455
6456 See chapter <<CHAPexpand>> for full coverage of string expansions. The quote
6457 operator can be used for all lookup types, but has no effect for single-key
6458 lookups, since no quoting is ever needed in their key strings.
6459
6460
6461
6462
6463 [[SECTdnsdb]]
6464 More about dnsdb
6465 ~~~~~~~~~~~~~~~~
6466 cindex:[dnsdb lookup]
6467 cindex:[lookup,dnsdb]
6468 cindex:[DNS,as a lookup type]
6469 The ^dnsdb^ lookup type uses the DNS as its database. A simple query consists
6470 of a record type and a domain name, separated by an equals sign. For example,
6471 an expansion string could contain:
6472
6473   ${lookup dnsdb{mx=a.b.example}{$value}fail}
6474
6475 The supported DNS record types are A, CNAME, MX, NS, PTR, SRV, and TXT, and,
6476 when Exim is compiled with IPv6 support, AAAA (and A6 if that is also
6477 configured). If no type is given, TXT is assumed. When the type is PTR,
6478 the data can be an IP address, written as normal; inversion and the addition of
6479 %in-addr.arpa% or %ip6.arpa% happens automatically. For example:
6480
6481   ${lookup dnsdb{ptr=192.168.4.5}{$value}fail}
6482
6483 If the data for a PTR record is not a syntactically valid IP address, it is not
6484 altered and nothing is added.
6485
6486 cindex:[MX record,in ^dnsdb^ lookup]
6487 cindex:[SRV record,in ^dnsdb^ lookup]
6488 For an MX lookup, both the preference value and the host name are returned for
6489 each record, separated by a space. For an SRV lookup, the priority, weight,
6490 port, and host name are returned for each record, separated by spaces.
6491
6492 For any record type, if multiple records are found (or, for A6 lookups, if a
6493 single record leads to multiple addresses), the data is returned as a
6494 concatenation, with newline as the default separator. The order, of course,
6495 depends on the DNS resolver. You can specify a different separator character
6496 between multiple records by putting a right angle-bracket followed immediately
6497 by the new separator at the start of the query. For example:
6498
6499   ${lookup dnsdb{>: a=host1.example}}
6500
6501 It is permitted to specify a space as the separator character. Further
6502 white space is ignored.
6503
6504 Pseudo dnsdb record types
6505 ~~~~~~~~~~~~~~~~~~~~~~~~~
6506 cindex:[MX record,in ^dnsdb^ lookup]
6507 By default, both the preference value and the host name are returned for
6508 each MX record, separated by a space. If you want only host names, you can use
6509 the pseudo-type MXH:
6510
6511   ${lookup dnsdb{mxh=a.b.example}}
6512
6513 In this case, the preference values are omitted, and just the host names are
6514 returned.
6515
6516 cindex:[name server,for enclosing domain]
6517 Another pseudo-type is ZNS (for ``zone NS''). It performs a lookup for NS
6518 records on the given domain, but if none are found, it removes the first
6519 component of the domain name, and tries again. This process continues until NS
6520 records are found or there are no more components left (or there is a DNS
6521 error). In other words, it may return the name servers for a top-level domain,
6522 but it never returns the root name servers. If there are no NS records for the
6523 top-level domain, the lookup fails. Consider these examples:
6524
6525   ${lookup dnsdb{zns=xxx.quercite.com}}
6526   ${lookup dnsdb{zns=xxx.edu}}
6527
6528 Assuming that in each case there are no NS records for the full domain name,
6529 the first returns the name servers for %quercite.com%, and the second returns
6530 the name servers for %edu%.
6531
6532 You should be careful about how you use this lookup because, unless the
6533 top-level domain does not exist, the lookup always returns some host names. The
6534 sort of use to which this might be put is for seeing if the name servers for a
6535 given domain are on a blacklist. You can probably assume that the name servers
6536 for the high-level domains such as %com% or %co.uk% are not going to be on such
6537 a list.
6538
6539 [revisionflag="changed"]
6540 cindex:[CSA,in ^dnsdb^ lookup]
6541 A third pseudo-type is CSA (Client SMTP Authorization), which looks up SRV
6542 records according to the CSA rules, which are described in section
6543 <<SECTverifyCSA>>. Although ^dnsdb^ supports SRV lookups directly, this is not
6544 sufficient because of the extra parent domain search behaviour of CSA. The
6545 result of a successful lookup such as:
6546
6547 [revisionflag="changed"]
6548 ....
6549 ${lookup dnsdb {csa=$sender_helo_name}}
6550 ....
6551
6552 [revisionflag="changed"]
6553 has two space-separated fields: an authorization code and a target host name.
6554 The authorization code can be ``Y'' for yes, ``N'' for no, ``X'' for explicit
6555 authorization required but absent, or ``?'' for unknown.
6556
6557
6558
6559 Multiple dnsdb lookups
6560 ~~~~~~~~~~~~~~~~~~~~~~
6561 In the previous sections, ^dnsdb^ lookups for a single domain are described.
6562 However, you can specify a list of domains or IP addresses in a single
6563 ^dnsdb^ lookup. The list is specified in the normal Exim way, with colon as
6564 the default separator, but with the ability to change this. For example:
6565
6566   ${lookup dnsdb{one.domain.com:two.domain.com}}
6567   ${lookup dnsdb{a=one.host.com:two.host.com}}
6568   ${lookup dnsdb{ptr = <; 1.2.3.4 ; 4.5.6.8}}
6569
6570 In order to retain backwards compatibility, there is one special case: if
6571 the lookup type is PTR and no change of separator is specified, Exim looks
6572 to see if the rest of the string is precisely one IPv6 address. In this
6573 case, it does not treat it as a list.
6574
6575 The data from each lookup is concatenated, with newline separators by default,
6576 in the same way that multiple DNS records for a single item are handled. A
6577 different separator can be specified, as described above.
6578
6579 The ^dnsdb^ lookup fails only if all the DNS lookups fail. If there is a
6580 temporary DNS error for any of them, the behaviour is controlled by
6581 an optional keyword followed by a comma that may appear before the record
6582 type. The possible keywords are ``defer_strict'', ``defer_never'', and
6583 ``defer_lax''. With ``strict'' behaviour, any temporary DNS error causes the
6584 whole lookup to defer. With ``never'' behaviour, a temporary DNS error is
6585 ignored, and the behaviour is as if the DNS lookup failed to find anything.
6586 With ``lax'' behaviour, all the queries are attempted, but a temporary DNS
6587 error causes the whole lookup to defer only if none of the other lookups
6588 succeed. The default is ``lax'', so the following lookups are equivalent:
6589
6590   ${lookup dnsdb{defer_lax,a=one.host.com:two.host.com}}
6591   ${lookup dnsdb{a=one.host.com:two.host.com}}
6592
6593 Thus, in the default case, as long as at least one of the DNS lookups
6594 yields some data, the lookup succeeds.
6595
6596
6597
6598
6599 [[SECTldap]]
6600 More about LDAP
6601 ~~~~~~~~~~~~~~~
6602 cindex:[LDAP lookup]
6603 cindex:[lookup,LDAP]
6604 cindex:[Solaris,LDAP]
6605 The original LDAP implementation came from the University of Michigan; this has
6606 become ``Open LDAP'', and there are now two different releases. Another
6607 implementation comes from Netscape, and Solaris 7 and subsequent releases
6608 contain inbuilt LDAP support. Unfortunately, though these are all compatible at
6609 the lookup function level, their error handling is different. For this reason
6610 it is necessary to set a compile-time variable when building Exim with LDAP, to
6611 indicate which LDAP library is in use. One of the following should appear in
6612 your _Local/Makefile_:
6613
6614   LDAP_LIB_TYPE=UMICHIGAN
6615   LDAP_LIB_TYPE=OPENLDAP1
6616   LDAP_LIB_TYPE=OPENLDAP2
6617   LDAP_LIB_TYPE=NETSCAPE
6618   LDAP_LIB_TYPE=SOLARIS
6619
6620 If LDAP_LIB_TYPE is not set, Exim assumes `OPENLDAP1`, which has the
6621 same interface as the University of Michigan version.
6622
6623 There are three LDAP lookup types in Exim. These behave slightly differently in
6624 the way they handle the results of a query:
6625
6626 - ^ldap^ requires the result to contain just one entry; if there are more, it
6627 gives an error.
6628
6629 - ^ldapdn^ also requires the result to contain just one entry, but it is the
6630 Distinguished Name that is returned rather than any attribute values.
6631
6632 - ^ldapm^ permits the result to contain more than one entry; the attributes from
6633 all of them are returned.
6634
6635
6636 For ^ldap^ and ^ldapm^, if a query finds only entries with no attributes,
6637 Exim behaves as if the entry did not exist, and the lookup fails. The format of
6638 the data returned by a successful lookup is described in the next section.
6639 First we explain how LDAP queries are coded.
6640
6641
6642 [[SECTforldaque]]
6643 Format of LDAP queries
6644 ~~~~~~~~~~~~~~~~~~~~~~
6645 cindex:[LDAP,query format]
6646 An LDAP query takes the form of a URL as defined in RFC 2255. For example, in
6647 the configuration of a ^redirect^ router one might have this setting:
6648
6649 ....
6650 data = ${lookup ldap \
6651   {ldap:///cn=$local_part,o=University%20of%20Cambridge,\
6652   c=UK?mailbox?base?}}
6653 ....
6654
6655 cindex:[LDAP,with TLS]
6656 The URL may begin with `ldap` or `ldaps` if your LDAP library supports
6657 secure (encrypted) LDAP connections. The second of these ensures that an
6658 encrypted TLS connection is used.
6659
6660
6661 LDAP quoting
6662 ~~~~~~~~~~~~
6663 cindex:[LDAP,quoting]
6664 Two levels of quoting are required in LDAP queries, the first for LDAP itself
6665 and the second because the LDAP query is represented as a URL. Furthermore,
6666 within an LDAP query, two different kinds of quoting are required. For this
6667 reason, there are two different LDAP-specific quoting operators.
6668
6669 The %quote_ldap% operator is designed for use on strings that are part of
6670 filter specifications. Conceptually, it first does the following conversions on
6671 the string:
6672
6673 ....
6674 *   =>   \2A
6675 (   =>   \28
6676 )   =>   \29
6677 \   =>   \5C
6678 ....
6679
6680 in accordance with RFC 2254. The resulting string is then quoted according
6681 to the rules for URLs, that is, all characters except
6682
6683   ! $ ' - . _ ( ) * +
6684
6685 are converted to their hex values, preceded by a percent sign. For example:
6686
6687   ${quote_ldap: a(bc)*, a<yz>; }
6688
6689 yields
6690
6691   %20a%5C28bc%5C29%5C2A%2C%20a%3Cyz%3E%3B%20
6692
6693 Removing the URL quoting, this is (with a leading and a trailing space):
6694
6695   a\28bc\29\2A, a<yz>;
6696
6697
6698 The %quote_ldap_dn% operator is designed for use on strings that are part of
6699 base DN specifications in queries. Conceptually, it first converts the string
6700 by inserting a backslash in front of any of the following characters:
6701
6702   , + " \ < > ;
6703
6704 It also inserts a backslash before any leading spaces or # characters, and
6705 before any trailing spaces. (These rules are in RFC 2253.) The resulting string
6706 is then quoted according to the rules for URLs. For example:
6707
6708   ${quote_ldap_dn: a(bc)*, a<yz>; }
6709
6710 yields
6711
6712   %5C%20a(bc)*%5C%2C%20a%5C%3Cyz%5C%3E%5C%3B%5C%20
6713
6714 Removing the URL quoting, this is (with a trailing space):
6715
6716 ....
6717 \ a(bc)*\, a\<yz\>\;\
6718 ....
6719
6720 There are some further comments about quoting in the section on LDAP
6721 authentication below.
6722
6723
6724 LDAP connections
6725 ~~~~~~~~~~~~~~~~
6726 cindex:[LDAP,connections]
6727 The connection to an LDAP server may either be over TCP/IP, or, when OpenLDAP
6728 is in use, via a Unix domain socket. The example given above does not specify
6729 an LDAP server. A server that is reached by TCP/IP can be specified in a query
6730 by starting it with
6731
6732   ldap://<hostname>:<port>/...
6733
6734 If the port (and preceding colon) are omitted, the standard LDAP port (389) is
6735 used. When no server is specified in a query, a list of default servers is
6736 taken from the %ldap_default_servers% configuration option. This supplies a
6737 colon-separated list of servers which are tried in turn until one successfully
6738 handles a query, or there is a serious error. Successful handling either
6739 returns the requested data, or indicates that it does not exist. Serious errors
6740 are syntactical, or multiple values when only a single value is expected.
6741 Errors which cause the next server to be tried are connection failures, bind
6742 failures, and timeouts.
6743
6744 For each server name in the list, a port number can be given. The standard way
6745 of specifing a host and port is to use a colon separator (RFC 1738). Because
6746 %ldap_default_servers% is a colon-separated list, such colons have to be
6747 doubled. For example
6748
6749   ldap_default_servers = ldap1.example.com::145:ldap2.example.com
6750
6751 If %ldap_default_servers% is unset, a URL with no server name is passed
6752 to the LDAP library with no server name, and the library's default (normally
6753 the local host) is used.
6754
6755 If you are using the OpenLDAP library, you can connect to an LDAP server using
6756 a Unix domain socket instead of a TCP/IP connection. This is specified by using
6757 `ldapi` instead of `ldap` in LDAP queries. What follows here applies only
6758 to OpenLDAP. If Exim is compiled with a different LDAP library, this feature is
6759 not available.
6760
6761 For this type of connection, instead of a host name for the server, a pathname
6762 for the socket is required, and the port number is not relevant. The pathname
6763 can be specified either as an item in %ldap_default_servers%, or inline in
6764 the query. In the former case, you can have settings such as
6765
6766   ldap_default_servers = /tmp/ldap.sock : backup.ldap.your.domain
6767
6768 When the pathname is given in the query, you have to escape the slashes as
6769 `%2F` to fit in with the LDAP URL syntax. For example:
6770
6771   ${lookup ldap {ldapi://%2Ftmp%2Fldap.sock/o=...
6772
6773 When Exim processes an LDAP lookup and finds that the ``hostname'' is really
6774 a pathname, it uses the Unix domain socket code, even if the query actually
6775 specifies `ldap` or `ldaps`. In particular, no encryption is used for a
6776 socket connection. This behaviour means that you can use a setting of
6777 %ldap_default_servers% such as in the example above with traditional `ldap`
6778 or `ldaps` queries, and it will work. First, Exim tries a connection via
6779 the Unix domain socket; if that fails, it tries a TCP/IP connection to the
6780 backup host.
6781
6782 If an explicit `ldapi` type is given in a query when a host name is
6783 specified, an error is diagnosed. However, if there are more items in
6784 %ldap_default_servers%, they are tried. In other words:
6785
6786 - Using a pathname with `ldap` or `ldaps` forces the use of the Unix domain
6787 interface.
6788
6789 - Using `ldapi` with a host name causes an error.
6790
6791
6792 Using `ldapi` with no host or path in the query, and no setting of
6793 %ldap_default_servers%, does whatever the library does by default.
6794
6795
6796
6797 LDAP authentication and control information
6798 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6799 cindex:[LDAP,authentication]
6800 The LDAP URL syntax provides no way of passing authentication and other control
6801 information to the server. To make this possible, the URL in an LDAP query may
6802 be preceded by any number of ``<''name'>=<'value'>' settings, separated by
6803 spaces. If a value contains spaces it must be enclosed in double quotes, and
6804 when double quotes are used, backslash is interpreted in the usual way inside
6805 them. The following names are recognized:
6806
6807 &&&
6808 `DEREFERENCE`  set the dereferencing parameter
6809 `NETTIME    `  set a timeout for a network operation
6810 `USER       `  set the DN, for authenticating the LDAP bind
6811 `PASS       `  set the password, likewise
6812 `SIZE       `  set the limit for the number of entries returned
6813 `TIME       `  set the maximum waiting time for a query
6814 &&&
6815
6816 The value of the DEREFERENCE parameter must be one of the words ``never'',
6817 ``searching'', ``finding'', or ``always''.
6818
6819 The name CONNECT is an obsolete name for NETTIME, retained for
6820 backwards compatibility. This timeout (specified as a number of seconds) is
6821 enforced from the client end for operations that can be carried out over a
6822 network. Specifically, it applies to network connections and calls to the
6823 'ldap_result()' function. If the value is greater than zero, it is used if
6824 LDAP_OPT_NETWORK_TIMEOUT is defined in the LDAP headers (OpenLDAP), or
6825 if LDAP_X_OPT_CONNECT_TIMEOUT is defined in the LDAP headers (Netscape
6826 SDK 4.1). A value of zero forces an explicit setting of ``no timeout'' for
6827 Netscape SDK; for OpenLDAP no action is taken.
6828
6829 The TIME parameter (also a number of seconds) is passed to the server to
6830 set a server-side limit on the time taken to complete a search.
6831
6832
6833 Here is an example of an LDAP query in an Exim lookup that uses some of these
6834 values. This is a single line, folded for ease of reading:
6835
6836   ${lookup ldap
6837     {user="cn=manager,o=University of Cambridge,c=UK" pass=secret
6838     ldap:///o=University%20of%20Cambridge,c=UK?sn?sub?(cn=foo)}
6839     {$value}fail}
6840
6841 The encoding of spaces as {pc}20 is a URL thing which should not be done for any
6842 of the auxiliary data. Exim configuration settings that include lookups which
6843 contain password information should be preceded by ``hide'' to prevent non-admin
6844 users from using the %-bP% option to see their values.
6845
6846 The auxiliary data items may be given in any order. The default is no
6847 connection timeout (the system timeout is used), no user or password, no limit
6848 on the number of entries returned, and no time limit on queries.
6849
6850 When a DN is quoted in the USER= setting for LDAP authentication, Exim
6851 removes any URL quoting that it may contain before passing it LDAP. Apparently
6852 some libraries do this for themselves, but some do not. Removing the URL
6853 quoting has two advantages:
6854
6855 - It makes it possible to use the same %quote_ldap_dn% expansion for USER=
6856 DNs as with DNs inside actual queries.
6857
6858 - It permits spaces inside USER= DNs.
6859
6860 For example, a setting such as
6861
6862   USER=cn=${quote_ldap_dn:$1}
6863
6864 should work even if $1$ contains spaces.
6865
6866 Expanded data for the PASS= value should be quoted using the %quote%
6867 expansion operator, rather than the LDAP quote operators. The only reason this
6868 field needs quoting is to ensure that it conforms to the Exim syntax, which
6869 does not allow unquoted spaces. For example:
6870
6871   PASS=${quote:$3}
6872
6873
6874 The LDAP authentication mechanism can be used to check passwords as part of
6875 SMTP authentication. See the %ldapauth% expansion string condition in chapter
6876 <<CHAPexpand>>.
6877
6878
6879
6880 Format of data returned by LDAP
6881 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6882 cindex:[LDAP,returned data formats]
6883 The ^ldapdn^ lookup type returns the Distinguished Name from a single entry as
6884 a sequence of values, for example
6885
6886   cn=manager, o=University of Cambridge, c=UK
6887
6888
6889 The ^ldap^ lookup type generates an error if more than one entry matches the
6890 search filter, whereas ^ldapm^ permits this case, and inserts a newline in
6891 the result between the data from different entries. It is possible for multiple
6892 values to be returned for both ^ldap^ and ^ldapm^, but in the former case
6893 you know that whatever values are returned all came from a single entry in the
6894 directory.
6895
6896 In the common case where you specify a single attribute in your LDAP query, the
6897 result is not quoted, and does not contain the attribute name. If the attribute
6898 has multiple values, they are separated by commas.
6899
6900 If you specify multiple attributes, the result contains space-separated, quoted
6901 strings, each preceded by the attribute name and an equals sign. Within the
6902 quotes, the quote character, backslash, and newline are escaped with
6903 backslashes, and commas are used to separate multiple values for the attribute.
6904 Apart from the escaping, the string within quotes takes the same form as the
6905 output when a single attribute is requested. Specifying no attributes is the
6906 same as specifying all of an entry's attributes.
6907
6908 Here are some examples of the output format. The first line of each pair is an
6909 LDAP query, and the second is the data that is returned. The attribute called
6910 %attr1% has two values, whereas %attr2% has only one value:
6911
6912   ldap:///o=base?attr1?sub?(uid=fred)
6913   value1.1, value1.2
6914
6915   ldap:///o=base?attr2?sub?(uid=fred)
6916   value two
6917
6918   ldap:///o=base?attr1,attr2?sub?(uid=fred)
6919   attr1="value1.1, value1.2" attr2="value two"
6920
6921   ldap:///o=base??sub?(uid=fred)
6922   objectClass="top" attr1="value1.1, value1.2" attr2="value two"
6923
6924 The %extract% operator in string expansions can be used to pick out individual
6925 fields from data that consists of 'key'='value' pairs. You can make use
6926 of Exim's %-be% option to run expansion tests and thereby check the results of
6927 LDAP lookups.
6928
6929
6930
6931
6932 [[SECTnisplus]]
6933 More about NIS+
6934 ~~~~~~~~~~~~~~~
6935 cindex:[NIS+ lookup type]
6936 cindex:[lookup,NIS+]
6937 NIS+ queries consist of a NIS+ 'indexed name' followed by an optional colon
6938 and field name. If this is given, the result of a successful query is the
6939 contents of the named field; otherwise the result consists of a concatenation
6940 of 'field-name=field-value' pairs, separated by spaces. Empty values and
6941 values containing spaces are quoted. For example, the query
6942
6943   [name=mg1456],passwd.org_dir
6944
6945 might return the string
6946
6947   name=mg1456 passwd="" uid=999 gid=999 gcos="Martin Guerre"
6948   home=/home/mg1456 shell=/bin/bash shadow=""
6949
6950 (split over two lines here to fit on the page), whereas
6951
6952   [name=mg1456],passwd.org_dir:gcos
6953
6954 would just return
6955
6956   Martin Guerre
6957
6958 with no quotes. A NIS+ lookup fails if NIS+ returns more than one table entry
6959 for the given indexed key. The effect of the %quote_nisplus% expansion
6960 operator is to double any quote characters within the text.
6961
6962
6963
6964 [[SECTsql]]
6965 SQL lookups
6966 ~~~~~~~~~~~
6967 [revisionflag="changed"]
6968 cindex:[SQL lookup types]
6969 Exim can support lookups in Interbase, MySQL, Oracle, PostgreSQL, and SQLite
6970 databases. Queries for these databases contain SQL statements, so an example
6971 might be
6972
6973 ....
6974 ${lookup mysql{select mailbox from users where id='userx'}\
6975   {$value}fail}
6976 ....
6977
6978 If the result of the query contains more than one field, the data for each
6979 field in the row is returned, preceded by its name, so the result of
6980
6981 ....
6982 ${lookup pgsql{select home,name from users where id='userx'}\
6983   {$value}}
6984 ....
6985
6986 might be
6987
6988   home=/home/userx name="Mister X"
6989
6990 Empty values and values containing spaces are double quoted, with embedded
6991 quotes escaped by a backslash. If the result of the query contains just one
6992 field, the value is passed back verbatim, without a field name, for example:
6993
6994   Mister X
6995
6996 If the result of the query yields more than one row, it is all concatenated,
6997 with a newline between the data for each row.
6998
6999
7000 More about MySQL, PostgreSQL, Oracle, and Interbase
7001 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7002 cindex:[MySQL,lookup type]
7003 cindex:[PostgreSQL lookup type]
7004 cindex:[lookup,MySQL]
7005 cindex:[lookup,PostgreSQL]
7006 cindex:[Oracle,lookup type]
7007 cindex:[lookup,Oracle]
7008 cindex:[Interbase lookup type]
7009 cindex:[lookup,Interbase]
7010 If any MySQL, PostgreSQL, Oracle, or Interbase lookups are used, the
7011 %mysql_servers%, %pgsql_servers%, %oracle_servers%, or %ibase_servers% option
7012 (as appropriate) must be set to a colon-separated list of server information.
7013 Each item in the list is a slash-separated list of four items: host name,
7014 database name, user name, and password. In the case of Oracle, the host name
7015 field is used for the ``service name'', and the database name field is not used
7016 and should be empty. For example:
7017
7018   hide oracle_servers = oracle.plc.example//userx/abcdwxyz
7019
7020 Because password data is sensitive, you should always precede the setting with
7021 ``hide'', to prevent non-admin users from obtaining the setting via the %-bP%
7022 option. Here is an example where two MySQL servers are listed:
7023
7024 ....
7025 hide mysql_servers = localhost/users/root/secret:\
7026                      otherhost/users/root/othersecret
7027 ....
7028
7029 For MySQL and PostgreSQL, a host may be specified as <'name'>:<'port'> but
7030 because this is a colon-separated list, the colon has to be doubled. For each
7031 query, these parameter groups are tried in order until a connection and a query
7032 succeeds.
7033
7034 The %quote_mysql%, %quote_pgsql%, and %quote_oracle% expansion operators
7035 convert newline, tab, carriage return, and backspace to \n, \t, \r, and \b
7036 respectively, and the characters single-quote, double-quote, and backslash
7037 itself are escaped with backslashes. The %quote_pgsql% expansion operator, in
7038 addition, escapes the percent and underscore characters. This cannot be done
7039 for MySQL because these escapes are not recognized in contexts where these
7040 characters are not special.
7041
7042
7043 Special MySQL features
7044 ~~~~~~~~~~~~~~~~~~~~~~
7045 For MySQL, an empty host name or the use of ``localhost'' in %mysql_servers%
7046 causes a connection to the server on the local host by means of a Unix domain
7047 socket. An alternate socket can be specified in parentheses. The full syntax of
7048 each item in %mysql_servers% is:
7049
7050 &&&
7051 <'hostname'>::<'port'>(<'socket name'>)/<'database'>/<'user'>/<'password'>
7052 &&&
7053
7054 Any of the three sub-parts of the first field can be omitted. For normal use on
7055 the local host it can be left blank or set to just ``localhost''.
7056
7057 No database need be supplied -- but if it is absent here, it must be given in
7058 the queries.
7059
7060 If a MySQL query is issued that does not request any data (an insert, update,
7061 or delete command), the result of the lookup is the number of rows affected.
7062
7063 *Warning*: this can be misleading. If an update does not actually change
7064 anything (for example, setting a field to the value it already has), the result
7065 is zero because no rows are affected.
7066
7067
7068 Special PostgreSQL features
7069 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
7070 PostgreSQL lookups can also use Unix domain socket connections to the database.
7071 This is usually faster and costs less CPU time than a TCP/IP connection.
7072 However it can be used only if the mail server runs on the same machine as the
7073 database server. A configuration line for PostgreSQL via Unix domain sockets
7074 looks like this:
7075
7076   hide pgsql_servers = (/tmp/.s.PGSQL.5432)/db/user/password : ...
7077
7078 In other words, instead of supplying a host name, a path to the socket is
7079 given. The path name is enclosed in parentheses so that its slashes aren't
7080 visually confused with the delimiters for the other server parameters.
7081
7082 If a PostgreSQL query is issued that does not request any data (an insert,
7083 update, or delete command), the result of the lookup is the number of rows
7084 affected.
7085
7086 [[SECTsqlite]]
7087 More about SQLite
7088 ~~~~~~~~~~~~~~~~~
7089 [revisionflag="changed"]
7090 cindex:[lookup,SQLite]
7091 cindex:[SQLite lookup type]
7092 SQLite is different to the other SQL lookups because a file name is required in
7093 addition to the SQL query. An SQLite database is a single file, and there is no
7094 daemon as in the other SQL databases. The interface to Exim requires the name
7095 of the file, as an absolute path, to be given at the start of the query. It is
7096 separated from the query by white space. This means that the path name cannot
7097 contain white space. Here is a lookup expansion example:
7098
7099 ....
7100 ${lookup sqlite {/some/thing/sqlitedb \
7101   select name from aliases where id='userx';}}
7102 ....
7103
7104 [revisionflag="changed"]
7105 In a list, the syntax is similar. For example:
7106
7107 ....
7108 domainlist relay_domains = sqlite;/some/thing/sqlitedb \
7109    select * from relays where ip='$sender_host_address';
7110 ....
7111
7112 [revisionflag="changed"]
7113 The only character affected by the %quote_sqlite% operator is a single
7114 quote, which it doubles.
7115
7116 [revisionflag="changed"]
7117 The SQLite library handles multiple simultaneous accesses to the database
7118 internally. Multiple readers are permitted, but only one process can
7119 update at once. Attempts to access the database while it is being updated
7120 are rejected after a timeout period, during which the SQLite library
7121 waits for the lock to be released. In Exim, the default timeout is set
7122 to 5 seconds, but it can be changed by means of the %sqlite_lock_timeout%
7123 option.
7124
7125
7126
7127 ////////////////////////////////////////////////////////////////////////////
7128 ////////////////////////////////////////////////////////////////////////////
7129
7130 [[CHAPdomhosaddlists]]
7131 [titleabbrev="Domain, host, and address lists"]
7132 Domain, host, address, and local part lists
7133 -------------------------------------------
7134 cindex:[list of domains; hosts; etc.]
7135 A number of Exim configuration options contain lists of domains, hosts,
7136 email addresses, or local parts. For example, the %hold_domains% option
7137 contains a list of domains whose delivery is currently suspended. These lists
7138 are also used as data in ACL statements (see chapter <<CHAPACL>>), and as
7139 arguments to expansion conditions such as %match_domain%.
7140
7141 Each item in one of these lists is a pattern to be matched against a domain,
7142 host, email address, or local part, respectively. In the sections below, the
7143 different types of pattern for each case are described, but first we cover some
7144 general facilities that apply to all four kinds of list.
7145
7146
7147
7148 Expansion of lists
7149 ~~~~~~~~~~~~~~~~~~
7150 cindex:[expansion,of lists]
7151 Each list is expanded as a single string before it is used. The result of
7152 expansion must be a list, possibly containing empty items, which is split up
7153 into separate items for matching. By default, colon is the separator character,
7154 but this can be varied if necessary. See sections <<SECTlistconstruct>> and
7155 <<SECTempitelis>> for details of the list syntax; the second of these discusses
7156 the way to specify empty list items.
7157
7158
7159 If the string expansion is forced to fail, Exim behaves as if the item it is
7160 testing (domain, host, address, or local part) is not in the list. Other
7161 expansion failures cause temporary errors.
7162
7163 If an item in a list is a regular expression, backslashes, dollars and possibly
7164 other special characters in the expression must be protected against
7165 misinterpretation by the string expander. The easiest way to do this is to use
7166 the `\N` expansion feature to indicate that the contents of the regular
7167 expression should not be expanded. For example, in an ACL you might have:
7168
7169 ....
7170 deny senders = \N^\d{8}\w@.*\.baddomain\.example$\N : \
7171                ${lookup{$domain}lsearch{/badsenders/bydomain}}
7172 ....
7173
7174 The first item is a regular expression that is protected from expansion by
7175 `\N`, whereas the second uses the expansion to obtain a list of unwanted
7176 senders based on the receiving domain.
7177
7178
7179
7180
7181 Negated items in lists
7182 ~~~~~~~~~~~~~~~~~~~~~~
7183 cindex:[list,negation]
7184 cindex:[negation in lists]
7185 Items in a list may be positive or negative. Negative items are indicated by a
7186 leading exclamation mark, which may be followed by optional white space. A list
7187 defines a set of items (domains, etc). When Exim processes one of these lists,
7188 it is trying to find out whether a domain, host, address, or local part
7189 (respectively) is in the set that is defined by the list. It works like this:
7190
7191 The list is scanned from left to right. If a positive item is matched, the
7192 subject that is being checked is in the set; if a negative item is matched, the
7193 subject is not in the set. If the end of the list is reached without the
7194 subject having matched any of the patterns, it is in the set if the last item
7195 was a negative one, but not if it was a positive one. For example, the list in
7196
7197   domainlist relay_domains = !a.b.c : *.b.c
7198
7199 matches any domain ending in '.b.c' except for 'a.b.c'. Domains that match
7200 neither 'a.b.c' nor '*.b.c' do not match, because the last item in the
7201 list is positive. However, if the setting were
7202
7203   domainlist relay_domains = !a.b.c
7204
7205 then all domains other than 'a.b.c' would match because the last item in the
7206 list is negative. In other words, a list that ends with a negative item behaves
7207 as if it had an extra item `:*` on the end.
7208
7209 Another way of thinking about positive and negative items in lists is to read
7210 the connector as ``or'' after a positive item and as ``and'' after a negative
7211 item.
7212
7213
7214
7215 [[SECTfilnamlis]]
7216 File names in lists
7217 ~~~~~~~~~~~~~~~~~~~
7218 cindex:[list,file name in]
7219 If an item in a domain, host, address, or local part list is an absolute file
7220 name (beginning with a slash character), each line of the file is read and
7221 processed as if it were an independent item in the list, except that further
7222 file names are not allowed,
7223 and no expansion of the data from the file takes place.
7224 Empty lines in the file are ignored, and the file may also contain comment
7225 lines:
7226
7227 - For domain and host lists, if a # character appears anywhere in a line of the
7228 file, it and all following characters are ignored.
7229
7230 - Because local parts may legitimately contain # characters, a comment in an
7231 address list or local part list file is recognized only if # is preceded by
7232 white space or the start of the line. For example:
7233
7234   not#comment@x.y.z   # but this is a comment
7235
7236 Putting a file name in a list has the same effect as inserting each line of the
7237 file as an item in the list (blank lines and comments excepted). However, there
7238 is one important difference: the file is read each time the list is processed,
7239 so if its contents vary over time, Exim's behaviour changes.
7240
7241 If a file name is preceded by an exclamation mark, the sense of any match
7242 within the file is inverted. For example, if
7243
7244   hold_domains = !/etc/nohold-domains
7245
7246 and the file contains the lines
7247
7248   !a.b.c
7249   *.b.c
7250
7251 then 'a.b.c' is in the set of domains defined by %hold_domains%, whereas any
7252 domain matching `*.b.c` is not.
7253
7254
7255
7256 An lsearch file is not an out-of-line list
7257 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7258 As will be described in the sections that follow, lookups can be used in lists
7259 to provide indexed methods of checking list membership. There has been some
7260 confusion about the way ^lsearch^ lookups work in lists. Because
7261 an ^lsearch^ file contains plain text and is scanned sequentially, it is
7262 sometimes thought that it is allowed to contain wild cards and other kinds of
7263 non-constant pattern. This is not the case. The keys in an ^lsearch^ file are
7264 always fixed strings, just as for any other single-key lookup type.
7265
7266 If you want to use a file to contain wild-card patterns that form part of a
7267 list, just give the file name on its own, without a search type, as described
7268 in the previous section.
7269
7270
7271
7272
7273 [[SECTnamedlists]]
7274 Named lists
7275 ~~~~~~~~~~~
7276 cindex:[named lists]
7277 cindex:[list,named]
7278 A list of domains, hosts, email addresses, or local parts can be given a name
7279 which is then used to refer to the list elsewhere in the configuration. This is
7280 particularly convenient if the same list is required in several different
7281 places. It also allows lists to be given meaningful names, which can improve
7282 the readability of the configuration. For example, it is conventional to define
7283 a domain list called 'local_domains' for all the domains that are handled
7284 locally on a host, using a configuration line such as
7285
7286   domainlist local_domains = localhost:my.dom.example
7287
7288 Named lists are referenced by giving their name preceded by a plus sign, so,
7289 for example, a router that is intended to handle local domains would be
7290 configured with the line
7291
7292   domains = +local_domains
7293
7294 The first router in a configuration is often one that handles all domains
7295 except the local ones, using a configuration with a negated item like this:
7296
7297   dnslookup:
7298     driver = dnslookup
7299     domains = ! +local_domains
7300     transport = remote_smtp
7301     no_more
7302
7303 The four kinds of named list are created by configuration lines starting with
7304 the words %domainlist%, %hostlist%, %addresslist%, or %localpartlist%,
7305 respectively. Then there follows the name that you are defining, followed by an
7306 equals sign and the list itself. For example:
7307
7308   hostlist    relay_hosts = 192.168.23.0/24 : my.friend.example
7309   addresslist bad_senders = cdb;/etc/badsenders
7310
7311 A named list may refer to other named lists:
7312
7313   domainlist  dom1 = first.example : second.example
7314   domainlist  dom2 = +dom1 : third.example
7315   domainlist  dom3 = fourth.example : +dom2 : fifth.example
7316
7317
7318 *Warning*: If the last item in a referenced list is a negative one, the
7319 effect may not be what you intended, because the negation does not propagate
7320 out to the higher level. For example, consider:
7321
7322   domainlist  dom1 = !a.b
7323   domainlist  dom2 = +dom1 : *.b
7324
7325 The second list specifies ``either in the %dom1% list or '*.b'##''. The first
7326 list specifies just ``not 'a.b'##'', so the domain 'x.y' matches it. That means
7327 it matches the second list as well. The effect is not the same as
7328
7329   domainlist  dom2 = !a.b : *.b
7330
7331 where 'x.y' does not match. It's best to avoid negation altogether in
7332 referenced lists if you can.
7333
7334 Named lists may have a performance advantage. When Exim is routing an
7335 address or checking an incoming message, it caches the result of tests on named
7336 lists. So, if you have a setting such as
7337
7338   domains = +local_domains
7339
7340 on several of your routers
7341 or in several ACL statements,
7342 the actual test is done only for the first one. However, the caching works only
7343 if there are no expansions within the list itself or any sublists that it
7344 references. In other words, caching happens only for lists that are known to be
7345 the same each time they are referenced.
7346
7347 By default, there may be up to 16 named lists of each type. This limit can be
7348 extended by changing a compile-time variable. The use of domain and host lists
7349 is recommended for concepts such as local domains, relay domains, and relay
7350 hosts. The default configuration is set up like this.
7351
7352
7353
7354 Named lists compared with macros
7355 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7356 cindex:[list,named compared with macro]
7357 cindex:[macro,compared with named list]
7358 At first sight, named lists might seem to be no different from macros in the
7359 configuration file. However, macros are just textual substitutions. If you
7360 write
7361
7362   ALIST = host1 : host2
7363   auth_advertise_hosts = !ALIST
7364
7365 it probably won't do what you want, because that is exactly the same as
7366
7367   auth_advertise_hosts = !host1 : host2
7368
7369 Notice that the second host name is not negated. However, if you use a host
7370 list, and write
7371
7372   hostlist alist = host1 : host2
7373   auth_advertise_hosts = ! +alist
7374
7375 the negation applies to the whole list, and so that is equivalent to
7376
7377   auth_advertise_hosts = !host1 : !host2
7378
7379
7380
7381
7382 Named list caching
7383 ~~~~~~~~~~~~~~~~~~
7384 cindex:[list,caching of named]
7385 cindex:[caching,named lists]
7386 While processing a message, Exim caches the result of checking a named list if
7387 it is sure that the list is the same each time. In practice, this means that
7388 the cache operates only if the list contains no \$ characters, which guarantees
7389 that it will not change when it is expanded. Sometimes, however, you may have
7390 an expanded list that you know will be the same each time within a given
7391 message. For example:
7392
7393 ....
7394 domainlist special_domains = \
7395            ${lookup{$sender_host_address}cdb{/some/file}}
7396 ....
7397
7398 This provides a list of domains that depends only on the sending host's IP
7399 address. If this domain list is referenced a number of times (for example,
7400 in several ACL lines, or in several routers) the result of the check is not
7401 cached by default, because Exim does not know that it is going to be the
7402 same list each time.
7403
7404 By appending `_cache` to `domainlist` you can tell Exim to go ahead and
7405 cache the result anyway. For example:
7406
7407   domainlist_cache special_domains = ${lookup{...
7408
7409 If you do this, you should be absolutely sure that caching is going to do
7410 the right thing in all cases. When in doubt, leave it out.
7411
7412
7413
7414 [[SECTdomainlist]]
7415 Domain lists
7416 ~~~~~~~~~~~~
7417 cindex:[domain list,patterns for]
7418 cindex:[list,domain list]
7419 Domain lists contain patterns that are to be matched against a mail domain.
7420 The following types of item may appear in domain lists:
7421
7422 - cindex:[primary host name]
7423 cindex:[host name, matched in domain list]
7424 cindex:[%primary_hostname%]
7425 cindex:[domain list,matching primary host name]
7426 cindex:[@ in a domain list]
7427 If a pattern consists of a single @ character, it matches the local host name,
7428 as set by the %primary_hostname% option (or defaulted). This makes it possible
7429 to use the same configuration file on several different hosts that differ only
7430 in their names.
7431
7432 - cindex:[@{bk} in a domain list]
7433 cindex:[domain list,matching local IP interfaces]
7434 cindex:[domain literal]
7435 If a pattern consists of the string `@[]` it matches any local IP interface
7436 address, enclosed in square brackets, as in an email address that contains a
7437 domain literal.
7438 In today's Internet, the use of domain literals is controversial.
7439
7440 - cindex:[@mx_any]
7441 cindex:[@mx_primary]
7442 cindex:[@mx_secondary]
7443 cindex:[domain list,matching MX pointers to local host]
7444 If a pattern consists of the string `@mx_any` it matches any domain that
7445 has an MX record pointing to the local host or to any host that is listed in
7446 cindex:[%hosts_treat_as_local%]
7447 %hosts_treat_as_local%. The items `@mx_primary` and `@mx_secondary`
7448 are similar, except that the first matches only when a primary MX target is the
7449 local host, and the second only when no primary MX target is the local host,
7450 but a secondary MX target is. ``Primary'' means an MX record with the lowest
7451 preference value -- there may of course be more than one of them.
7452 +
7453 The MX lookup that takes place when matching a pattern of this type is
7454 performed with the resolver options for widening names turned off. Thus, for
7455 example, a single-component domain will 'not' be expanded by adding the
7456 resolver's default domain. See the %qualify_single% and %search_parents%
7457 options of the ^dnslookup^ router for a discussion of domain widening.
7458 +
7459 Sometimes you may want to ignore certain IP addresses when using one of these
7460 patterns. You can specify this by following the pattern with `/ignore=`<'ip
7461 list'>, where <'ip list'> is a list of IP addresses. These addresses are
7462 ignored when processing the pattern (compare the %ignore_target_hosts% option
7463 on a router). For example:
7464
7465   domains = @mx_any/ignore=127.0.0.1
7466 +
7467 This example matches any domain that has an MX record pointing to one of
7468 the local host's IP addresses other than 127.0.0.1.
7469 +
7470 The list of IP addresses is in fact processed by the same code that processes
7471 host lists, so it may contain CIDR-coded network specifications and it may also
7472 contain negative items.
7473 +
7474 Because the list of IP addresses is a sublist within a domain list, you have to
7475 be careful about delimiters if there is more than one address. Like any other
7476 list, the default delimiter can be changed. Thus, you might have:
7477 +
7478 ....
7479 domains = @mx_any/ignore=<;127.0.0.1;0.0.0.0 : \
7480           an.other.domain : ...
7481 ....
7482 +
7483 so that the sublist uses semicolons for delimiters. When IPv6 addresses are
7484 involved, it is easiest to change the delimiter for the main list as well:
7485 +
7486 ....
7487 domains = <? @mx_any/ignore=<;127.0.0.1;::1 ? \
7488           an.other.domain ? ...
7489 ....
7490
7491 - cindex:[asterisk,in domain list]
7492 cindex:[domain list,asterisk in]
7493 cindex:[domain list,matching ``ends with'']
7494 If a pattern starts with an asterisk, the remaining characters of the pattern
7495 are compared with the terminating characters of the domain. The use of ``\*'' in
7496 domain lists differs from its use in partial matching lookups. In a domain
7497 list, the character following the asterisk need not be a dot, whereas partial
7498 matching works only in terms of dot-separated components. For example, a domain
7499 list item such as `*key.ex` matches 'donkey.ex' as well as
7500 'cipher.key.ex'.
7501
7502 - cindex:[regular expressions,in domain list]
7503 cindex:[domain list,matching regular expression]
7504 If a pattern starts with a circumflex character, it is treated as a regular
7505 expression, and matched against the domain using a regular expression matching
7506 function. The circumflex is treated as part of the regular expression.
7507 References to descriptions of the syntax of regular expressions are given in
7508 chapter <<CHAPregexp>>.
7509 +
7510 *Warning*: Because domain lists are expanded before being processed, you
7511 must escape any backslash and dollar characters in the regular expression, or
7512 use the special `\N` sequence (see chapter <<CHAPexpand>>) to specify that it
7513 is not to be expanded (unless you really do want to build a regular expression
7514 by expansion, of course).
7515
7516 - cindex:[lookup,in domain list]
7517 cindex:[domain list,matching by lookup]
7518 If a pattern starts with the name of a single-key lookup type followed by a
7519 semicolon (for example, ``dbm;'' or ``lsearch;''), the remainder of the pattern
7520 must be a file name in a suitable format for the lookup type. For example, for
7521 ``cdb;'' it must be an absolute path:
7522
7523   domains = cdb;/etc/mail/local_domains.cdb
7524 +
7525 The appropriate type of lookup is done on the file using the domain name as the
7526 key. In most cases, the data that is looked up is not used; Exim is interested
7527 only in whether or not the key is present in the file. However, when a lookup
7528 is used for the %domains% option on a router
7529 or a %domains% condition in an ACL statement, the data is preserved in the
7530 $domain_data$ variable and can be referred to in other router options or
7531 other statements in the same ACL.
7532
7533 - Any of the single-key lookup type names may be preceded by ``partial<''n'>-',
7534 where the <'n'> is optional, for example,
7535
7536   domains = partial-dbm;/partial/domains
7537 +
7538 This causes partial matching logic to be invoked; a description of how this
7539 works is given in section <<SECTpartiallookup>>.
7540
7541 - cindex:[asterisk,in lookup type]
7542 Any of the single-key lookup types may be followed by an asterisk. This causes
7543 a default lookup for a key consisting of a single asterisk to be done if the
7544 original lookup fails. This is not a useful feature when using a domain list to
7545 select particular domains (because any domain would match), but it might have
7546 value if the result of the lookup is being used via the $domain_data$
7547 expansion variable.
7548
7549 - If the pattern starts with the name of a query-style lookup type followed by a
7550 semicolon (for example, ``nisplus;'' or ``ldap;''), the remainder of the pattern
7551 must be an appropriate query for the lookup type, as described in chapter
7552 <<CHAPfdlookup>>. For example:
7553 +
7554 ....
7555 hold_domains = mysql;select domain from holdlist \
7556   where domain = '$domain';
7557 ....
7558 +
7559 In most cases, the data that is looked up is not used (so for an SQL query, for
7560 example, it doesn't matter what field you select). Exim is interested only in
7561 whether or not the query succeeds. However, when a lookup is used for the
7562 %domains% option on a router, the data is preserved in the $domain_data$
7563 variable and can be referred to in other options.
7564
7565 - cindex:[domain list,matching literal domain name]
7566 If none of the above cases apply, a caseless textual comparison is made
7567 between the pattern and the domain.
7568
7569
7570 Here is an example that uses several different kinds of pattern:
7571
7572 ....
7573 domainlist funny_domains = \
7574   @ : \
7575   lib.unseen.edu : \
7576   *.foundation.fict.example : \
7577   \N^[1-2]\d{3}\.fict\.example$\N : \
7578   partial-dbm;/opt/data/penguin/book : \
7579   nis;domains.byname : \
7580   nisplus;[name=$domain,status=local],domains.org_dir
7581 ....
7582
7583 There are obvious processing trade-offs among the various matching modes. Using
7584 an asterisk is faster than a regular expression, and listing a few names
7585 explicitly probably is too. The use of a file or database lookup is expensive,
7586 but may be the only option if hundreds of names are required. Because the
7587 patterns are tested in order, it makes sense to put the most commonly matched
7588 patterns earlier.
7589
7590
7591
7592 [[SECThostlist]]
7593 Host lists
7594 ~~~~~~~~~~
7595 cindex:[host list,patterns in]
7596 cindex:[list,host list]
7597 Host lists are used to control what remote hosts are allowed to do. For
7598 example, some hosts may be allowed to use the local host as a relay, and some
7599 may be permitted to use the SMTP ETRN command. Hosts can be identified in
7600 two different ways, by name or by IP address. In a host list, some types of
7601 pattern are matched to a host name, and some are matched to an IP address.
7602 You need to be particularly careful with this when single-key lookups are
7603 involved, to ensure that the right value is being used as the key.
7604
7605
7606 Special host list patterns
7607 ~~~~~~~~~~~~~~~~~~~~~~~~~~
7608 cindex:[empty item in hosts list]
7609 cindex:[host list,empty string in]
7610 If a host list item is the empty string, it matches only when no remote host is
7611 involved. This is the case when a message is being received from a local
7612 process using SMTP on the standard input, that is, when a TCP/IP connection is
7613 not used.
7614
7615 cindex:[asterisk,in host list]
7616 The special pattern ``\*'' in a host list matches any host or no host. Neither
7617 the IP address nor the name is actually inspected.
7618
7619
7620
7621 [[SECThoslispatip]]
7622 Host list patterns that match by IP address
7623 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7624 cindex:[host list,matching IP addresses]
7625 If an IPv4 host calls an IPv6 host and the call is accepted on an IPv6 socket,
7626 the incoming address actually appears in the IPv6 host as
7627 ``::`ffff`:<''v4address'>'. When such an address is tested against a host
7628 list, it is converted into a traditional IPv4 address first. (Not all operating
7629 systems accept IPv4 calls on IPv6 sockets, as there have been some security
7630 concerns.)
7631
7632 The following types of pattern in a host list check the remote host by
7633 inspecting its IP address:
7634
7635 - If the pattern is a plain domain name (not a regular expression, not starting
7636 with \*, not a lookup of any kind), Exim calls the operating system function
7637 to find the associated IP address(es). Exim uses the newer
7638 'getipnodebyname()' function when available, otherwise 'gethostbyname()'.
7639 This typically causes a forward DNS lookup of the name. The result is compared
7640 with the IP address of the subject host.
7641 +
7642 If there is a temporary problem (such as a DNS timeout) with the host name
7643 lookup, a temporary error occurs. For example, if the list is being used in an
7644 ACL condition, the ACL gives a ``defer'' response, usually leading to a temporary
7645 SMTP error code. If no IP address can be found for the host name, what happens
7646 is described in section <<SECTbehipnot>> below.
7647
7648 - cindex:[@ in a host list]
7649 If the pattern is ``@'', the primary host name is substituted and used as a
7650 domain name, as just described.
7651
7652 - If the pattern is an IP address, it is matched against the IP address of the
7653 subject host. IPv4 addresses are given in the normal ``dotted-quad'' notation.
7654 IPv6 addresses can be given in colon-separated format, but the colons have to
7655 be doubled so as not to be taken as item separators when the default list
7656 separator is used. IPv6 addresses are recognized even when Exim is compiled
7657 without IPv6 support. This means that if they appear in a host list on an
7658 IPv4-only host, Exim will not treat them as host names. They are just addresses
7659 that can never match a client host.
7660
7661 - cindex:[@{bk} in a host list]
7662 If the pattern is ``@[]'', it matches the IP address of any IP interface on
7663 the local host. For example, if the local host is an IPv4 host with one
7664 interface address 10.45.23.56, these two ACL statements have the same effect:
7665
7666   accept hosts = 127.0.0.1 : 10.45.23.56
7667   accept hosts = @[]
7668
7669 - cindex:[CIDR notation]
7670 If the pattern is an IP address followed by a slash and a mask length (for
7671 example 10.11.42.0/24), it is matched against the IP address of the subject
7672 host under the given mask. This allows, an entire network of hosts to be
7673 included (or excluded) by a single item. The mask uses CIDR notation; it
7674 specifies the number of address bits that must match, starting from the most
7675 significant end of the address.
7676 +
7677 *Note*: the mask is 'not' a count of addresses, nor is it the high number
7678 of a range of addresses. It is the number of bits in the network portion of the
7679 address. The above example specifies a 24-bit netmask, so it matches all 256
7680 addresses in the 10.11.42.0 network. An item such as
7681
7682   192.168.23.236/31
7683 +
7684 matches just two addresses, 192.168.23.236 and 192.168.23.237. A mask value of
7685 32 for an IPv4 address is the same as no mask at all; just a single address
7686 matches.
7687 +
7688 Here is another example which shows an IPv4 and an IPv6 network:
7689 +
7690 ....
7691 recipient_unqualified_hosts = 192.168.0.0/16: \
7692                               3ffe::ffff::836f::::/48
7693 ....
7694 +
7695 The doubling of list separator characters applies only when these items
7696 appear inline in a host list. It is not required when indirecting via a file.
7697 For example,
7698
7699   recipient_unqualified_hosts = /opt/exim/unqualnets
7700 +
7701 could make use of a file containing
7702
7703   172.16.0.0/12
7704   3ffe:ffff:836f::/48
7705 +
7706 to have exactly the same effect as the previous example. When listing IPv6
7707 addresses inline, it is usually more convenient to use the facility for
7708 changing separator characters. This list contains the same two networks:
7709 +
7710 ....
7711 recipient_unqualified_hosts = <; 172.16.0.0/12; \
7712                                  3ffe:ffff:836f::/48
7713 ....
7714 +
7715 The separator is changed to semicolon by the leading ``<;'' at the start of the
7716 list.
7717
7718
7719
7720
7721 [[SECThoslispatsikey]]
7722 Host list patterns for single-key lookups by host address
7723 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7724 cindex:[host list,lookup of IP address]
7725 When a host is to be identified by a single-key lookup of its complete IP
7726 address, the pattern takes this form:
7727
7728   net-<single-key-search-type>;<search-data>
7729
7730 For example:
7731
7732   hosts_lookup = net-cdb;/hosts-by-ip.db
7733
7734 The text form of the IP address of the subject host is used as the lookup key.
7735 IPv6 addresses are converted to an unabbreviated form, using lower case
7736 letters, with dots as separators because colon is the key terminator in
7737 ^lsearch^ files. [Colons can in fact be used in keys in ^lsearch^ files by
7738 quoting the keys, but this is a facility that was added later.] The data
7739 returned by the lookup is not used.
7740
7741 cindex:[IP address,masking]
7742 cindex:[host list,masked IP address]
7743 Single-key lookups can also be performed using masked IP addresses, using
7744 patterns of this form:
7745
7746   net<number>-<single-key-search-type>;<search-data>
7747
7748 For example:
7749
7750   net24-dbm;/networks.db
7751
7752 The IP address of the subject host is masked using <'number'> as the mask
7753 length. A textual string is constructed from the masked value, followed by the
7754 mask, and this is used as the lookup key. For example, if the host's IP address
7755 is 192.168.34.6, the key that is looked up for the above example is
7756 ``192.168.34.0/24''. IPv6 addresses are converted to a text value using lower
7757 case letters and dots as separators instead of the more usual colon, because
7758 colon is the key terminator in ^lsearch^ files. Full, unabbreviated IPv6
7759 addresses are always used.
7760
7761 *Warning*: Specifing %net32-% (for an IPv4 address) or %net128-% (for an
7762 IPv6 address) is not the same as specifing just %net-% without a number. In
7763 the former case the key strings include the mask value, whereas in the latter
7764 case the IP address is used on its own.
7765
7766
7767
7768 [[SECThoslispatnam]]
7769 Host list patterns that match by host name
7770 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7771 cindex:[host,lookup failures]
7772 cindex:[unknown host name]
7773 cindex:[host list,matching host name]
7774 There are several types of pattern that require Exim to know the name of the
7775 remote host. These are either wildcard patterns or lookups by name. (If a
7776 complete hostname is given without any wildcarding, it is used to find an IP
7777 address to match against, as described in the section <<SECThoslispatip>> above.)
7778
7779 If the remote host name is not already known when Exim encounters one of these
7780 patterns, it has to be found from the IP address.
7781 Although many sites on the Internet are conscientious about maintaining reverse
7782 DNS data for their hosts, there are also many that do not do this.
7783 Consequently, a name cannot always be found, and this may lead to unwanted
7784 effects. Take care when configuring host lists with wildcarded name patterns.
7785 Consider what will happen if a name cannot be found.
7786
7787 Because of the problems of determining host names from IP addresses, matching
7788 against host names is not as common as matching against IP addresses.
7789
7790 By default, in order to find a host name, Exim first does a reverse DNS lookup;
7791 if no name is found in the DNS, the system function ('gethostbyaddr()' or
7792 'getipnodebyaddr()' if available) is tried. The order in which these lookups
7793 are done can be changed by setting the %host_lookup_order% option.
7794
7795 There are some options that control what happens if a host name cannot be
7796 found. These are described in section <<SECTbehipnot>> below.
7797
7798 cindex:[host,alias for]
7799 cindex:[alias for host]
7800 As a result of aliasing, hosts may have more than one name. When processing any
7801 of the following types of pattern, all the host's names are checked:
7802
7803 - cindex:[asterisk,in host list]
7804 If a pattern starts with ``\*'' the remainder of the item must match the end of
7805 the host name. For example, `*.b.c` matches all hosts whose names end in
7806 '.b.c'. This special simple form is provided because this is a very common
7807 requirement. Other kinds of wildcarding require the use of a regular
7808 expression.
7809
7810 - cindex:[regular expressions,in host list]
7811 cindex:[host list,regular expression in]
7812 If the item starts with ``^'' it is taken to be a regular expression which is
7813 matched against the host name. For example,
7814
7815   ^(a|b)\.c\.d$
7816 +
7817 is a regular expression that matches either of the two hosts 'a.c.d' or
7818 'b.c.d'. When a regular expression is used in a host list, you must take care
7819 that backslash and dollar characters are not misinterpreted as part of the
7820 string expansion. The simplest way to do this is to use `\N` to mark that
7821 part of the string as non-expandable. For example:
7822
7823   sender_unqualified_hosts = \N^(a|b)\.c\.d$\N : ....
7824 +
7825 *Warning*: If you want to match a complete host name, you must include the
7826 `\$` terminating metacharacter in the regular expression, as in the above
7827 example. Without it, a match at the start of the host name is all that is
7828 required.
7829
7830
7831
7832
7833 [[SECTbehipnot]]
7834 Behaviour when an IP address or name cannot be found
7835 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7836 cindex:[host,lookup failures]
7837 While processing a host list, Exim may need to look up an IP address from a
7838 name (see section <<SECThoslispatip>>), or it may need to look up a host name
7839 from an IP address (see section <<SECThoslispatnam>>). In either case, the
7840 behaviour when it fails to find the information it is seeking is the same.
7841
7842 cindex:[`+include_unknown`]
7843 cindex:[`+ignore_unknown`]
7844 By default, Exim behaves as if the host does not match the list. This may not
7845 always be what you want to happen. To change Exim's behaviour, the special
7846 items `+include_unknown` or `+ignore_unknown` may appear in the list (at
7847 top level -- they are not recognized in an indirected file).
7848
7849 - If any item that follows `+include_unknown` requires information that
7850 cannot found, Exim behaves as if the host does match the list. For example,
7851
7852   host_reject_connection = +include_unknown:*.enemy.ex
7853 +
7854 rejects connections from any host whose name matches `*.enemy.ex`, and also
7855 any hosts whose name it cannot find.
7856
7857 - If any item that follows `+ignore_unknown` requires information that cannot
7858 be found, Exim ignores that item and proceeds to the rest of the list. For
7859 example:
7860 +
7861 ....
7862 accept hosts = +ignore_unknown : friend.example : \
7863                192.168.4.5
7864 ....
7865 +
7866 accepts from any host whose name is 'friend.example' and from 192.168.4.5,
7867 whether or not its host name can be found. Without `+ignore_unknown`, if no
7868 name can be found for 192.168.4.5, it is rejected.
7869
7870 Both `+include_unknown` and `+ignore_unknown` may appear in the same
7871 list. The effect of each one lasts until the next, or until the end of the
7872 list.
7873
7874 *Note*: This section applies to permanent lookup failures. It does 'not'
7875 apply to temporary DNS errors. They always cause a defer action.
7876
7877
7878
7879 [[SECThoslispatnamsk]]
7880 Host list patterns for single-key lookups by host name
7881 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7882 cindex:[host,lookup failures]
7883 cindex:[unknown host name]
7884 cindex:[host list,matching host name]
7885 If a pattern is of the form
7886
7887   <single-key-search-type>;<search-data>
7888
7889 for example
7890
7891   dbm;/host/accept/list
7892
7893 a single-key lookup is performend, using the host name as its key. If the
7894 lookup succeeds, the host matches the item. The actual data that is looked up
7895 is not used.
7896
7897 *Reminder*: With this kind of pattern, you must have host 'names' as
7898 keys in the file, not IP addresses. If you want to do lookups based on IP
7899 addresses, you must precede the search type with ``net-'' (see section
7900 <<SECThoslispatsikey>>). There is, however, no reason why you could not use two
7901 items in the same list, one doing an address lookup and one doing a name
7902 lookup, both using the same file.
7903
7904
7905
7906 Host list patterns for query-style lookups
7907 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7908 If a pattern is of the form
7909
7910   <query-style-search-type>;<query>
7911
7912 the query is obeyed, and if it succeeds, the host matches the item. The actual
7913 data that is looked up is not used. The variables $sender_host_address$ and
7914 $sender_host_name$ can be used in the query. For example:
7915
7916 ....
7917 hosts_lookup = pgsql;\
7918   select ip from hostlist where ip='$sender_host_address'
7919 ....
7920
7921 The value of $sender_host_address$ for an IPv6 address contains colons. You
7922 can use the %sg% expansion item to change this if you need to. If you want to
7923 use masked IP addresses in database queries, you can use the %mask% expansion
7924 operator.
7925
7926 If the query contains a reference to $sender_host_name$, Exim automatically
7927 looks up the host name if has not already done so. (See section
7928 <<SECThoslispatnam>> for comments on finding host names.)
7929
7930 Historical note: prior to release 4.30, Exim would always attempt to find a
7931 host name before running the query, unless the search type was preceded by
7932 `net-`. This is no longer the case. For backwards compatibility, `net-` is
7933 still recognized for query-style lookups, but its presence or absence has no
7934 effect. (Of course, for single-key lookups, `net-` 'is' important.
7935 See section <<SECThoslispatsikey>>.)
7936
7937
7938
7939 [[SECTmixwilhos]]
7940 Mixing wildcarded host names and addresses in host lists
7941 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7942 cindex:[host list,mixing names and addresses in]
7943 If you have name lookups or wildcarded host names and IP addresses in the same
7944 host list, you should normally put the IP addresses first. For example, in an
7945 ACL you could have:
7946
7947   accept hosts = 10.9.8.7 : *.friend.example
7948
7949 The reason for this lies in the left-to-right way that Exim processes lists.
7950 It can test IP addresses without doing any DNS lookups, but when it reaches an
7951 item that requires a host name, it fails if it cannot find a host name to
7952 compare with the pattern. If the above list is given in the opposite order, the
7953 %accept% statement fails for a host whose name cannot be found, even if its
7954 IP address is 10.9.8.7.
7955
7956 If you really do want to do the name check first, and still recognize the IP
7957 address, you can rewrite the ACL like this:
7958
7959   accept hosts = *.friend.example
7960   accept hosts = 10.9.8.7
7961
7962 If the first %accept% fails, Exim goes on to try the second one. See chapter
7963 <<CHAPACL>> for details of ACLs.
7964
7965
7966
7967
7968
7969 [[SECTaddresslist]]
7970 Address lists
7971 ~~~~~~~~~~~~~
7972 cindex:[list,address list]
7973 cindex:[address list,empty item]
7974 cindex:[address list,patterns]
7975 Address lists contain patterns that are matched against mail addresses. There
7976 is one special case to be considered: the sender address of a bounce message is
7977 always empty. You can test for this by providing an empty item in an address
7978 list. For example, you can set up a router to process bounce messages by
7979 using this option setting:
7980
7981   senders = :
7982
7983 The presence of the colon creates an empty item. If you do not provide any
7984 data, the list is empty and matches nothing. The empty sender can also be
7985 detected by a regular expression that matches an empty string,
7986
7987 and by a query-style lookup that succeeds when $sender_address$ is empty.
7988
7989 The following kinds of address list pattern can match any address, including
7990 the empty address that is characteristic of bounce message senders:
7991
7992 - As explained above, if a pattern item is empty, it matches the empty address
7993 (and no others).
7994
7995 - cindex:[regular expressions,in address list]
7996 cindex:[address list,regular expression in]
7997 If (after expansion) a pattern starts with ``^'', a regular expression match is
7998 done against the complete address, with the pattern as the regular expression.
7999 You must take care that backslash and dollar characters are not misinterpreted
8000 as part of the string expansion. The simplest way to do this is to use `\N`
8001 to mark that part of the string as non-expandable. For example:
8002
8003   deny senders = \N^\d{8}.+@spamhaus.example$\N : ...
8004 +
8005 The `\N` sequences are removed by the expansion, so the item does start
8006 with ``^'' by the time it is being interpreted as an address pattern.
8007
8008 - cindex:[address list,lookup for complete address]
8009 Complete addresses can be looked up by using a pattern that starts with a
8010 lookup type terminated by a semicolon, followed by the data for the lookup. For
8011 example:
8012 +
8013 ....
8014 deny senders = cdb;/etc/blocked.senders : \
8015   mysql;select address from blocked where \
8016   address='${quote_mysql:$sender_address}'
8017 ....
8018 +
8019 Both query-style and single-key lookup types can be used. For a single-key
8020 lookup type, Exim uses the complete address as the key. However, empty keys are
8021 not supported for single-key lookups, so a match against the empty address
8022 always fails. This restriction does not apply to query-style lookups.
8023 +
8024 Partial matching for single-key lookups (section <<SECTpartiallookup>>) cannot
8025 be used, and is ignored if specified, with an entry being written to the panic
8026 log.
8027 +
8028 cindex:[\*@ with single-key lookup]
8029 However, you can configure lookup defaults, as described in section
8030 <<SECTdefaultvaluelookups>>, but this is useful only for the ``\*@'' type of
8031 default. For example, with this lookup:
8032
8033   accept senders = lsearch*@;/some/file
8034 +
8035 the file could contains lines like this:
8036
8037   user1@domain1.example
8038   *@domain2.example
8039 +
8040 and for the sender address 'nimrod@jaeger.example', the sequence of keys
8041 that are tried is:
8042
8043   nimrod@jaeger.example
8044   *@jaeger.example
8045   *
8046 +
8047 *Warning 1*: Do not include a line keyed by ``\*'' in the file, because that
8048 would mean that every address matches, thus rendering the test useless.
8049 +
8050 *Warning 2*: Do not confuse these two kinds of item:
8051
8052   deny recipients = dbm*@;/some/file
8053   deny recipients = *@dbm;/some/file
8054 +
8055 The first does a whole address lookup, with defaulting, as just described,
8056 because it starts with a lookup type. The second matches the local part and
8057 domain independently, as described in a bullet point below.
8058
8059
8060
8061 The following kinds of address list pattern can match only non-empty addresses.
8062 If the subject address is empty, a match against any of these pattern types
8063 always fails.
8064
8065
8066 - cindex:[@@ with single-key lookup]
8067 cindex:[address list,@@ lookup type]
8068 cindex:[address list,split local part and domain]
8069 If a pattern starts with ``@@'' followed by a single-key lookup item
8070 (for example, `@@lsearch;/some/file`), the address that is being checked is
8071 split into a local part and a domain. The domain is looked up in the file. If
8072 it is not found, there is no match. If it is found, the data that is looked up
8073 from the file is treated as a colon-separated list of local part patterns, each
8074 of which is matched against the subject local part in turn.
8075 +
8076 cindex:[asterisk,in address list]
8077 The lookup may be a partial one, and/or one involving a search for a default
8078 keyed by ``\*'' (see section <<SECTdefaultvaluelookups>>). The local part patterns
8079 that are looked up can be regular expressions or begin with ``\*'', or even be
8080 further lookups. They may also be independently negated. For example, with
8081
8082   deny senders = @@dbm;/etc/reject-by-domain
8083 +
8084 the data from which the DBM file is built could contain lines like
8085
8086   baddomain.com:  !postmaster : *
8087 +
8088 to reject all senders except %postmaster% from that domain.
8089 +
8090 cindex:[local part,starting with !]
8091 If a local part that actually begins with an exclamation mark is required, it
8092 has to be specified using a regular expression. In ^lsearch^ files, an entry
8093 may be split over several lines by indenting the second and subsequent lines,
8094 but the separating colon must still be included at line breaks. White space
8095 surrounding the colons is ignored. For example:
8096
8097   aol.com:  spammer1 : spammer2 : ^[0-9]+$ :
8098             spammer3 : spammer4
8099 +
8100 As in all colon-separated lists in Exim, a colon can be included in an item by
8101 doubling.
8102 +
8103 If the last item in the list starts with a right angle-bracket, the remainder
8104 of the item is taken as a new key to look up in order to obtain a continuation
8105 list of local parts. The new key can be any sequence of characters. Thus one
8106 might have entries like
8107
8108   aol.com: spammer1 : spammer 2 : >*
8109   xyz.com: spammer3 : >*
8110   *:       ^\d{8}$
8111 +
8112 in a file that was searched with %@@dbm\*%, to specify a match for 8-digit
8113 local parts for all domains, in addition to the specific local parts listed for
8114 each domain. Of course, using this feature costs another lookup each time a
8115 chain is followed, but the effort needed to maintain the data is reduced.
8116 +
8117 cindex:[loop,in lookups]
8118 It is possible to construct loops using this facility, and in order to catch
8119 them, the chains may be no more than fifty items long.
8120
8121 - The @@<'lookup'> style of item can also be used with a query-style
8122 lookup, but in this case, the chaining facility is not available. The lookup
8123 can only return a single list of local parts.
8124
8125 - If a pattern contains an @ character, but is not a regular expression and does
8126 not begin with a lookup type as described above, the local part of the subject
8127 address is compared with the local part of the pattern, which may start with an
8128 asterisk. If the local parts match, the domain is checked in exactly the same
8129 way as for a pattern in a domain list. For example, the domain can be
8130 wildcarded, refer to a named list, or be a lookup:
8131 +
8132 ....
8133 deny senders = *@*.spamming.site:\
8134                *@+hostile_domains:\
8135                bozo@partial-lsearch;/list/of/dodgy/sites:\
8136                *@dbm;/bad/domains.db
8137 ....
8138 +
8139 cindex:[local part,starting with !]
8140 cindex:[address list,local part starting with !]
8141 If a local part that begins with an exclamation mark is required, it has to be
8142 specified using a regular expression, because otherwise the exclamation mark is
8143 treated as a sign of negation.
8144
8145 - If a pattern is not one of the above syntax forms, that is, if a
8146 non-empty pattern that is not a regular expression or a lookup does not contain
8147 an @ character, it is matched against the domain part of the subject address.
8148 The only two formats that are recognized this way are a literal domain, or a
8149 domain pattern that starts with \*. In both these cases, the effect is the same
8150 as if `*@` preceded the pattern.
8151
8152 *Warning*: there is an important difference between the address list items
8153 in these two examples:
8154
8155   senders = +my_list
8156   senders = *@+my_list
8157
8158 In the first one, `my_list` is a named address list, whereas in the second
8159 example it is a named domain list.
8160
8161
8162
8163
8164 [[SECTcasletadd]]
8165 Case of letters in address lists
8166 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8167 cindex:[case of local parts]
8168 cindex:[address list,case forcing]
8169 cindex:[case forcing in address lists]
8170 Domains in email addresses are always handled caselessly, but for local parts
8171 case may be significant on some systems (see %caseful_local_part% for how
8172 Exim deals with this when routing addresses). However, RFC 2505 ('Anti-Spam
8173 Recommendations for SMTP MTAs') suggests that matching of addresses to blocking
8174 lists should be done in a case-independent manner. Since most address lists in
8175 Exim are used for this kind of control, Exim attempts to do this by default.
8176
8177 The domain portion of an address is always lowercased before matching it to an
8178 address list. The local part is lowercased by default, and any string
8179 comparisons that take place are done caselessly. This means that the data in
8180 the address list itself, in files included as plain file names, and in any file
8181 that is looked up using the ``@@'' mechanism, can be in any case. However, the
8182 keys in files that are looked up by a search type other than ^lsearch^ (which
8183 works caselessly) must be in lower case, because these lookups are not
8184 case-independent.
8185
8186 cindex:[`+caseful`]
8187 To allow for the possibility of caseful address list matching, if an item in
8188 an address list is the string ``+caseful'', the original case of the local
8189 part is restored for any comparisons that follow, and string comparisons are no
8190 longer case-independent. This does not affect the domain, which remains in
8191 lower case. However, although independent matches on the domain alone are still
8192 performed caselessly, regular expressions that match against an entire address
8193 become case-sensitive after ``+caseful'' has been seen.
8194
8195
8196
8197 [[SECTlocparlis]]
8198 Local part lists
8199 ~~~~~~~~~~~~~~~~
8200 cindex:[list,local part list]
8201 cindex:[local part,list]
8202 Case-sensitivity in local part lists is handled in the same way as for address
8203 lists, as just described. The ``+caseful'' item can be used if required. In a
8204 setting of the %local_parts% option in a router with %caseful_local_part%
8205 set false, the subject is lowercased and the matching is initially
8206 case-insensitive. In this case, ``+caseful'' will restore case-sensitive matching
8207 in the local part list, but not elsewhere in the router. If
8208 %caseful_local_part% is set true in a router, matching in the %local_parts%
8209 option is case-sensitive from the start.
8210
8211 If a local part list is indirected to a file (see section <<SECTfilnamlis>>),
8212 comments are handled in the same way as address lists -- they are recognized
8213 only if the # is preceded by white space or the start of the line.
8214 Otherwise, local part lists are matched in the same way as domain lists, except
8215 that the special items that refer to the local host (`@`, `@[]`,
8216 `@mx_any`, `@mx_primary`, and `@mx_secondary`) are not recognized.
8217 Refer to section <<SECTdomainlist>> for details of the other available item
8218 types.
8219
8220
8221
8222
8223 ////////////////////////////////////////////////////////////////////////////
8224 ////////////////////////////////////////////////////////////////////////////
8225
8226 [[CHAPexpand]]
8227 String expansions
8228 -----------------
8229 cindex:[expansion,of strings]
8230 Many strings in Exim's run time configuration are expanded before use. Some of
8231 them are expanded every time they are used; others are expanded only once.
8232
8233 When a string is being expanded it is copied verbatim from left to right except
8234 when a dollar or backslash character is encountered. A dollar specifies the
8235 start of a portion of the string that is interpreted and replaced as described
8236 below in section <<SECTexpansionitems>> onwards. Backslash is used as an escape
8237 character, as described in the following section.
8238
8239
8240
8241 [[SECTlittext]]
8242 Literal text in expanded strings
8243 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8244 cindex:[expansion,including literal text]
8245 An uninterpreted dollar can be included in an expanded string by putting a
8246 backslash in front of it. A backslash can be used to prevent any special
8247 character being treated specially in an expansion, including backslash itself.
8248 If the string appears in quotes in the configuration file, two backslashes are
8249 required because the quotes themselves cause interpretation of backslashes when
8250 the string is read in (see section <<SECTstrings>>).
8251
8252 cindex:[expansion,non-expandable substrings]
8253 A portion of the string can specified as non-expandable by placing it between
8254 two occurrences of `\N`. This is particularly useful for protecting regular
8255 expressions, which often contain backslashes and dollar signs. For example:
8256
8257   deny senders = \N^\d{8}[a-z]@some\.site\.example$\N
8258
8259 On encountering the first `\N`, the expander copies subsequent characters
8260 without interpretation until it reaches the next `\N` or the end of the
8261 string.
8262
8263
8264
8265 Character escape sequences in expanded strings
8266 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8267 cindex:[expansion,escape sequences]
8268 A backslash followed by one of the letters ``n'', ``r'', or ``t'' in an expanded
8269 string is recognized as an escape sequence for the character newline, carriage
8270 return, or tab, respectively. A backslash followed by up to three octal digits
8271 is recognized as an octal encoding for a single character, and a backslash
8272 followed by ``x'' and up to two hexadecimal digits is a hexadecimal encoding.
8273
8274 These escape sequences are also recognized in quoted strings when they are read
8275 in. Their interpretation in expansions as well is useful for unquoted strings,
8276 and for other cases such as looked-up strings that are then expanded.
8277
8278
8279 Testing string expansions
8280 ~~~~~~~~~~~~~~~~~~~~~~~~~
8281 cindex:[expansion,testing]
8282 cindex:[testing,string expansion]
8283 cindex:[%-be% option]
8284 Many expansions can be tested by calling Exim with the %-be% option. This takes
8285 the command arguments, or lines from the standard input if there are no
8286 arguments, runs them through the string expansion code, and writes the results
8287 to the standard output. Variables based on configuration values are set up, but
8288 since no message is being processed, variables such as $local_part$ have no
8289 value. Nevertheless the %-be% option can be useful for checking out file and
8290 database lookups, and the use of expansion operators such as %sg%, %substr% and
8291 %nhash%.
8292
8293 Exim gives up its root privilege when it is called with the %-be% option, and
8294 instead runs under the uid and gid it was called with, to prevent users from
8295 using %-be% for reading files to which they do not have access.
8296
8297
8298
8299 [[SECTforexpfai]]
8300 Forced expansion failure
8301 ~~~~~~~~~~~~~~~~~~~~~~~~
8302 cindex:[expansion,forced failure]
8303 A number of expansions that are described in the following section have
8304 alternative ``true'' and ``false'' substrings, enclosed in brace characters
8305 (which are sometimes called ``curly brackets''). Which of the two strings is
8306 used depends on some condition that is evaluated as part of the expansion. If,
8307 instead of a ``false'' substring, the word ``fail'' is used (not in braces),
8308 the entire string expansion fails in a way that can be detected by the code
8309 that requested the expansion. This is called ``forced expansion failure'', and
8310 its consequences depend on the circumstances. In some cases it is no different
8311 from any other expansion failure, but in others a different action may be
8312 taken. Such variations are mentioned in the documentation of the option that is
8313 being expanded.
8314
8315
8316
8317
8318 [[SECTexpansionitems]]
8319 Expansion items
8320 ~~~~~~~~~~~~~~~
8321 The following items are recognized in expanded strings. White space may be used
8322 between sub-items that are keywords or substrings enclosed in braces inside an
8323 outer set of braces, to improve readability. *Warning*: Within braces,
8324 white space is significant.
8325
8326 *\$*<'variable~name'>~or~*\$\{*<'variable~name'>*\}*::
8327 cindex:[expansion,variables]
8328 Substitute the contents of the named variable, for example
8329
8330   $local_part
8331   ${domain}
8332 +
8333 The second form can be used to separate the name from subsequent alphanumeric
8334 characters. This form (using braces) is available only for variables; it does
8335 'not' apply to message headers. The names of the variables are given in section
8336 <<SECTexpvar>> below. If the name of a non-existent variable is given, the
8337 expansion fails.
8338
8339 *\$\{*<'op'>*:*<'string'>*\}*::
8340 cindex:[expansion,operators]
8341 The string is first itself expanded, and then the operation specified by <'op'>
8342 is applied to it. For example,
8343
8344   ${lc:$local_part}
8345 +
8346 The string starts with the first character after the colon, which may be
8347 leading white space. A list of operators is given in section <<SECTexpop>>
8348 below. The operator notation is used for simple expansion items that have just
8349 one argument, because it reduces the number of braces and therefore makes the
8350 string easier to understand.
8351
8352 *\$\{dlfunc\{*<'file'>*\}\{*<'function'>*\}\{*<'arg'>*\}\{*<'arg'>*\}...\}*::
8353 +
8354 [revisionflag="changed"]
8355 This expansion dynamically loads and then calls a locally-written C function.
8356 This functionality is available only if Exim is compiled with
8357 +
8358 [revisionflag="changed"]
8359 ....
8360   EXPAND_DLFUNC=yes
8361 ....
8362 +
8363 [revisionflag="changed"]
8364 set in _Local/Makefile_. Once loaded, Exim remembers the dynamically loaded
8365 object so that it doesn't reload the same object file in the same Exim process
8366 (but of course Exim does start new processes frequently).
8367 +
8368 [revisionflag="changed"]
8369 There may be from zero to eight arguments to the function. When compiling
8370 a local function that is to be called in this way, _local_scan.h_ should be
8371 included. The Exim variables and functions that are defined by that API
8372 are also available for dynamically loaded functions. The function itself
8373 must have the following type:
8374 +
8375 [revisionflag="changed"]
8376 ....
8377 int dlfunction(uschar **yield, int argc, uschar *argv[])
8378 ....
8379 +
8380 [revisionflag="changed"]
8381 Where `uschar` is a typedef for `unsigned char` in _local_scan.h_. The
8382 function should return one of the following values:
8383 +
8384 [revisionflag="changed"]
8385 `OK`: Success. The string that is placed in the variable 'yield' is put into
8386 the expanded string that is being built.
8387 +
8388 [revisionflag="changed"]
8389 `FAIL`: A non-forced expansion failure occurs, with the error message taken
8390 from 'yield', if it is set.
8391 +
8392 [revisionflag="changed"]
8393 `FAIL_FORCED`: A forced expansion failure occurs, with the error message
8394 taken from 'yield' if it is set.
8395 +
8396 [revisionflag="changed"]
8397 `ERROR`: Same as `FAIL`, except that a panic log entry is written.
8398 +
8399 [revisionflag="changed"]
8400 When compiling a function that is to be used in this way with gcc,
8401 you need to add %-shared% to the gcc command. Also, in the Exim build-time
8402 configuration, you must add %-export-dynamic% to EXTRALIBS.
8403
8404
8405 *\$\{extract\{*<'key'>*\}\{*<'string1'>*\}\{*<'string2'>*\}\{*<'string3'>*\}\}*::
8406 cindex:[expansion,extracting substrings by key]
8407 The key and <'string1'> are first expanded separately. Leading and trailing
8408 white space is removed from the key (but not from any of the strings). The key
8409 must not consist entirely of digits. The expanded <'string1'> must be of the
8410 form:
8411
8412   <key1> = <value1>  <key2> = <value2> ...
8413 +
8414 cindex:[$value$]
8415 where the equals signs and spaces (but not both) are optional. If any of the
8416 values contain white space, they must be enclosed in double quotes, and any
8417 values that are enclosed in double quotes are subject to escape processing as
8418 described in section <<SECTstrings>>. The expanded <'string1'> is searched for
8419 the value that corresponds to the key. The search is case-insensitive. If the
8420 key is found, <'string2'> is expanded, and replaces the whole item; otherwise
8421 <'string3'> is used. During the expansion of <'string2'> the variable $value$
8422 contains the value that has been extracted. Afterwards, it is restored to any
8423 previous value it might have had.
8424 +
8425 If \{<'string3'>\} is omitted, the item is replaced by an empty string if the
8426 key is not found. If \{<'string2'>\} is also omitted, the value that was
8427 extracted is used. Thus, for example, these two expansions are identical, and
8428 yield ``2001'':
8429
8430   ${extract{gid}{uid=1984 gid=2001}}
8431   ${extract{gid}{uid=1984 gid=2001}{$value}}
8432 +
8433 Instead of \{<'string3'>\} the word ``fail'' (not in curly brackets) can
8434 appear, for example:
8435
8436   ${extract{Z}{A=... B=...}{$value} fail }
8437 +
8438 This forces an expansion failure (see section <<SECTforexpfai>>);
8439 {<'string2'>\} must be present for ``fail'' to be recognized.
8440
8441
8442 *\$\{extract\{*<'number'>*\}\{*<'separators'>*\}\{*<'string1'>*\}\{*<'string2'>*\}\{*<'string3'>*\}\}*::
8443 cindex:[expansion,extracting substrings by number]
8444 The <'number'> argument must consist entirely of decimal digits,
8445 apart from leading and trailing white space, which is ignored.
8446 This is what distinguishes this form of %extract% from the previous kind. It
8447 behaves in the same way, except that, instead of extracting a named field, it
8448 extracts from <'string1'> the field whose number is given as the first
8449 argument. You can use $value$ in <'string2'> or `fail` instead of
8450 <'string3'> as before.
8451 +
8452 The fields in the string are separated by any one of the characters in the
8453 separator string. These may include space or tab characters.
8454 The first field is numbered one. If the number is negative, the fields are
8455 counted from the end of the string, with the rightmost one numbered -1. If the
8456 number given is zero, the entire string is returned. If the modulus of the
8457 number is greater than the number of fields in the string, the result is the
8458 expansion of <'string3'>, or the empty string if <'string3'> is not provided.
8459 For example:
8460
8461   ${extract{2}{:}{x:42:99:& Mailer::/bin/bash}}
8462 +
8463 yields ``42'', and
8464
8465   ${extract{-4}{:}{x:42:99:& Mailer::/bin/bash}}
8466 +
8467 yields ``99''. Two successive separators mean that the field between them is
8468 empty (for example, the fifth field above).
8469
8470
8471 *\$\{hash\{*<'string1'>*\}\{*<'string2'>*\}\{*<'string3'>*\}\}*::
8472 cindex:[hash function,textual]
8473 cindex:[expansion,textual hash]
8474 This is a textual hashing function, and was the first to be implemented in
8475 early versions of Exim. In current releases, there are other hashing functions
8476 (numeric, MD5, and SHA-1), which are described below.
8477 +
8478 The first two strings, after expansion, must be numbers. Call them <'m'> and
8479 <'n'>. If you are using fixed values for these numbers, that is, if <'string1'>
8480 and <'string2'> do not change when they are expanded, you can use the
8481 simpler operator notation that avoids some of the braces:
8482
8483   ${hash_<n>_<m>:<string>}
8484 +
8485 The second number is optional (in both notations).
8486 +
8487 If <'n'> is greater than or equal to the length of the string, the expansion
8488 item returns the string. Otherwise it computes a new string of length <'n'> by
8489 applying a hashing function to the string. The new string consists of
8490 characters taken from the first <'m'> characters of the string
8491
8492   abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQWRSTUVWXYZ0123456789
8493 +
8494 If <'m'> is not present the value 26 is used, so that only lower case
8495 letters appear. For example:
8496 +
8497 &&&
8498 `\${hash{3}{monty}}           `   yields  `jmg`
8499 `\${hash{5}{monty}}           `   yields  `monty`
8500 `\${hash{4}{62}{monty python}}`   yields  `fbWx`
8501 &&&
8502
8503
8504 *\$header_*<'header~name'>*:*~or~*\$h_*<'header~name'>*:*::
8505 See *\$rheader* below.
8506
8507 *\$bheader_*<'header~name'>*:*~or~*\$bh_*<'header~name'>*:*::
8508 See *\$rheader* below.
8509
8510 *\$rheader_*<'header~name'>*:*~or~*\$rh_*<'header~name'>*:*::
8511 cindex:[expansion,header insertion]
8512 cindex:[$header_$]
8513 cindex:[$bheader_$]
8514 cindex:[$rheader_$]
8515 cindex:[header lines,in expansion strings]
8516 cindex:[header lines,character sets]
8517 cindex:[header lines,decoding]
8518 Substitute the contents of the named message header line, for example
8519
8520   $header_reply-to:
8521 +
8522 The newline that terminates a header line is not included in the expansion, but
8523 internal newlines (caused by splitting the header line over several physical
8524 lines) may be present.
8525 +
8526 The difference between %rheader%, %bheader%, and %header% is in the way the
8527 data in the header line is interpreted.
8528 +
8529 --
8530 - cindex:[white space,in header lines]
8531 %rheader% gives the original ``raw'' content of the header line, with no
8532 processing at all, and without the removal of leading and trailing white space.
8533
8534 - cindex:[base64 encoding,in header lines]
8535 %bheader% removes leading and trailing white space, and then decodes base64 or
8536 quoted-printable MIME ``words'' within the header text, but does no character
8537 set translation. If decoding of what looks superficially like a MIME ``word''
8538 fails, the raw string is returned. If decoding
8539 cindex:[binary zero,in header line]
8540 produces a binary zero character, it is replaced by a question mark -- this is
8541 what Exim does for binary zeros that are actually received in header lines.
8542
8543 - %header% tries to translate the string as decoded by %bheader% to a standard
8544 character set. This is an attempt to produce the same string as would be
8545 displayed on a user's MUA. If translation fails, the %bheader% string is
8546 returned. Translation is attempted only on operating systems that support the
8547 'iconv()' function. This is indicated by the compile-time macro
8548 HAVE_ICONV in a system Makefile or in _Local/Makefile_.
8549 --
8550 +
8551 In a filter file, the target character set for %header% can be specified by a
8552 command of the following form:
8553
8554   headers charset "UTF-8"
8555 +
8556 This command affects all references to $h_$ (or $header_$) expansions in
8557 subsequently obeyed filter commands. In the absence of this command, the target
8558 character set in a filter is taken from the setting of the %headers_charset%
8559 option in the runtime configuration. The value of this option defaults to the
8560 value of HEADERS_CHARSET in _Local/Makefile_. The ultimate default is
8561 ISO-8859-1.
8562 +
8563 Header names follow the syntax of RFC 2822, which states that they may contain
8564 any printing characters except space and colon. Consequently, curly brackets
8565 'do not' terminate header names, and should not be used to enclose them as
8566 if they were variables. Attempting to do so causes a syntax error.
8567 +
8568 Only header lines that are common to all copies of a message are visible to
8569 this mechanism. These are the original header lines that are received with the
8570 message, and any that are added by an ACL %warn% statement or by a system
8571 filter. Header lines that are added to a particular copy of a message by a
8572 router or transport are not accessible.
8573 +
8574 For incoming SMTP messages, no header lines are visible in ACLs that are obeyed
8575 before the DATA ACL, because the header structure is not set up until the
8576 message is received. Header lines that are added by %warn% statements in a
8577 RCPT ACL (for example) are saved until the message's incoming header lines
8578 are available, at which point they are added. When a DATA ACL is running,
8579 however, header lines added by earlier ACLs are visible.
8580 +
8581 Upper case and lower case letters are synonymous in header names. If the
8582 following character is white space, the terminating colon may be omitted, but
8583 this is not recommended, because you may then forget it when it is needed. When
8584 white space terminates the header name, it is included in the expanded string.
8585 If the message does not contain the given header, the expansion item is
8586 replaced by an empty string. (See the %def% condition in section <<SECTexpcond>>
8587 for a means of testing for the existence of a header.)
8588 +
8589 If there is more than one header with the same name, they are all
8590 concatenated to form the substitution string, up to a maximum length of 64K. A
8591 newline character is inserted between each line. For the %header% expansion,
8592 for those headers that contain lists of addresses, a comma is also inserted at
8593 the junctions between lines. This does not happen for the %rheader% expansion.
8594
8595
8596
8597 *\$\{hmac\{*<'hashname'>*\}\{*<'secret'>*\}\{*<'string'>*\}\}*::
8598 cindex:[expansion,hmac hashing]
8599 This function uses cryptographic hashing (either MD5 or SHA-1) to convert a
8600 shared secret and some text into a message authentication code, as specified in
8601 RFC 2104. This differs from `\$\{md5:secret_text...\}` or
8602 `\$\{sha1:secret_text...\}` in that the hmac step adds a signature to the
8603 cryptographic hash, allowing for authentication that is not possible with MD5
8604 or SHA-1 alone. The hash name must expand to either `md5` or `sha1` at present.
8605 For example:
8606
8607   ${hmac{md5}{somesecret}{$primary_hostname $tod_log}}
8608 +
8609 For the hostname 'mail.example.com' and time 2002-10-17 11:30:59, this
8610 produces:
8611
8612   dd97e3ba5d1a61b5006108f8c8252953
8613 +
8614 As an example of how this might be used, you might put in the main part of
8615 an Exim configuration:
8616
8617   SPAMSCAN_SECRET=cohgheeLei2thahw
8618 +
8619 In a router or a transport you could then have:
8620 +
8621 ....
8622 headers_add = \
8623   X-Spam-Scanned: ${primary_hostname} ${message_id} \
8624   ${hmac{md5}{SPAMSCAN_SECRET}\
8625   {${primary_hostname},${message_id},$h_message-id:}}
8626 ....
8627 +
8628 Then given a message, you can check where it was scanned by looking at the
8629 'X-Spam-Scanned:' header line. If you know the secret, you can check that this
8630 header line is authentic by recomputing the authentication code from the host
8631 name, message ID and the 'Message-id:' header line. This can be done using
8632 Exim's %-be% option, or by other means, for example by using the
8633 'hmac_md5_hex()' function in Perl.
8634
8635
8636 *\$\{if~*<'condition'>*~\{*<'string1'>*\}\{*<'string2'>*\}\}*::
8637 cindex:[expansion,conditional]
8638 If <'condition'> is true, <'string1'> is expanded and replaces the whole item;
8639 otherwise <'string2'> is used. The available conditions are described in
8640 section <<SECTexpcond>> below. For example:
8641
8642   ${if eq {$local_part}{postmaster} {yes}{no} }
8643 +
8644 The second string need not be present; if it is not and the condition is not
8645 true, the item is replaced with nothing. Alternatively, the word ``fail'' may be
8646 present instead of the second string (without any curly brackets). In this
8647 case, the expansion is forced to fail if the condition is not true (see section
8648 <<SECTforexpfai>>).
8649 +
8650 If both strings are omitted, the result is the string `true` if the condition
8651 is true, and the empty string if the condition is false. This makes it less
8652 cumbersome to write custom ACL and router conditions. For example, instead of
8653
8654   condition = ${if >{$acl_m4}{3}{true}{false}}
8655 +
8656 you can use
8657
8658   condition = ${if >{$acl_m4}{3}}
8659
8660
8661
8662 *\$\{length\{*<'string1'>*\}\{*<'string2'>*\}\}*::
8663 cindex:[expansion,string truncation]
8664 The %length% item is used to extract the initial portion of a string. Both
8665 strings are expanded, and the first one must yield a number, <'n'>, say. If you
8666 are using a fixed value for the number, that is, if <'string1'> does not change
8667 when expanded, you can use the simpler operator notation that avoids some of
8668 the braces:
8669
8670   ${length_<n>:<string>}
8671 +
8672 The result of this item is either the first <'n'> characters or the whole
8673 of <'string2'>, whichever is the shorter. Do not confuse %length% with
8674 %strlen%, which gives the length of a string.
8675
8676
8677 *\$\{lookup\{*<'key'>*\}~*<'search~type'>*~\{*<'file'>*\}~\{*<'string1'>*\}~\{*<'string2'>*\}\}*::
8678 This is the first of one of two different types of lookup item, which are both
8679 described in the next item.
8680
8681 *\$\{lookup~*<'search~type'>*~\{*<'query'>*\}~\{*<'string1'>*\}~\{*<'string2'>*\}\}*::
8682 cindex:[expansion,lookup in]
8683 cindex:[file,lookup]
8684 cindex:[lookup,in expanded string]
8685 The two forms of lookup item specify data lookups in files and databases, as
8686 discussed in chapter <<CHAPfdlookup>>. The first form is used for single-key
8687 lookups, and the second is used for query-style lookups. The <'key'>, <'file'>,
8688 and <'query'> strings are expanded before use.
8689 +
8690 If there is any white space in a lookup item which is part of a filter command,
8691 a retry or rewrite rule, a routing rule for the ^manualroute^ router, or any
8692 other place where white space is significant, the lookup item must be enclosed
8693 in double quotes. The use of data lookups in users' filter files may be locked
8694 out by the system administrator.
8695 +
8696 cindex:[$value$]
8697 If the lookup succeeds, <'string1'> is expanded and replaces the entire item.
8698 During its expansion, the variable $value$ contains the data returned by the
8699 lookup. Afterwards it reverts to the value it had previously (at the outer
8700 level it is empty). If the lookup fails, <'string2'> is expanded and replaces
8701 the entire item. If \{<'string2'>\} is omitted, the replacement is the empty
8702 string on failure. If <'string2'> is provided, it can itself be a nested
8703 lookup, thus providing a mechanism for looking up a default value when the
8704 original lookup fails.
8705 +
8706 If a nested lookup is used as part of <'string1'>, $value$ contains the data
8707 for the outer lookup while the parameters of the second lookup are expanded,
8708 and also while <'string2'> of the second lookup is expanded, should the second
8709 lookup fail. + Instead of \{<'string2'>\} the word ``fail'' can appear, and in
8710 this case, if the lookup fails, the entire expansion is forced to fail (see
8711 section <<SECTforexpfai>>). If both \{<'string1'>\} and \{<'string2'>\} are
8712 omitted, the result is the looked up value in the case of a successful lookup,
8713 and nothing in the case of failure.
8714 +
8715 For single-key lookups, the string ``partial'' is permitted to precede the
8716 search type in order to do partial matching, and \* or \*@ may follow a search
8717 type to request default lookups if the key does not match (see sections
8718 <<SECTdefaultvaluelookups>> and <<SECTpartiallookup>> for details).
8719 +
8720 cindex:[numerical variables ($1$ $2$ etc),in lookup expansion]
8721 If a partial search is used, the variables $1$ and $2$ contain the wild
8722 and non-wild parts of the key during the expansion of the replacement text.
8723 They return to their previous values at the end of the lookup item.
8724 +
8725 This example looks up the postmaster alias in the conventional alias file:
8726
8727   ${lookup {postmaster} lsearch {/etc/aliases} {$value}}
8728 +
8729 This example uses NIS+ to look up the full name of the user corresponding to
8730 the local part of an address, forcing the expansion to fail if it is not found:
8731 +
8732 ....
8733 ${lookup nisplus {[name=$local_part],passwd.org_dir:gcos} \
8734   {$value}fail}
8735 ....
8736
8737
8738 *\$\{nhash\{*<'string1'>*\}\{*<'string2'>*\}\{*<'string3'>*\}\}*::
8739 cindex:[expansion,numeric hash]
8740 cindex:[hash function,numeric]
8741 The three strings are expanded; the first two must yield numbers. Call them
8742 <'n'> and <'m'>. If you are using fixed values for these numbers, that is, if
8743 <'string1'> and <'string2'> do not change when they are expanded, you can use
8744 the simpler operator notation that avoids some of the braces:
8745
8746   ${nhash_<n>_<m>:<string>}
8747 +
8748 The second number is optional (in both notations). If there is only one number,
8749 the result is a number in the range 0--<'n'>-1. Otherwise, the string is
8750 processed by a div/mod hash function that returns two numbers, separated by a
8751 slash, in the ranges 0 to <'n'>-1 and 0 to <'m'>-1, respectively. For example,
8752
8753   ${nhash{8}{64}{supercalifragilisticexpialidocious}}
8754 +
8755 returns the string ``6/33''.
8756
8757
8758
8759 *\$\{perl\{*<'subroutine'>*\}\{*<'arg'>*\}\{*<'arg'>*\}...\}*::
8760 cindex:[Perl,use in expanded string]
8761 cindex:[expansion,calling Perl from]
8762 This item is available only if Exim has been built to include an embedded Perl
8763 interpreter. The subroutine name and the arguments are first separately
8764 expanded, and then the Perl subroutine is called with those arguments. No
8765 additional arguments need be given; the maximum number permitted, including the
8766 name of the subroutine, is nine.
8767 +
8768 The return value of the subroutine is inserted into the expanded string, unless
8769 the return value is %undef%. In that case, the expansion fails in the same way
8770 as an explicit ``fail'' on a lookup item.
8771 The return value is a scalar. Whatever you return is evaluated in a scalar
8772 context. For example, if you return the name of a Perl vector, the
8773 return value is the size of the vector, not its contents.
8774 +
8775 If the subroutine exits by calling Perl's %die% function, the expansion fails
8776 with the error message that was passed to %die%. More details of the embedded
8777 Perl facility are given in chapter <<CHAPperl>>.
8778 +
8779 The ^redirect^ router has an option called %forbid_filter_perl% which locks
8780 out the use of this expansion item in filter files.
8781
8782
8783 *\$\{prvs\{*<'address'>*\}\{*<'secret'>*\}\{*<'keynumber'>*\}\}*::
8784 +
8785 [revisionflag="changed"]
8786 cindex:[prvs,expansion item]
8787 The first argument is a complete email address and the second is secret
8788 keystring. The third argument, specifying a key number, is optional. If absent,
8789 it defaults to 0. The result of the expansion is a prvs-signed email address,
8790 to be typically used with the %return_path% option on an ^smtp^ transport as
8791 part of a bounce address tag validation (BATV) scheme. For more discussion and
8792 an example, see section <<SECTverifyPRVS>>.
8793
8794
8795 *\$\{prvscheck\{*<'address'>*\}\{*<'secret'>*\}\{*<'string'>*\}\}*::
8796 +
8797 [revisionflag="changed"]
8798 cindex:[prvscheck,expansion item]
8799 This expansion item is the complement of the %prvs% item. It is used for
8800 checking prvs-signed addresses. If the expansion of the first argument does not
8801 yield a syntactically valid prvs-signed address, the whole item expands to the
8802 empty string. When the first argument does expand to a syntactically valid
8803 prvs-signed address, the second argument is expanded, with the prvs-decoded
8804 version of the address and the key number extracted from the address in the
8805 variables $prvscheck_address$ and $prvscheck_keynum$, respectively.
8806 +
8807 [revisionflag="changed"]
8808 These two variables can be used in the expansion of the second argument to
8809 retrieve the secret. The validity of the prvs-signed address is then checked
8810 against the secret. The result is stored in the variable $prvscheck_result$,
8811 which is empty for failure or ``1'' for success.
8812 +
8813 [revisionflag="changed"]
8814 The third argument is optional; if it is missing, it defaults to an empty
8815 string. This argument is now expanded. If the result is an empty string, the
8816 result of the expansion is the decoded version of the address. This is the case
8817 whether or not the signature was valid. Otherwise, the result of the expansion
8818 is the expansion of the third argument.
8819 +
8820 [revisionflag="changed"]
8821 All three variables can be used in the expansion of the third argument.
8822 However, once the expansion is complete, only $prvscheck_result$ remains set.
8823 For more discussion and an example, see section <<SECTverifyPRVS>>.
8824
8825
8826 *\$\{readfile\{*<'file~name'>*\}\{*<'eol~string'>*\}\}*::
8827 cindex:[expansion,inserting an entire file]
8828 cindex:[file,inserting into expansion]
8829 The file name and end-of-line string are first expanded separately. The file is
8830 then read, and its contents replace the entire item. All newline characters in
8831 the file are replaced by the end-of-line string if it is present. Otherwise,
8832 newlines are left in the string.
8833 String expansion is not applied to the contents of the file. If you want this,
8834 you must wrap the item in an %expand% operator. If the file cannot be read, the
8835 string expansion fails.
8836 +
8837 The ^redirect^ router has an option called %forbid_filter_readfile% which
8838 locks out the use of this expansion item in filter files.
8839
8840
8841
8842 *\$\{readsocket\{*<'name'>*\}\{*<'request'>*\}\{*<'timeout'>*\}\{*<'eol~string'>*\}\{*<'fail~string'>*\}\}*::
8843 cindex:[expansion,inserting from a socket]
8844 cindex:[socket, use of in expansion]
8845 This item inserts data that is read from a Unix domain socket into the expanded
8846 string. The minimal way of using it uses just two arguments:
8847
8848   ${readsocket{/socket/name}{request string}}
8849 +
8850 Exim connects to the socket, writes the request string (unless it is an
8851 empty string) and reads from the socket until an end-of-file is read. A timeout
8852 of 5 seconds is applied. Additional, optional arguments extend what can be
8853 done. Firstly, you can vary the timeout. For example:
8854
8855   ${readsocket{/socket/name}{request-string}{3s}}
8856 +
8857 A fourth argument allows you to change any newlines that are in the data
8858 that is read, in the same way as for %readfile% (see above). This example turns
8859 them into spaces:
8860
8861   ${readsocket{/socket/name}{request-string}{3s}{ }}
8862 +
8863 As with all expansions, the substrings are expanded before the processing
8864 happens. Errors in these sub-expansions cause the expansion to fail. In
8865 addition, the following errors can occur:
8866 +
8867 --
8868 - Failure to create a socket file descriptor;
8869
8870 - Failure to connect the socket;
8871
8872 - Failure to write the request-string;
8873
8874 - Timeout on reading from the socket.
8875 --
8876 +
8877 By default, any of these errors causes the expansion to fail. However, if
8878 you supply a fifth substring, it is expanded and used when any of the above
8879 errors occurs. For example:
8880 +
8881 ....
8882   ${readsocket{/socket/name}{request-string}{3s}{\n}\
8883     {socket failure}}
8884 ....
8885 +
8886 You can test for the existence of the socket by wrapping this expansion in
8887 `\$\{if exists`, but there is a race condition between that test and the
8888 actual opening of the socket, so it is safer to use the fifth argument if you
8889 want to be absolutely sure of avoiding an expansion error for a non-existent
8890 socket.
8891 +
8892 The ^redirect^ router has an option called %forbid_filter_readsocket% which
8893 locks out the use of this expansion item in filter files.
8894
8895 *\$rheader_*<'header~name'>*:~or~\$rh_*<'header~name'>*:*::
8896 This item inserts ``raw'' header lines. It is described with the %header%
8897 expansion item above.
8898
8899
8900
8901 *\$\{run\{*<'command'>*~*<'args'>*\}\{*<'string1'>*\}\{*<'string2'>*\}\}*::
8902 cindex:[expansion,running a command]
8903 The command and its arguments are first expanded separately, and then the
8904 command is run in a separate process, but under the same uid and gid. As in
8905 other command executions from Exim, a shell is not used by default. If you want
8906 a shell, you must explicitly code it.
8907 +
8908 [revisionflag="changed"]
8909 cindex:[return code,from %run% expansion]
8910 cindex:[$value$]
8911 If the command succeeds (gives a zero return code) <'string1'> is expanded and
8912 replaces the entire item; during this expansion, the standard output from the
8913 command is in the variable $value$. If the command fails, <'string2'>, if
8914 present, is expanded and used. Once again, during the expansion, the standard
8915 output from the command is in the variable $value$. If <'string2'> is absent,
8916 the result is empty. Alternatively, <'string2'> can be the word ``fail'' (not
8917 in braces) to force expansion failure if the command does not succeed. If both
8918 strings are omitted, the result is contents of the standard output on success,
8919 and nothing on failure.
8920 +
8921 cindex:[$runrc$]
8922 The return code from the command is put in the variable $runrc$, and this
8923 remains set afterwards, so in a filter file you can do things like this:
8924
8925   if "${run{x y z}{}}$runrc" is 1 then ...
8926     elif $runrc is 2 then ...
8927     ...
8928   endif
8929 +
8930 If execution of the command fails (for example, the command does not exist),
8931 the return code is 127 -- the same code that shells use for non-existent
8932 commands.
8933 +
8934 *Warning*: In a router or transport, you cannot assume the order in which
8935 option values are expanded, except for those pre-conditions whose order of
8936 testing is documented. Therefore, you cannot reliably expect to set $runrc$
8937 by the expansion of one option, and use it in another.
8938 +
8939 The ^redirect^ router has an option called %forbid_filter_run% which locks
8940 out the use of this expansion item in filter files.
8941
8942
8943 *\$\{sg\{*<'subject'>*\}\{*<'regex'>*\}\{*<'replacement'>*\}\}*::
8944 cindex:[expansion,string substitution]
8945 This item works like Perl's substitution operator (s) with the global (/g)
8946 option; hence its name. However, unlike the Perl equivalent, Exim does not
8947 modify the subject string; instead it returns the modified string for insertion
8948 into the overall expansion. The item takes three arguments: the subject string,
8949 a regular expression, and a substitution string. For example
8950
8951   ${sg{abcdefabcdef}{abc}{xyz}}
8952 +
8953 yields ``xyzdefxyzdef''. Because all three arguments are expanded before use, if
8954 any \$ or \ characters are required in the regular expression or in the
8955 substitution string, they have to be escaped. For example
8956
8957   ${sg{abcdef}{^(...)(...)\$}{\$2\$1}}
8958 +
8959 yields ``defabc'', and
8960
8961   ${sg{1=A 4=D 3=C}{\N(\d+)=\N}{K\$1=}}
8962 +
8963 yields ``K1=A K4=D K3=C''. Note the use of `\N` to protect the contents of
8964 the regular expression from string expansion.
8965
8966
8967
8968 *\$\{substr\{*<'string1'>*\}\{*<'string2'>*\}\{*<'string3'>*\}\}*::
8969 cindex:[%substr%]
8970 cindex:[substring extraction]
8971 cindex:[expansion,substring extraction]
8972 The three strings are expanded; the first two must yield numbers. Call them
8973 <'n'> and <'m'>. If you are using fixed values for these numbers, that is, if
8974 <'string1'> and <'string2'> do not change when they are expanded, you can use
8975 the simpler operator notation that avoids some of the braces:
8976
8977   ${substr_<n>_<m>:<string>}
8978 +
8979 The second number is optional (in both notations).
8980 If it is absent in the simpler format, the preceding underscore must also be
8981 omitted.
8982 +
8983 The %substr% item can be used to extract more general substrings than
8984 %length%. The first number, <'n'>, is a starting offset, and <'m'> is the
8985 length required. For example
8986
8987   ${substr{3}{2}{$local_part}}
8988 +
8989 If the starting offset is greater than the string length the result is the
8990 null string; if the length plus starting offset is greater than the string
8991 length, the result is the right-hand part of the string, starting from the
8992 given offset. The first character in the string has offset zero.
8993 +
8994 The %substr% expansion item can take negative offset values to count
8995 from the right-hand end of its operand. The last character is offset -1, the
8996 second-last is offset -2, and so on. Thus, for example,
8997
8998   ${substr{-5}{2}{1234567}}
8999 +
9000 yields ``34''. If the absolute value of a negative offset is greater than the
9001 length of the string, the substring starts at the beginning of the string, and
9002 the length is reduced by the amount of overshoot. Thus, for example,
9003
9004   ${substr{-5}{2}{12}}
9005 +
9006 yields an empty string, but
9007
9008   ${substr{-3}{2}{12}}
9009 +
9010 yields ``1''.
9011 +
9012 When the second number is omitted from %substr%, the remainder of the string
9013 is taken if the offset is positive. If it is negative, all characters in the
9014 string preceding the offset point are taken. For example, an offset of -1 and
9015 no length, as in these semantically identical examples:
9016
9017   ${substr_-1:abcde}
9018   ${substr{-1}{abcde}}
9019 +
9020 yields all but the last character of the string, that is, ``abcd''.
9021
9022
9023
9024 *\$\{tr\{*<'subject'>*\}\{*<'characters'>*\}\{*<'replacements'>*\}\}*::
9025 cindex:[expansion,character translation]
9026 This item does single-character translation on its subject string. The second
9027 argument is a list of characters to be translated in the subject string. Each
9028 matching character is replaced by the corresponding character from the
9029 replacement list. For example
9030
9031   ${tr{abcdea}{ac}{13}}
9032 +
9033 yields `1b3de1`. If there are duplicates in the second character string, the
9034 last occurrence is used. If the third string is shorter than the second, its
9035 last character is replicated. However, if it is empty, no translation takes
9036 place.
9037
9038
9039
9040 [[SECTexpop]]
9041 Expansion operators
9042 ~~~~~~~~~~~~~~~~~~~
9043 cindex:[expansion,operators]
9044 For expansion items that perform transformations on a single argument string,
9045 the ``operator'' notation is used because it is simpler and uses fewer braces.
9046 The substring is first expanded before the operation is applied to it. The
9047 following operations can be performed:
9048
9049 *\$\{address:*<'string'>*\}*::
9050 cindex:[expansion,RFC 2822 address handling]
9051 The string is interpreted as an RFC 2822 address, as it might appear in a
9052 header line, and the effective address is extracted from it. If the string does
9053 not parse successfully, the result is empty.
9054
9055
9056 *\$\{base62:*<'digits'>*\}*::
9057 +
9058 [revisionflag="changed"]
9059 cindex:[base62]
9060 cindex:[expansion,conversion to base 62]
9061 The string must consist entirely of decimal digits. The number is converted to
9062 base 62 and output as a string of six characters, including leading zeros. In
9063 the few operating environments where Exim uses base 36 instead of base 62 for
9064 its message identifiers (because those systems do not have case-sensitive file
9065 names), base 36 is used by this operator, despite its name. *Note*: Just to be
9066 absolutely clear: this is 'not' base64 encoding.
9067
9068 *\$\{base62d:*<'base-62~digits'>*\}*::
9069 +
9070 [revisionflag="changed"]
9071 cindex:[base62]
9072 cindex:[expansion,conversion to base 62]
9073 The string must consist entirely of base-62 digits, or, in operating
9074 environments where Exim uses base 36 instead of base 62 for its message
9075 identifiers, base-36 digits. The number is converted to decimal and output as a
9076 string.
9077
9078
9079 *\$\{domain:*<'string'>*\}*::
9080 cindex:[domain,extraction]
9081 cindex:[expansion,domain extraction]
9082 The string is interpreted as an RFC 2822 address and the domain is extracted
9083 from it. If the string does not parse successfully, the result is empty.
9084
9085
9086 *\$\{escape:*<'string'>*\}*::
9087 cindex:[expansion,escaping non-printing characters]
9088 If the string contains any non-printing characters, they are converted to
9089 escape sequences starting with a backslash. Whether characters with the most
9090 significant bit set (so-called ``8-bit characters'') count as printing or not is
9091 controlled by the %print_topbitchars% option.
9092
9093
9094 *\$\{eval:*<'string'>*\}*::
9095 *\$\{eval10:*<'string'>*\}*::
9096 +
9097 [revisionflag="changed"]
9098 cindex:[expansion,expression evaluation]
9099 cindex:[expansion,arithmetic expression]
9100 These items supports simple arithmetic in expansion strings. The string (after
9101 expansion) must be a conventional arithmetic expression, but it is limited to
9102 five basic operators (plus, minus, times, divide, remainder) and parentheses.
9103 All operations are carried out using integer arithmetic. Plus and minus have a
9104 lower priority than times, divide, and remainder; operators with the same
9105 priority are evaluated from left to right.
9106 +
9107 For %eval%, numbers may be decimal, octal (starting with ``0'') or hexadecimal
9108 (starting with ``0x''). For %eval10%, all numbers are taken as decimal, even if
9109 they start with a leading zero. This can be useful when processing numbers
9110 extracted from dates or times, which often do have leading zeros.
9111 +
9112 A number may be followed by ``K'' or ``M'' to multiply it by 1024 or 1024\*1024,
9113 respectively. Negative numbers are supported. The result of the computation is
9114 a decimal representation of the answer (without ``K'' or ``M''). For example:
9115 +
9116 [revisionflag="changed"]
9117 &&&
9118 `\${eval:1+1}     `  yields 2
9119 `\${eval:1+2*3}   `  yields 7
9120 `\${eval:(1+2)*3} `  yields 9
9121 `\${eval:2+42%5}  `  yields 4
9122 &&&
9123 +
9124 As a more realistic example, in an ACL you might have
9125 +
9126 ....
9127 deny   message = Too many bad recipients
9128        condition =                    \
9129          ${if and {                   \
9130            {>{$rcpt_count}{10}}       \
9131            {                          \
9132            <                          \
9133              {$recipients_count}      \
9134              {${eval:$rcpt_count/2}}  \
9135            }                          \
9136          }{yes}{no}}
9137 ....
9138 +
9139 The condition is true if there have been more than 10 RCPT commands and
9140 fewer than half of them have resulted in a valid recipient.
9141
9142
9143 *\$\{expand:*<'string'>*\}*::
9144 cindex:[expansion,re-expansion of substring]
9145 The %expand% operator causes a string to be expanded for a second time. For
9146 example,
9147
9148   ${expand:${lookup{$domain}dbm{/some/file}{$value}}}
9149 +
9150 first looks up a string in a file while expanding the operand for %expand%, and
9151 then re-expands what it has found.
9152
9153
9154 *\$\{from_utf8:*<'string'>*\}*::
9155 cindex:[Unicode]
9156 cindex:[UTF-8,conversion from]
9157 cindex:[expansion,UTF-8 conversion]
9158 The world is slowly moving towards Unicode, although there are no standards for
9159 email yet. However, other applications (including some databases) are starting
9160 to store data in Unicode, using UTF-8 encoding. This operator converts from a
9161 UTF-8 string to an ISO-8859-1 string. UTF-8 code values greater than 255 are
9162 converted to underscores. The input must be a valid UTF-8 string. If it is not,
9163 the result is an undefined sequence of bytes.
9164 +
9165 Unicode code points with values less than 256 are compatible with ASCII and
9166 ISO-8859-1 (also known as Latin-1).
9167 For example, character 169 is the copyright symbol in both cases, though the
9168 way it is encoded is different. In UTF-8, more than one byte is needed for
9169 characters with code values greater than 127, whereas ISO-8859-1 is a
9170 single-byte encoding (but thereby limited to 256 characters). This makes
9171 translation from UTF-8 to ISO-8859-1 straightforward.
9172
9173
9174 *\$\{hash_*<'n'>*_*<'m'>*:*<'string'>*\}*::
9175 cindex:[hash function,textual]
9176 cindex:[expansion,textual hash]
9177 The %hash% operator is a simpler interface to the hashing function that can be
9178 used when the two parameters are fixed numbers (as opposed to strings that
9179 change when expanded). The effect is the same as
9180
9181   ${hash{<n>}{<m>}{<string>}}
9182 +
9183 See the description of the general %hash% item above for details. The
9184 abbreviation %h% can be used when %hash% is used as an operator.
9185
9186
9187
9188 *\$\{hex2b64:*<'hexstring'>*\}*::
9189 cindex:[base64 encoding,conversion from hex]
9190 cindex:[expansion,hex to base64]
9191 This operator converts a hex string into one that is base64 encoded. This can
9192 be useful for processing the output of the MD5 and SHA-1 hashing functions.
9193
9194
9195 *\$\{lc:*<'string'>*\}*::
9196 cindex:[case forcing in strings]
9197 cindex:[string,case forcing]
9198 cindex:[lower casing]
9199 cindex:[expansion,case forcing]
9200 This forces the letters in the string into lower-case, for example:
9201
9202   ${lc:$local_part}
9203
9204
9205
9206 *\$\{length_*<'number'>*:*<'string'>*\}*::
9207 cindex:[expansion,string truncation]
9208 The %length% operator is a simpler interface to the %length% function that can
9209 be used when the parameter is a fixed number (as opposed to a string that
9210 changes when expanded). The effect is the same as
9211
9212   ${length{<number>}{<string>}}
9213 +
9214 See the description of the general %length% item above for details. Note that
9215 %length% is not the same as %strlen%. The abbreviation %l% can be used when
9216 %length% is used as an operator.
9217
9218
9219 *\$\{local_part:*<'string'>*\}*::
9220 cindex:[expansion,local part extraction]
9221 The string is interpreted as an RFC 2822 address and the local part is
9222 extracted from it. If the string does not parse successfully, the result is
9223 empty.
9224
9225
9226 *\$\{mask:*<'IP~address'>*/*<'bit~count'>*\}*::
9227 cindex:[masked IP address]
9228 cindex:[IP address,masking]
9229 cindex:[CIDR notation]
9230 cindex:[expansion,IP address masking]
9231 If the form of the string to be operated on is not an IP address followed by a
9232 slash and an integer (that is, a network address in CIDR notation), the
9233 expansion fails. Otherwise, this operator converts the IP address to binary,
9234 masks off the least significant bits according to the bit count, and converts
9235 the result back to text, with mask appended. For example,
9236
9237   ${mask:10.111.131.206/28}
9238 +
9239 returns the string ``10.111.131.192/28''. Since this operation is expected to be
9240 mostly used for looking up masked addresses in files, the result for an IPv6
9241 address uses dots to separate components instead of colons, because colon
9242 terminates a key string in lsearch files. So, for example,
9243
9244   ${mask:3ffe:ffff:836f:0a00:000a:0800:200a:c031/99}
9245 +
9246 returns the string
9247
9248   3ffe.ffff.836f.0a00.000a.0800.2000.0000/99
9249 +
9250 Letters in IPv6 addresses are always output in lower case.
9251
9252
9253 *\$\{md5:*<'string'>*\}*::
9254 cindex:[MD5 hash]
9255 cindex:[expansion,MD5 hash]
9256 The %md5% operator computes the MD5 hash value of the string, and returns it as
9257 a 32-digit hexadecimal number,
9258 in which any letters are in lower case.
9259
9260
9261 *\$\{nhash_*<'n'>*_*<'m'>*:*<'string'>*\}*::
9262 cindex:[expansion,numeric hash]
9263 cindex:[hash function,numeric]
9264 The %nhash% operator is a simpler interface to the numeric hashing function
9265 that can be used when the two parameters are fixed numbers (as opposed to
9266 strings that change when expanded). The effect is the same as
9267
9268   ${nhash{<n>}{<m>}{<string>}}
9269 +
9270 See the description of the general %nhash% item above for details.
9271
9272
9273 *\$\{quote:*<'string'>*\}*::
9274 cindex:[quoting,in string expansions]
9275 cindex:[expansion,quoting]
9276 The %quote% operator puts its argument into double quotes if it
9277 is an empty string or
9278 contains anything other than letters, digits, underscores, dots, and hyphens.
9279 Any occurrences of double quotes and backslashes are escaped with a backslash.
9280 Newlines and carriage returns are converted to `\n` and `\r`,
9281 respectively For example,
9282
9283   ${quote:ab"*"cd}
9284 +
9285 becomes
9286
9287   "ab\"*\"cd"
9288 +
9289 The place where this is useful is when the argument is a substitution from a
9290 variable or a message header.
9291
9292 *\$\{quote_local_part:*<'string'>*\}*::
9293 This operator is like %quote%, except that it quotes the string only if
9294 required to do so by the rules of RFC 2822 for quoting local parts. For
9295 example, a plus sign would not cause quoting (but it would for %quote%).
9296 If you are creating a new email address from the contents of $local_part$
9297 (or any other unknown data), you should always use this operator.
9298
9299
9300 *\$\{quote_*<'lookup-type'>*:*<'string'>*\}*::
9301 cindex:[quoting,lookup-specific]
9302 This operator applies lookup-specific quoting rules to the string. Each
9303 query-style lookup type has its own quoting rules which are described with
9304 the lookups in chapter <<CHAPfdlookup>>. For example,
9305
9306   ${quote_ldap:two * two}
9307 +
9308 returns
9309
9310   two%20%5C2A%20two
9311 +
9312 For single-key lookup types, no quoting is ever necessary and this operator
9313 yields an unchanged string.
9314
9315
9316 *\$\{rxquote:*<'string'>*\}*::
9317 cindex:[quoting,in regular expressions]
9318 cindex:[regular expressions,quoting]
9319 The %rxquote% operator inserts a backslash before any non-alphanumeric
9320 characters in its argument. This is useful when substituting the values of
9321 variables or headers inside regular expressions.
9322
9323
9324 *\$\{rfc2047:*<'string'>*\}*::
9325 cindex:[expansion,RFC 2047]
9326 This operator encodes text according to the rules of RFC 2047. This is an
9327 encoding that is used in header lines to encode non-ASCII characters. It is
9328 assumed that the input string is in the encoding specified by the
9329 %headers_charset% option, which defaults to ISO-8859-1. If the string contains
9330 only characters in the range 33--126, and no instances of the characters
9331
9332   ? = ( ) < > @ , ; : \ " . [ ] _
9333 +
9334 it is not modified. Otherwise, the result is the RFC 2047 encoding of the
9335 string, using as many ``coded words'' as necessary to encode all the
9336 characters.
9337
9338
9339
9340 *\$\{sha1:*<'string'>*\}*::
9341 cindex:[SHA-1 hash]
9342 cindex:[expansion,SHA-1 hashing]
9343 The %sha1% operator computes the SHA-1 hash value of the string, and returns it
9344 as a 40-digit hexadecimal number, in which any letters are in upper case.
9345
9346
9347 *\$\{stat:*<'string'>*\}*::
9348 cindex:[expansion,statting a file]
9349 cindex:[file,extracting characteristics]
9350 The string, after expansion, must be a file path. A call to the 'stat()'
9351 function is made for this path. If 'stat()' fails, an error occurs and the
9352 expansion fails. If it succeeds, the data from the stat replaces the item, as a
9353 series of <'name'>=<'value'> pairs, where the values are all numerical, except
9354 for the value of ``smode''. The names are: ``mode'' (giving the mode as a
9355 4-digit octal number), ``smode'' (giving the mode in symbolic format as a
9356 10-character string, as for the 'ls' command), ``inode'', ``device'',
9357 ``links'', ``uid'', ``gid'', ``size'', ``atime'', ``mtime'', and ``ctime''. You
9358 can extract individual fields using the %extract% expansion item.
9359 +
9360 [revisionflag="changed"]
9361 The use of the %stat% expansion in users' filter files can be locked out by the
9362 system administrator. *Warning*: The file size may be incorrect on 32-bit
9363 systems for files larger than 2GB.
9364
9365
9366 *\$\{str2b64:*<'string'>*\}*::
9367 cindex:[expansion,base64 encoding]
9368 cindex:[base64 encoding,in string expansion]
9369 This operator converts a string into one that is base64 encoded.
9370
9371
9372
9373 *\$\{strlen:*<'string'>*\}*::
9374 cindex:[expansion,string length]
9375 cindex:[string,length in expansion]
9376 The item is replace by the length of the expanded string, expressed as a
9377 decimal number. *Note*: Do not confuse %strlen% with %length%.
9378
9379
9380 *\$\{substr_*<'start'>*_*<'length'>*:*<'string'>*\}*::
9381 cindex:[%substr%]
9382 cindex:[substring extraction]
9383 cindex:[expansion,substring expansion]
9384 The %substr% operator is a simpler interface to the %substr% function that can
9385 be used when the two parameters are fixed numbers (as opposed to strings that
9386 change when expanded). The effect is the same as
9387
9388   ${substr{<start>}{<length>}{<string>}}
9389 +
9390 See the description of the general %substr% item above for details. The
9391 abbreviation %s% can be used when %substr% is used as an operator.
9392
9393 *\$\{time_interval:*<'string'>*\}*::
9394 cindex:[%time_interval%]
9395 cindex:[time interval,formatting]
9396 The argument (after sub-expansion) must be a sequence of decimal digits that
9397 represents an interval of time as a number of seconds. It is converted into a
9398 number of larger units and output in Exim's normal time format, for example,
9399 `1w3d4h2m6s`.
9400
9401 *\$\{uc:*<'string'>*\}*::
9402 cindex:[case forcing in strings]
9403 cindex:[string,case forcing]
9404 cindex:[upper casing]
9405 cindex:[expansion,case forcing]
9406 This forces the letters in the string into upper-case.
9407
9408
9409
9410
9411
9412
9413 [[SECTexpcond]]
9414 Expansion conditions
9415 ~~~~~~~~~~~~~~~~~~~~
9416 cindex:[expansion,conditions]
9417 The following conditions are available for testing by the %\$\{if% construct
9418 while expanding strings:
9419
9420 *!*<'condition'>::
9421 cindex:[expansion,negating a condition]
9422 Preceding any condition with an exclamation mark negates the result of the
9423 condition.
9424
9425 <'symbolic~operator'>~*\{*<'string1'>*\}\{*<'string2'>*\}*::
9426 cindex:[numeric comparison]
9427 cindex:[expansion,numeric comparison]
9428 There are a number of symbolic operators for doing numeric comparisons. They
9429 are:
9430 +
9431 &&&
9432 `=   `   equal
9433 `==  `   equal
9434 `>   `   greater
9435 `>=  `   greater or equal
9436 `<   `   less
9437 `<=  `   less or equal
9438 &&&
9439 +
9440 For example,
9441
9442   ${if >{$message_size}{10M} ...
9443 +
9444 Note that the general negation operator provides for inequality testing. The
9445 two strings must take the form of optionally signed decimal integers,
9446 optionally followed by one of the letters ``K'' or ``M'' (in either upper or
9447 lower case), signifying multiplication by 1024 or 1024\*1024, respectively.
9448
9449 *crypteq~\{*<'string1'>*\}\{*<'string2'>*\}*::
9450 cindex:[expansion,encrypted comparison]
9451 cindex:[encrypted strings, comparing]
9452 This condition is included in the Exim binary if it is built to support any
9453 authentication mechanisms (see chapter <<CHAPSMTPAUTH>>). Otherwise, it is
9454 necessary to define SUPPORT_CRYPTEQ in _Local/Makefile_ to get %crypteq%
9455 included in the binary.
9456 +
9457 The %crypteq% condition has two arguments. The first is encrypted and compared
9458 against the second, which is already encrypted. The second string may be in the
9459 LDAP form for storing encrypted strings, which starts with the encryption type
9460 in curly brackets, followed by the data. If the second string does not begin
9461 with ``\{'' it is assumed to be encrypted with 'crypt()' or 'crypt16()' (see
9462 below), since such strings cannot begin with ``\{''. Typically this will be a
9463 field from a password file.
9464 +
9465 An example of an encrypted string in LDAP form is:
9466
9467   {md5}CY9rzUYh03PK3k6DJie09g==
9468 +
9469 If such a string appears directly in an expansion, the curly brackets have to
9470 be quoted, because they are part of the expansion syntax. For example:
9471
9472   ${if crypteq {test}{\{md5\}CY9rzUYh03PK3k6DJie09g==}{yes}{no}}
9473 +
9474 The following encryption types (whose names are matched case-independently) are
9475 supported:
9476 +
9477 --
9478 - cindex:[MD5 hash]
9479 cindex:[base64 encoding,in encrypted password]
9480 %\{md5\}% computes the MD5 digest of the first string, and expresses this as
9481 printable characters to compare with the remainder of the second string. If the
9482 length of the comparison string is 24, Exim assumes that it is base64 encoded
9483 (as in the above example). If the length is 32, Exim assumes that it is a
9484 hexadecimal encoding of the MD5 digest. If the length not 24 or 32, the
9485 comparison fails.
9486
9487 - cindex:[SHA-1 hash]
9488 %\{sha1\}% computes the SHA-1 digest of the first string, and expresses this as
9489 printable characters to compare with the remainder of the second string. If the
9490 length of the comparison string is 28, Exim assumes that it is base64 encoded.
9491 If the length is 40, Exim assumes that it is a hexadecimal encoding of the
9492 SHA-1 digest. If the length is not 28 or 40, the comparison fails.
9493
9494 - cindex:['crypt()']
9495 %\{crypt\}% calls the 'crypt()' function, which traditionally used to use only
9496 the first eight characters of the password. However, in modern operating
9497 systems this is no longer true, and in many cases the entire password is used,
9498 whatever its length.
9499
9500 - cindex:['crypt16()']
9501 %\{crypt16\}% calls the 'crypt16()' function (also known as 'bigcrypt()'),
9502 which was orginally created to use up to 16 characters of the password. Again,
9503 in modern operating systems, more characters may be used.
9504 --
9505 +
9506 Exim has its own version of 'crypt16()' (which is just a double call to
9507 'crypt()'). For operating systems that have their own version, setting
9508 HAVE_CRYPT16 in _Local/Makefile_ when building Exim causes it to use the
9509 operating system version instead of its own. This option is set by default in
9510 the OS-dependent _Makefile_ for those operating systems that are known to
9511 support 'crypt16()'.
9512 +
9513 If you do not put any curly bracket encryption type in a %crypteq% comparison,
9514 the default is either `\{crypt\}` or `\{crypt16\}`, as determined by the
9515 setting of DEFAULT_CRYPT in _Local/Makefile_. The default default is
9516 `\{crypt\}`. Whatever the default, you can always use either function by
9517 specifying it explicitly in curly brackets.
9518 +
9519 Note that if a password is no longer than 8 characters, the results of
9520 encrypting it with 'crypt()' and 'crypt16()' are identical. That means that
9521 'crypt16()' is backwards compatible, as long as nobody feeds it a password
9522 longer than 8 characters.
9523
9524
9525 *def:*<'variable~name'>*::
9526 cindex:[expansion,checking for empty variable]
9527 The %def% condition must be followed by the name of one of the expansion
9528 variables defined in section <<SECTexpvar>>. The condition is true if the named
9529 expansion variable does not contain the empty string, for example
9530
9531   ${if def:sender_ident {from $sender_ident}}
9532 +
9533 Note that the variable name is given without a leading %\$% character. If the
9534 variable does not exist, the expansion fails.
9535
9536 *def:header_*<'header~name'>*:*~~or~~*def:h_*<'header~name'>*:*::
9537 cindex:[expansion,checking header line existence]
9538 This condition is true if a message is being processed and the named header
9539 exists in the message. For example,
9540
9541   ${if def:header_reply-to:{$h_reply-to:}{$h_from:}}
9542 +
9543 *Note*: no %\$% appears before %header_% or %h_% in the condition, and the
9544 header name must be terminated by a colon if white space does not follow.
9545
9546 *eq~\{*<'string1'>*\}\{*<'string2'>*\}*::
9547 cindex:[string,comparison]
9548 cindex:[expansion,string comparison]
9549 The two substrings are first expanded. The condition is true if the two
9550 resulting strings are identical, including the case of letters.
9551
9552 *eqi~\{*<'string1'>*\}\{*<'string2'>*\}*::
9553 cindex:[string,comparison]
9554 cindex:[expansion,string comparison]
9555 The two substrings are first expanded. The condition is true if the two
9556 resulting strings are identical when compared in a case-independent way.
9557
9558 *exists~\{*<'file~name'>*\}*::
9559 cindex:[expansion,file existence test]
9560 cindex:[file,existence test]
9561 The substring is first expanded and then interpreted as an absolute path. The
9562 condition is true if the named file (or directory) exists. The existence test
9563 is done by calling the 'stat()' function. The use of the %exists% test in
9564 users' filter files may be locked out by the system administrator.
9565
9566 *first_delivery*::
9567 cindex:[delivery,first]
9568 cindex:[first delivery]
9569 cindex:[expansion,first delivery test]
9570 This condition, which has no data, is true during a message's first delivery
9571 attempt. It is false during any subsequent delivery attempts.
9572
9573 *ge~\{*<'string1'>*\}\{*<'string2'>*\}*::
9574 See *gei*.
9575
9576 *gei~\{*<'string1'>*\}\{*<'string2'>*\}*::
9577 cindex:[string,comparison]
9578 cindex:[expansion,string comparison]
9579 The two substrings are first expanded. The condition is true if the first
9580 string is lexically greater than or equal to the second string: for %ge% the
9581 comparison includes the case of letters, whereas for %gei% the comparison is
9582 case-independent.
9583
9584 *gt~\{*<'string1'>*\}\{*<'string2'>*\}*::
9585 See *gti*.
9586
9587 *gti~\{*<'string1'>*\}\{*<'string2'>*\}*::
9588 cindex:[string,comparison]
9589 cindex:[expansion,string comparison]
9590 The two substrings are first expanded. The condition is true if the first
9591 string is lexically greater than the second string: for %gt% the comparison
9592 includes the case of letters, whereas for %gti% the comparison is
9593 case-independent.
9594
9595 *isip~\{*<'string'>*\}*::
9596 See *isip6*.
9597
9598 *isip4~\{*<'string'>*\}*::
9599 See *isip6*.
9600
9601 *isip6~\{*<'string'>*\}*::
9602 cindex:[IP address,testing string format]
9603 cindex:[string,testing for IP address]
9604 The substring is first expanded, and then tested to see if it has the form of
9605 an IP address. Both IPv4 and IPv6 addresses are valid for %isip%, whereas
9606 %isip4% and %isip6% test just for IPv4 or IPv6 addresses, respectively. For
9607 example, you could use
9608
9609   ${if isip4{$sender_host_address}...
9610 +
9611 to test which version of IP an incoming SMTP connection is using.
9612
9613
9614 *ldapauth~\{*<'ldap~query'>*\}*::
9615 cindex:[LDAP,use for authentication]
9616 cindex:[expansion,LDAP authentication test]
9617 This condition supports user authentication using LDAP. See section
9618 <<SECTldap>> for details of how to use LDAP in lookups and the syntax of
9619 queries. For this use, the query must contain a user name and password. The
9620 query itself is not used, and can be empty. The condition is true if the
9621 password is not empty, and the user name and password are accepted by the LDAP
9622 server. An empty password is rejected without calling LDAP because LDAP binds
9623 with an empty password are considered anonymous regardless of the username, and
9624 will succeed in most configurations. See chapter <<CHAPSMTPAUTH>> for details
9625 of SMTP authentication, and chapter <<CHAPplaintext>> for an example of how
9626 this can be used.
9627
9628
9629 *le~\{*<'string1'>*\}\{*<'string2'>*\}*::
9630 See *lei*.
9631
9632 *lei~\{*<'string1'>*\}\{*<'string2'>*\}*::
9633 cindex:[string,comparison]
9634 cindex:[expansion,string comparison]
9635 The two substrings are first expanded. The condition is true if the first
9636 string is lexically less than or equal to the second string: for %le% the
9637 comparison includes the case of letters, whereas for %lei% the comparison is
9638 case-independent.
9639
9640 *lt~\{*<'string1'>*\}\{*<'string2'>*\}*::
9641 See *lti*.
9642
9643 *lti~\{*<'string1'>*\}\{*<'string2'>*\}*::
9644 cindex:[string,comparison]
9645 cindex:[expansion,string comparison]
9646 The two substrings are first expanded. The condition is true if the first
9647 string is lexically less than the second string: for %lt% the comparison
9648 includes the case of letters, whereas for %lti% the comparison is
9649 case-independent.
9650
9651
9652 *match~\{*<'string1'>*\}\{*<'string2'>*\}*::
9653 cindex:[expansion,regular expression comparison]
9654 cindex:[regular expressions,match in expanded string]
9655 The two substrings are first expanded. The second is then treated as a regular
9656 expression and applied to the first. Because of the pre-expansion, if the
9657 regular expression contains dollar, or backslash characters, they must be
9658 escaped. Care must also be taken if the regular expression contains braces
9659 (curly brackets). A closing brace must be escaped so that it is not taken as a
9660 premature termination of <'string2'>. The easiest approach is to use the
9661 `\N` feature to disable expansion of the regular expression.
9662 For example,
9663
9664   ${if match {$local_part}{\N^\d{3}\N} ...
9665 +
9666 If the whole expansion string is in double quotes, further escaping of
9667 backslashes is also required.
9668 +
9669 The condition is true if the regular expression match succeeds.
9670 The regular expression is not required to begin with a circumflex
9671 metacharacter, but if there is no circumflex, the expression is not anchored,
9672 and it may match anywhere in the subject, not just at the start. If you want
9673 the pattern to match at the end of the subject, you must include the `\$`
9674 metacharacter at an appropriate point.
9675 +
9676 cindex:[numerical variables ($1$ $2$ etc),in %if% expansion]
9677 At the start of an %if% expansion the values of the numeric variable
9678 substitutions $1$ etc. are remembered. Obeying a %match% condition that
9679 succeeds causes them to be reset to the substrings of that condition and they
9680 will have these values during the expansion of the success string. At the end
9681 of the %if% expansion, the previous values are restored. After testing a
9682 combination of conditions using %or%, the subsequent values of the numeric
9683 variables are those of the condition that succeeded.
9684
9685 *match_address~\{*<'string1'>*\}\{*<'string2'>*\}*::
9686 See *match_local_part*.
9687
9688 *match_domain~\{*<'string1'>*\}\{*<'string2'>*\}*::
9689 See *match_local_part*.
9690
9691 *match_ip~\{*<'string1'>*\}\{*<'string2'>*\}*::
9692 +
9693 [revisionflag="changed"]
9694 This condition matches an IP address to a list of IP address patterns. It must
9695 be followed by two argument strings. The first (after expansion) must be an IP
9696 address or an empty string. The second (after expansion) is a restricted host
9697 list that can match only an IP address, not a host name. For example:
9698 +
9699 [revisionflag="changed"]
9700 ....
9701 ${if match_ip{$sender_host_address}{1.2.3.4:5.6.7.8}{...}{...}}
9702 ....
9703 +
9704 [revisionflag="changed"]
9705 The specific types of host list item that are permitted in the list are:
9706 +
9707 --
9708 - An IP address, optionally with a CIDR mask.
9709
9710 - A single asterisk, which matches any IP address.
9711
9712 - An empty item, which matches only if the IP address is empty. This could be
9713 useful for testing for a locally submitted message or one from specific hosts
9714 in a single test such as
9715
9716 ....
9717    ${if match_ip{$sender_host_address}{:4.3.2.1:...}{...}{...}}
9718 ....
9719
9720 where the first item in the list is the empty string.
9721
9722 - The item @[] matches any of the local host's interface addresses.
9723
9724 - Lookups are assumed to be ``net-'' style lookups, even if `net-` is not
9725 specified. Thus, the following are equivalent:
9726
9727 ....
9728    ${if match_ip{$sender_host_address}{lsearch;/some/file}...
9729    ${if match_ip{$sender_host_address}{net-lsearch;/some/file}...
9730 ....
9731
9732 You do need to specify the `net-` prefix if you want to specify a
9733 specific address mask, for example, by using `net24-`.
9734 --
9735 +
9736 [revisionflag="changed"]
9737 Consult section <<SECThoslispatip>> for further details of these patterns.
9738
9739
9740
9741 *match_local_part~\{*<'string1'>*\}\{*<'string2'>*\}*::
9742 cindex:[domain list,in expansion condition]
9743 cindex:[address list,in expansion condition]
9744 cindex:[local part list,in expansion condition]
9745 This condition, together with %match_address% and %match_domain%, make it
9746 possible to test domain, address, and local part lists within expansions. Each
9747 condition requires two arguments: an item and a list to match. A trivial
9748 example is:
9749
9750   ${if match_domain{a.b.c}{x.y.z:a.b.c:p.q.r}{yes}{no}}
9751 +
9752 In each case, the second argument may contain any of the allowable items for a
9753 list of the appropriate type. Also, because the second argument (after
9754 expansion) is a standard form of list, it is possible to refer to a named list.
9755 Thus, you can use conditions like this:
9756
9757   ${if match_domain{$domain}{+local_domains}{...
9758 +
9759 cindex:[`+caseful`]
9760 For address lists, the matching starts off caselessly, but the `+caseful`
9761 item can be used, as in all address lists, to cause subsequent items to
9762 have their local parts matched casefully. Domains are always matched
9763 caselessly.
9764 +
9765 *Note*: Host lists are 'not' supported in this way. This is because
9766 hosts have two identities: a name and an IP address, and it is not clear
9767 how to specify cleanly how such a test would work. However, IP addresses can be
9768 matched using %match_ip%.
9769
9770 *pam~\{*<'string1'>*:*<'string2'>*:...\}*::
9771 cindex:[PAM authentication]
9772 cindex:[AUTH,with PAM]
9773 cindex:[Solaris,PAM support]
9774 cindex:[expansion,PAM authentication test]
9775 'Pluggable Authentication Modules'
9776 (*http://www.kernel.org/pub/linux/libs/pam/[]*)
9777 are a facility that is available in the latest releases of Solaris and in some
9778 GNU/Linux distributions. The Exim support, which is intended for use in
9779 conjunction with the SMTP AUTH command, is available only if Exim is
9780 compiled with
9781
9782   SUPPORT_PAM=yes
9783 +
9784 in _Local/Makefile_. You probably need to add %-lpam% to EXTRALIBS, and
9785 in some releases of GNU/Linux %-ldl% is also needed.
9786 +
9787 The argument string is first expanded, and the result must be a
9788 colon-separated list of strings. Leading and trailing white space is ignored.
9789 The PAM module is initialized with the service name ``exim'' and the user name
9790 taken from the first item in the colon-separated data string (<'string1'>). The
9791 remaining items in the data string are passed over in response to requests from
9792 the authentication function. In the simple case there will only be one request,
9793 for a password, so the data consists of just two strings.
9794 +
9795 There can be problems if any of the strings are permitted to contain colon
9796 characters. In the usual way, these have to be doubled to avoid being taken as
9797 separators. If the data is being inserted from a variable, the %sg% expansion
9798 item can be used to double any existing colons. For example, the configuration
9799 of a LOGIN authenticator might contain this setting:
9800
9801   server_condition = ${if pam{$1:${sg{$2}{:}{::}}}{yes}{no}}
9802 +
9803 For a PLAIN authenticator you could use:
9804
9805   server_condition = ${if pam{$2:${sg{$3}{:}{::}}}{yes}{no}}
9806 +
9807 In some operating systems, PAM authentication can be done only from a process
9808 running as root. Since Exim is running as the Exim user when receiving
9809 messages, this means that PAM cannot be used directly in those systems.
9810 A patched version of the 'pam_unix' module that comes with the
9811 Linux PAM package is available from *http://www.e-admin.de/pam_exim/[]*.
9812 The patched module allows one special uid/gid combination, in addition to root,
9813 to authenticate. If you build the patched module to allow the Exim user and
9814 group, PAM can then be used from an Exim authenticator.
9815
9816
9817 *pwcheck~\{*<'string1'>*:*<'string2'>*\}*::
9818 cindex:['pwcheck' daemon]
9819 cindex:[Cyrus]
9820 cindex:[expansion,'pwcheck' authentication test]
9821 This condition supports user authentication using the Cyrus 'pwcheck' daemon.
9822 This is one way of making it possible for passwords to be checked by a process
9823 that is not running as root. *Note:* The use of 'pwcheck' is now deprecated.
9824 Its replacement is 'saslauthd' (see below).
9825 +
9826 The pwcheck support is not included in Exim by default. You need to specify
9827 the location of the pwcheck daemon's socket in _Local/Makefile_ before
9828 building Exim. For example:
9829
9830   CYRUS_PWCHECK_SOCKET=/var/pwcheck/pwcheck
9831 +
9832 You do not need to install the full Cyrus software suite in order to use
9833 the pwcheck daemon. You can compile and install just the daemon alone
9834 from the Cyrus SASL library. Ensure that 'exim' is the only user that has
9835 access to the _/var/pwcheck_ directory.
9836 +
9837 The %pwcheck% condition takes one argument, which must be the user name and
9838 password, separated by a colon. For example, in a LOGIN authenticator
9839 configuration, you might have this:
9840
9841   server_condition = ${if pwcheck{$1:$2}{1}{0}}
9842
9843
9844 *queue_running*::
9845 cindex:[queue runner,detecting when delivering from]
9846 cindex:[expansion,queue runner test]
9847 This condition, which has no data, is true during delivery attempts that are
9848 initiated by queue runner processes, and false otherwise.
9849
9850
9851 *radius~\{*<'authentication~string'>*\}*::
9852 cindex:[Radius]
9853 cindex:[expansion,Radius authentication]
9854 Radius authentication (RFC 2865) is supported in a similar way to PAM. You must
9855 set RADIUS_CONFIG_FILE in _Local/Makefile_ to specify the location of
9856 the Radius client configuration file in order to build Exim with Radius
9857 support.
9858 +
9859 [revisionflag="changed"]
9860 With just that one setting, Exim expects to be linked with the %radiusclient%
9861 library, using the original API. If you are using release 0.4.0 or later of
9862 this library, you need to set
9863 +
9864 [revisionflag="changed"]
9865 ....
9866 RADIUS_LIB_TYPE=RADIUSCLIENTNEW
9867 ....
9868 +
9869 [revisionflag="changed"]
9870 in _Local/Makefile_ when building Exim. You can also link Exim with the
9871 %libradius% library that comes with FreeBSD. To do this, set
9872
9873   RADIUS_LIB_TYPE=RADLIB
9874 +
9875 in _Local/Makefile_, in addition to setting RADIUS_CONFIGURE_FILE.
9876 You may also have to supply a suitable setting in EXTRALIBS so that the
9877 Radius library can be found when Exim is linked.
9878 +
9879 The string specified by RADIUS_CONFIG_FILE is expanded and passed to the
9880 Radius client library, which calls the Radius server. The condition is true if
9881 the authentication is successful. For example
9882
9883   server_condition = \$\{if radius\{<arguments>\}\{yes\}\{no\}\}
9884
9885
9886
9887
9888 *saslauthd~\{\{*<'user'>*\}\{*<'password'>*\}\{*<'service'>*\}\{*<'realm'>*\}\}*::
9889 cindex:['saslauthd' daemon]
9890 cindex:[Cyrus]
9891 cindex:[expansion,'saslauthd' authentication test]
9892 This condition supports user authentication using the Cyrus 'saslauthd'
9893 daemon. This replaces the older 'pwcheck' daemon, which is now deprecated.
9894 Using this daemon is one way of making it possible for passwords to be checked
9895 by a process that is not running as root.
9896 +
9897 The saslauthd support is not included in Exim by default. You need to specify
9898 the location of the saslauthd daemon's socket in _Local/Makefile_ before
9899 building Exim. For example:
9900
9901   CYRUS_SASLAUTHD_SOCKET=/var/state/saslauthd/mux
9902 +
9903 You do not need to install the full Cyrus software suite in order to use
9904 the saslauthd daemon. You can compile and install just the daemon alone
9905 from the Cyrus SASL library.
9906 +
9907 Up to four arguments can be supplied to the %saslauthd% condition, but only two
9908 are mandatory. For example:
9909
9910   server_condition = ${if saslauthd{{$1}{$2}}{1}{0}}
9911 +
9912 The service and the realm are optional (which is why the arguments are enclosed
9913 in their own set of braces). For details of the meaning of the service and
9914 realm, and how to run the daemon, consult the Cyrus documentation.
9915
9916
9917
9918 Combining expansion conditions
9919 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
9920 cindex:[expansion,combining conditions]
9921 Several conditions can be tested at once by combining them using the %and% and
9922 %or% combination conditions. Note that %and% and %or% are complete conditions
9923 on their own, and precede their lists of sub-conditions. Each sub-condition
9924 must be enclosed in braces within the overall braces that contain the list. No
9925 repetition of %if% is used.
9926
9927
9928 *or~\{\{*<'cond1'>*\}\{*<'cond2'>*\}...\}*::
9929 cindex:[``or'' expansion condition]
9930 cindex:[expansion,``or'' of conditions]
9931 The sub-conditions are evaluated from left to right. The condition is true if
9932 any one of the sub-conditions is true.
9933 For example,
9934
9935   ${if or {{eq{$local_part}{spqr}}{eq{$domain}{testing.com}}}...
9936 +
9937 When a true sub-condition is found, the following ones are parsed but not
9938 evaluated. If there are several ``match'' sub-conditions the values of the
9939 numeric variables afterwards are taken from the first one that succeeds.
9940
9941 *and~\{\{*<'cond1'>*\}\{*<'cond2'>*\}...\}*::
9942 cindex:[``and'' expansion condition]
9943 cindex:[expansion,``and'' of conditions]
9944 The sub-conditions are evaluated from left to right. The condition is true if
9945 all of the sub-conditions are true. If there are several ``match''
9946 sub-conditions, the values of the numeric variables afterwards are taken from
9947 the last one. When a false sub-condition is found, the following ones are
9948 parsed but not evaluated.
9949
9950
9951
9952
9953 [[SECTexpvar]]
9954 Expansion variables
9955 ~~~~~~~~~~~~~~~~~~~
9956 cindex:[expansion variables, list of]
9957 This section contains an alphabetical list of all the expansion variables. Some
9958 of them are available only when Exim is compiled with specific options such as
9959 support for TLS or the content scanning extension.
9960
9961 $0$, $1$, etc::
9962 cindex:[numerical variables ($1$ $2$ etc)]
9963 When a %match% expansion condition succeeds, these variables contain the
9964 captured substrings identified by the regular expression during subsequent
9965 processing of the success string of the containing %if% expansion item. They
9966 may also be set externally by some other matching process which precedes the
9967 expansion of the string. For example, the commands available in Exim filter
9968 files include an %if% command with its own regular expression matching
9969 condition.
9970
9971 $acl_c0$ -- $acl_c9$::
9972 Values can be placed in these variables by the %set% modifier in an ACL. The
9973 values persist throughout the lifetime of an SMTP connection. They can be used
9974 to pass information between ACLs and different invocations of the same ACL.
9975 When a message is received, the values of these variables are saved with the
9976 message, and can be accessed by filters, routers, and transports during
9977 subsequent delivery.
9978
9979 $acl_m0$ -- $acl_m9$::
9980 Values can be placed in these variables by the %set% modifier in an ACL. They
9981 retain their values while a message is being received, but are reset
9982 afterwards. They are also reset by MAIL, RSET, EHLO, HELO, and after starting a
9983 TLS session. When a message is received, the values of these variables are
9984 saved with the message, and can be accessed by filters, routers, and transports
9985 during subsequent delivery.
9986
9987 $acl_verify_message$::
9988 +
9989 [revisionflag="changed"]
9990 cindex:[$acl_verify_message$]
9991 After an address verification has failed, this variable contains the failure
9992 message. It retains its value for use in subsequent modifiers. The message can
9993 be preserved by coding like this:
9994 +
9995 [revisionflag="changed"]
9996 ....
9997 warn !verify = sender
9998      set acl_m0 = $acl_verify_message
9999 ....
10000 +
10001 [revisionflag="changed"]
10002 You can use $acl_verify_message$ during the expansion of the %message% or
10003 %log_message% modifiers, to include information about the verification failure.
10004
10005
10006 $address_data$::
10007 cindex:[$address_data$]
10008 This variable is set by means of the %address_data% option in routers. The
10009 value then remains with the address while it is processed by subsequent routers
10010 and eventually a transport. If the transport is handling multiple addresses,
10011 the value from the first address is used. See chapter <<CHAProutergeneric>> for
10012 more details. *Note*: the contents of $address_data$ are visible in user filter
10013 files.
10014 +
10015 If $address_data$ is set when the routers are called from an ACL to verify
10016 a recipient address, the final value is still in the variable for subsequent
10017 conditions and modifiers of the ACL statement. If routing the address caused it
10018 to be redirected to just one address, the child address is also routed as part
10019 of the verification, and in this case the final value of $address_data$ is
10020 from the child's routing.
10021 +
10022 If $address_data$ is set when the routers are called from an ACL to verify a
10023 sender address, the final value is also preserved, but this time in
10024 $sender_address_data$, to distinguish it from data from a recipient
10025 address.
10026 +
10027 In both cases (recipient and sender verification), the value does not persist
10028 after the end of the current ACL statement. If you want to preserve
10029 these values for longer, you can save them in ACL variables.
10030
10031 $address_file$::
10032 cindex:[$address_file$]
10033 When, as a result of aliasing, forwarding, or filtering, a message is directed
10034 to a specific file, this variable holds the name of the file when the transport
10035 is running. At other times, the variable is empty. For example, using the
10036 default configuration, if user %r2d2% has a _.forward_ file containing
10037
10038   /home/r2d2/savemail
10039 +
10040 then when the ^address_file^ transport is running, $address_file$
10041 contains ``/home/r2d2/savemail''.
10042 +
10043 cindex:[Sieve filter,value of $address_file$]
10044 For Sieve filters, the value may be ``inbox'' or a relative folder name. It is
10045 then up to the transport configuration to generate an appropriate absolute path
10046 to the relevant file.
10047
10048 $address_pipe$::
10049 cindex:[$address_pipe$]
10050 When, as a result of aliasing or forwarding, a message is directed to a pipe,
10051 this variable holds the pipe command when the transport is running.
10052
10053 $authenticated_id$::
10054 cindex:[authentication,id]
10055 cindex:[$authenticated_id$]
10056 When a server successfully authenticates a client it may be configured to
10057 preserve some of the authentication information in the variable
10058 $authenticated_id$ (see chapter <<CHAPSMTPAUTH>>). For example, a user/password
10059 authenticator configuration might preserve the user name for use in the
10060 routers. Note that this is not the same information that is saved in
10061 $sender_host_authenticated$. When a message is submitted locally (that is, not
10062 over a TCP connection), the value of $authenticated_id$ is the login name of
10063 the calling process.
10064
10065 $authenticated_sender$::
10066 cindex:[sender,authenticated]
10067 cindex:[authentication,sender]
10068 cindex:[AUTH,on MAIL command]
10069 cindex:[$authenticated_sender$]
10070 When acting as a server, Exim takes note of the AUTH= parameter on an incoming
10071 SMTP MAIL command if it believes the sender is sufficiently trusted, as
10072 described in section <<SECTauthparamail>>. Unless the data is the string
10073 ``<>'', it is set as the authenticated sender of the message, and the value is
10074 available during delivery in the $authenticated_sender$ variable. If the sender
10075 is not trusted, Exim accepts the syntax of AUTH=, but ignores the data.
10076 +
10077 cindex:[$qualify_domain$]
10078 When a message is submitted locally (that is, not over a TCP connection), the
10079 value of $authenticated_sender$ is an address constructed from the login
10080 name of the calling process and $qualify_domain$.
10081
10082
10083 $authentication_failed$::
10084 cindex:[authentication,failure]
10085 cindex:[$authentication_failed$]
10086 This variable is set to ``1'' in an Exim server if a client issues an AUTH
10087 command that does not succeed. Otherwise it is set to ``0''. This makes it
10088 possible to distinguish between ``did not try to authenticate''
10089 ($sender_host_authenticated$ is empty and $authentication_failed$ is set to
10090 ``0'') and ``tried to authenticate but failed'' ($sender_host_authenticated$ is
10091 empty and $authentication_failed$ is set to ``1''). Failure includes any
10092 negative response to an AUTH command, including (for example) an attempt to use
10093 an undefined mechanism.
10094
10095 $body_linecount$::
10096 cindex:[message body, line count]
10097 cindex:[body of message,line count]
10098 cindex:[$body_linecount$]
10099 When a message is being received or delivered, this variable contains the
10100 number of lines in the message's body. See also $message_linecount$.
10101
10102 $body_zerocount$::
10103 cindex:[message body, binary zero count]
10104 cindex:[body of message,binary zero count]
10105 cindex:[binary zero,in message body]
10106 cindex:[$body_zerocount$]
10107 When a message is being received or delivered, this variable contains the
10108 number of binary zero bytes in the message's body.
10109
10110 $bounce_recipient$::
10111 cindex:[$bounce_recipient$]
10112 This is set to the recipient address of a bounce message while Exim is creating
10113 it. It is useful if a customized bounce message text file is in use (see
10114 chapter <<CHAPemsgcust>>).
10115
10116 $bounce_return_size_limit$::
10117 cindex:[$bounce_return_size_limit$]
10118 This contains the value set in the %bounce_return_size_limit% option, rounded
10119 up to a multiple of 1000. It is useful when a customized error message text
10120 file is in use (see chapter <<CHAPemsgcust>>).
10121
10122 $caller_gid$::
10123 cindex:[gid (group id),caller]
10124 cindex:[$caller_gid$]
10125 The real group id under which the process that called Exim was running. This is
10126 not the same as the group id of the originator of a message (see
10127 $originator_gid$). If Exim re-execs itself, this variable in the new
10128 incarnation normally contains the Exim gid.
10129
10130 $caller_uid$::
10131 cindex:[uid (user id),caller]
10132 cindex:[$caller_uid$]
10133 The real user id under which the process that called Exim was running. This is
10134 not the same as the user id of the originator of a message (see
10135 $originator_uid$). If Exim re-execs itself, this variable in the new
10136 incarnation normally contains the Exim uid.
10137
10138 $compile_date$::
10139 cindex:[$compile_date$]
10140 The date on which the Exim binary was compiled.
10141
10142 $compile_number$::
10143 cindex:[$compile_number$]
10144 The building process for Exim keeps a count of the number
10145 of times it has been compiled. This serves to distinguish different
10146 compilations of the same version of the program.
10147
10148 $demime_errorlevel$::
10149 cindex:[$demime_errorlevel$]
10150 This variable is available when Exim is compiled with
10151 the content-scanning extension and the obsolete %demime% condition. For
10152 details, see section <<SECTdemimecond>>.
10153
10154 $demime_reason$::
10155 cindex:[$demime_reason$]
10156 This variable is available when Exim is compiled with the
10157 content-scanning extension and the obsolete %demime% condition. For details,
10158 see section <<SECTdemimecond>>.
10159
10160
10161 $dnslist_domain$::
10162 cindex:[black list (DNS)]
10163 cindex:[$dnslist_domain$]
10164 When a client host is found to be on a DNS (black) list,
10165 the list's domain name is put into this variable so that it can be included in
10166 the rejection message.
10167
10168 $dnslist_text$::
10169 cindex:[$dnslist_text$]
10170 When a client host is found to be on a DNS (black) list, the
10171 contents of any associated TXT record are placed in this variable.
10172
10173 $dnslist_value$::
10174 cindex:[$dnslist_value$]
10175 When a client host is found to be on a DNS (black) list,
10176 the IP address from the resource record is placed in this variable.
10177 If there are multiple records, all the addresses are included, comma-space
10178 separated.
10179
10180 $domain$::
10181 cindex:[$domain$]
10182 When an address is being routed, or delivered on its own, this variable
10183 contains the domain. Global address rewriting happens when a message is
10184 received, so the value of $domain$ during routing and delivery is the value
10185 after rewriting. $domain$ is set during user filtering, but not during system
10186 filtering, because a message may have many recipients and the system filter is
10187 called just once.
10188 +
10189 When more than one address is being delivered at once (for example, several
10190 RCPT commands in one SMTP delivery), $domain$ is set only if they all
10191 have the same domain. Transports can be restricted to handling only one domain
10192 at a time if the value of $domain$ is required at transport time -- this is
10193 the default for local transports. For further details of the environment in
10194 which local transports are run, see chapter <<CHAPenvironment>>.
10195 +
10196 cindex:[%delay_warning_condition%]
10197 At the end of a delivery, if all deferred addresses have the same domain, it is
10198 set in $domain$ during the expansion of %delay_warning_condition%.
10199 +
10200 The $domain$ variable is also used in some other circumstances:
10201 +
10202 --
10203 - When an ACL is running for a RCPT command, $domain$ contains the domain of
10204 the recipient address. The domain of the 'sender' address is in
10205 $sender_address_domain$ at both MAIL time and at RCPT time. $domain$ is not
10206 normally set during the running of the MAIL ACL. However, if the sender address
10207 is verified with a callout during the MAIL ACL, the sender domain is placed in
10208 $domain$ during the expansions of %hosts%, %interface%, and %port% in the
10209 ^smtp^ transport.
10210
10211 - When a rewrite item is being processed (see chapter <<CHAPrewrite>>), $domain$
10212 contains the domain portion of the address that is being rewritten; it can be
10213 used in the expansion of the replacement address, for example, to rewrite
10214 domains by file lookup.
10215
10216 - With one important exception, whenever a domain list is being scanned,
10217 $domain$ contains the subject domain. *Exception*: When a domain list in
10218 a %sender_domains% condition in an ACL is being processed, the subject domain
10219 is in $sender_address_domain$ and not in $domain$. It works this way so
10220 that, in a RCPT ACL, the sender domain list can be dependent on the
10221 recipient domain (which is what is in $domain$ at this time).
10222
10223 - cindex:[ETRN,value of $domain$]
10224 cindex:[%smtp_etrn_command%]
10225 When the %smtp_etrn_command% option is being expanded, $domain$ contains
10226 the complete argument of the ETRN command (see section <<SECTETRN>>).
10227 --
10228
10229
10230 $domain_data$::
10231 cindex:[$domain_data$]
10232 When the %domains% option on a router matches a domain by
10233 means of a lookup, the data read by the lookup is available during the running
10234 of the router as $domain_data$. In addition, if the driver routes the
10235 address to a transport, the value is available in that transport. If the
10236 transport is handling multiple addresses, the value from the first address is
10237 used.
10238 +
10239 $domain_data$ is also set when the %domains% condition in an ACL matches a
10240 domain by means of a lookup. The data read by the lookup is available during
10241 the rest of the ACL statement. In all other situations, this variable expands
10242 to nothing.
10243
10244 $exim_gid$::
10245 cindex:[$exim_gid$]
10246 This variable contains the numerical value of the Exim group id.
10247
10248 $exim_path$::
10249 cindex:[$exim_path$]
10250 This variable contains the path to the Exim binary.
10251
10252 $exim_uid$::
10253 cindex:[$exim_uid$]
10254 This variable contains the numerical value of the Exim user id.
10255
10256 $found_extension$::
10257 cindex:[$found_extension$]
10258 This variable is available when Exim is compiled with the
10259 content-scanning extension and the obsolete %demime% condition. For details,
10260 see section <<SECTdemimecond>>.
10261
10262 $header_$<'name'>::
10263 This is not strictly an expansion variable. It is expansion syntax for
10264 inserting the message header line with the given name. Note that the name must
10265 be terminated by colon or white space, because it may contain a wide variety of
10266 characters. Note also that braces must 'not' be used.
10267
10268 $home$::
10269 cindex:[$home$]
10270 When the %check_local_user% option is set for a router, the user's home
10271 directory is placed in $home$ when the check succeeds. In particular, this
10272 means it is set during the running of users' filter files. A router may also
10273 explicitly set a home directory for use by a transport; this can be overridden
10274 by a setting on the transport itself.
10275 +
10276 When running a filter test via the %-bf% option, $home$ is set to the value
10277 of the environment variable HOME.
10278
10279 $host$::
10280 cindex:[$host$]
10281 When the ^smtp^ transport is expanding its options for encryption using TLS,
10282 $host$ contains the name of the host to which it is connected. Likewise, when
10283 used in the client part of an authenticator configuration (see chapter
10284 <<CHAPSMTPAUTH>>), $host$ contains the name of the server to which the client
10285 is connected.
10286 +
10287 cindex:[transport,filter]
10288 cindex:[filter,transport filter]
10289 When used in a transport filter (see chapter <<CHAPtransportgeneric>>) $host$
10290 refers to the host involved in the current connection. When a local transport
10291 is run as a result of a router that sets up a host list, $host$ contains the
10292 name of the first host.
10293
10294 $host_address$::
10295 cindex:[$host_address$]
10296 This variable is set to the remote host's IP address whenever $host$ is set for
10297 a remote connection. It is also set to the IP address that is being checked
10298 when the %ignore_target_hosts% option is being processed.
10299
10300 $host_data$::
10301 cindex:[$host_data$]
10302 If a %hosts% condition in an ACL is satisfied by means of a lookup, the result
10303 of the lookup is made available in the $host_data$ variable. This
10304 allows you, for example, to do things like this:
10305
10306   deny  hosts = net-lsearch;/some/file
10307         message = $host_data
10308
10309
10310 $host_lookup_deferred$::
10311 cindex:[host name lookup, failure of]
10312 cindex:[$host_lookup_deferred$]
10313 This variable normally contains ``0'', as does $host_lookup_failed$. When a
10314 message comes from a remote host and there is an attempt to look up the host's
10315 name from its IP address, and the attempt is not successful, one of these
10316 variables is set to ``1''.
10317 +
10318 --
10319 - If the lookup receives a definite negative response (for example, a DNS lookup
10320 succeeded, but no records were found), $host_lookup_failed$ is set to ``1''.
10321
10322 - If there is any kind of problem during the lookup, such that Exim cannot
10323 tell whether or not the host name is defined (for example, a timeout for a DNS
10324 lookup), $host_lookup_deferred$ is set to ``1''.
10325 --
10326 +
10327 Looking up a host's name from its IP address consists of more than just a
10328 single reverse lookup. Exim checks that a forward lookup of at least one of the
10329 names it receives from a reverse lookup yields the original IP address. If this
10330 is not the case, Exim does not accept the looked up name(s), and
10331 $host_lookup_failed$ is set to ``1''. Thus, being able to find a name from an
10332 IP address (for example, the existence of a PTR record in the DNS) is not
10333 sufficient on its own for the success of a host name lookup. If the reverse
10334 lookup succeeds, but there is a lookup problem such as a timeout when checking
10335 the result, the name is not accepted, and $host_lookup_deferred$ is set to
10336 ``1''. See also $sender_host_name$.
10337
10338 $host_lookup_failed$::
10339 cindex:[$host_lookup_failed$]
10340 See $host_lookup_deferred$.
10341
10342
10343 $inode$::
10344 cindex:[$inode$]
10345 The only time this variable is set is while expanding the %directory_file%
10346 option in the ^appendfile^ transport. The variable contains the inode number
10347 of the temporary file which is about to be renamed. It can be used to construct
10348 a unique name for the file.
10349
10350 $interface_address$::
10351 +
10352 [revisionflag="changed"]
10353 cindex:[$interface_address$]
10354 As soon as a server starts processing a TCP/IP connection, this variable is set
10355 to the address of the local IP interface, and $interface_port$ is set to the
10356 port number. These values are therefore available for use in the ``connect''
10357 ACL. See also the %-oMi% command line option. As well as being used in ACLs,
10358 these variable could be used, for example, to make the file name for a TLS
10359 certificate depend on which interface and/or port is being used.
10360
10361 $interface_port$::
10362 cindex:[$interface_port$]
10363 See $interface_address$.
10364
10365 $ldap_dn$::
10366 cindex:[$ldap_dn$]
10367 This variable, which is available only when Exim is compiled with LDAP support,
10368 contains the DN from the last entry in the most recently successful LDAP
10369 lookup.
10370
10371 $load_average$::
10372 cindex:[$load_average$]
10373 This variable contains the system load average, multiplied by 1000 to that it
10374 is an integer. For example, if the load average is 0.21, the value of the
10375 variable is 210. The value is recomputed every time the variable is referenced.
10376
10377 $local_part$::
10378 cindex:[$local_part$]
10379 When an address is being routed, or delivered on its own, this
10380 variable contains the local part. When a number of addresses are being
10381 delivered together (for example, multiple RCPT commands in an SMTP
10382 session), $local_part$ is not set.
10383 +
10384 Global address rewriting happens when a message is received, so the value of
10385 $local_part$ during routing and delivery is the value after rewriting.
10386 $local_part$ is set during user filtering, but not during system filtering,
10387 because a message may have many recipients and the system filter is called just
10388 once.
10389 +
10390 cindex:[$local_part_prefix$]
10391 cindex:[$local_part_suffix$]
10392 If a local part prefix or suffix has been recognized, it is not included in the
10393 value of $local_part$ during routing and subsequent delivery. The values of
10394 any prefix or suffix are in $local_part_prefix$ and
10395 $local_part_suffix$, respectively.
10396 +
10397 When a message is being delivered to a file, pipe, or autoreply transport as a
10398 result of aliasing or forwarding, $local_part$ is set to the local part of
10399 the parent address, not to the file name or command (see $address_file$ and
10400 $address_pipe$).
10401 +
10402 When an ACL is running for a RCPT command, $local_part$ contains the
10403 local part of the recipient address.
10404 +
10405 When a rewrite item is being processed (see chapter <<CHAPrewrite>>),
10406 $local_part$ contains the local part of the address that is being rewritten;
10407 it can be used in the expansion of the replacement address, for example.
10408 +
10409 In all cases, all quoting is removed from the local part. For example, for both
10410 the addresses
10411
10412   "abc:xyz"@test.example
10413   abc\:xyz@test.example
10414 +
10415 the value of $local_part$ is
10416
10417   abc:xyz
10418 +
10419 If you use $local_part$ to create another address, you should always wrap it
10420 inside a quoting operator. For example, in a ^redirect^ router you could have:
10421
10422   data = ${quote_local_part:$local_part}@new.domain.example
10423 +
10424 *Note*: The value of $local_part$ is normally lower cased. If you want
10425 to process local parts in a case-dependent manner in a router, you can set the
10426 %caseful_local_part% option (see chapter <<CHAProutergeneric>>).
10427
10428 $local_part_data$::
10429 cindex:[$local_part_data$]
10430 When the %local_parts% option on a router matches a local part by means of a
10431 lookup, the data read by the lookup is available during the running of the
10432 router as $local_part_data$. In addition, if the driver routes the address
10433 to a transport, the value is available in that transport. If the transport is
10434 handling multiple addresses, the value from the first address is used.
10435 +
10436 $local_part_data$ is also set when the %local_parts% condition in an ACL
10437 matches a local part by means of a lookup. The data read by the lookup is
10438 available during the rest of the ACL statement. In all other situations, this
10439 variable expands to nothing.
10440
10441 $local_part_prefix$::
10442 cindex:[$local_part_prefix$]
10443 When an address is being routed or delivered, and a
10444 specific prefix for the local part was recognized, it is available in this
10445 variable, having been removed from $local_part$.
10446
10447 $local_part_suffix$::
10448 cindex:[$local_part_suffix$]
10449 When an address is being routed or delivered, and a
10450 specific suffix for the local part was recognized, it is available in this
10451 variable, having been removed from $local_part$.
10452
10453 $local_scan_data$::
10454 cindex:[$local_scan_data$]
10455 This variable contains the text returned by the 'local_scan()' function when a
10456 message is received. See chapter <<CHAPlocalscan>> for more details.
10457
10458 $local_user_gid$::
10459 cindex:[$local_user_gid$]
10460 See $local_user_uid$.
10461
10462 $local_user_uid$::
10463 cindex:[$local_user_uid$]
10464 This variable and $local_user_gid$ are set to the uid and gid after the
10465 %check_local_user% router precondition succeeds. This means that their values
10466 are available for the remaining preconditions (%senders%, %require_files%, and
10467 %condition%), for the %address_data% expansion, and for any router-specific
10468 expansions. At all other times, the values in these variables are `(uid_t)(-1)`
10469 and `(gid_t)(-1)`, respectively.
10470
10471 $localhost_number$::
10472 cindex:[$localhost_number$]
10473 This contains the expanded value of the
10474 %localhost_number% option. The expansion happens after the main options have
10475 been read.
10476
10477 $log_inodes$::
10478 cindex:[$log_inodes$]
10479 The number of free inodes in the disk partition where Exim's
10480 log files are being written. The value is recalculated whenever the variable is
10481 referenced. If the relevant file system does not have the concept of inodes,
10482 the value of is -1. See also the %check_log_inodes% option.
10483
10484 $log_space$::
10485 cindex:[$log_space$]
10486 The amount of free space (as a number of kilobytes) in the disk
10487 partition where Exim's log files are being written. The value is recalculated
10488 whenever the variable is referenced. If the operating system does not have the
10489 ability to find the amount of free space (only true for experimental systems),
10490 the space value is -1. See also the %check_log_space% option.
10491
10492
10493 $mailstore_basename$::
10494 cindex:[$mailstore_basename$]
10495 This variable is set only when doing deliveries in ``mailstore'' format in the
10496 ^appendfile^ transport. During the expansion of the %mailstore_prefix%,
10497 %mailstore_suffix%, %message_prefix%, and %message_suffix% options, it contains
10498 the basename of the files that are being written, that is, the name without the
10499 ``.tmp'', ``.env'', or ``.msg'' suffix. At all other times, this variable is
10500 empty.
10501
10502 $malware_name$::
10503 cindex:[$malware_name$]
10504 This variable is available when Exim is compiled with the
10505 content-scanning extension. It is set to the name of the virus that was found
10506 when the ACL %malware% condition is true (see section <<SECTscanvirus>>).
10507
10508
10509 $message_age$::
10510 cindex:[message,age of]
10511 cindex:[$message_age$]
10512 This variable is set at the start of a delivery attempt to contain the number
10513 of seconds since the message was received. It does not change during a single
10514 delivery attempt.
10515
10516 $message_body$::
10517 cindex:[body of message,expansion variable]
10518 cindex:[message body, in expansion]
10519 cindex:[binary zero,in message body]
10520 cindex:[$message_body$]
10521 This variable contains the initial portion of a message's
10522 body while it is being delivered, and is intended mainly for use in filter
10523 files. The maximum number of characters of the body that are put into the
10524 variable is set by the %message_body_visible% configuration option; the
10525 default is 500. Newlines are converted into spaces to make it easier to search
10526 for phrases that might be split over a line break.
10527 Binary zeros are also converted into spaces.
10528
10529 $message_body_end$::
10530 cindex:[body of message,expansion variable]
10531 cindex:[message body, in expansion]
10532 cindex:[$message_body_end$]
10533 This variable contains the final portion of a message's
10534 body while it is being delivered. The format and maximum size are as for
10535 $message_body$.
10536
10537 $message_body_size$::
10538 cindex:[body of message,size]
10539 cindex:[message body, size]
10540 cindex:[$message_body_size$]
10541 When a message is being delivered, this variable contains the size of the body
10542 in bytes. The count starts from the character after the blank line that
10543 separates the body from the header. Newlines are included in the count. See
10544 also $message_size$, $body_linecount$, and $body_zerocount$.
10545
10546 $message_exim_id$::
10547 +
10548 [revisionflag="changed"]
10549 cindex:[$message_exim_id$]
10550 When a message is being received or delivered, this variable contains the
10551 unique message id that is generated and used by Exim to identify the message.
10552 An id is not created for a message until after its header has been successfully
10553 received. *Note*: This is 'not' the contents of the 'Message-ID:' header line;
10554 it is the local id that Exim assigns to the message, for example:
10555 `1BXTIK-0001yO-VA`.
10556
10557 $message_headers$::
10558 This variable contains a concatenation of all the header lines when a message
10559 is being processed, except for lines added by routers or transports. The header
10560 lines are separated by newline characters.
10561
10562 $message_id$::
10563 +
10564 [revisionflag="changed"]
10565 This is an old name for $message_exim_id$, which is now deprecated.
10566
10567 $message_linecount$::
10568 +
10569 [revisionflag="changed"]
10570 cindex:[$message_linecount$]
10571 This variable contains the total number of lines in the header and body of the
10572 message. Compare $body_linecount$, which is the count for the body only. During
10573 the DATA and content-scanning ACLs, $message_linecount$ contains the number of
10574 lines received. Before delivery happens (that is, before filters, routers, and
10575 transports run) the count is increased to include the 'Received:' header line
10576 that Exim standardly adds, and also any other header lines that are added by
10577 ACLs. The blank line that separates the message header from the body is not
10578 counted. Here is an example of the use of this variable in a DATA ACL:
10579 +
10580 [revisionflag="changed"]
10581 ....
10582 deny message   = Too many lines in message header
10583      condition = \
10584        ${if <{250}{${eval: $message_linecount - $body_linecount}}}
10585 ....
10586 +
10587 [revisionflag="changed"]
10588 In the MAIL and RCPT ACLs, the value is zero because at that stage the
10589 message has not yet been received.
10590
10591 $message_size$::
10592 cindex:[size,of message]
10593 cindex:[message,size]
10594 cindex:[$message_size$]
10595 When a message is being processed, this variable contains its size in bytes. In
10596 most cases, the size includes those headers that were received with the
10597 message, but not those (such as 'Envelope-to:') that are added to individual
10598 deliveries as they are written. However, there is one special case: during the
10599 expansion of the %maildir_tag% option in the ^appendfile^ transport while
10600 doing a delivery in maildir format, the value of $message_size$ is the
10601 precise size of the file that has been written. See also
10602 $message_body_size$, $body_linecount$, and $body_zerocount$.
10603 +
10604 cindex:[RCPT,value of $message_size$]
10605 While running an ACL at the time of an SMTP RCPT command, $message_size$
10606 contains the size supplied on the MAIL command, or -1 if no size was given. The
10607 value may not, of course, be truthful.
10608
10609 $mime_$'xxx'::
10610 A number of variables whose names start with $mime$ are
10611 available when Exim is compiled with the content-scanning extension. For
10612 details, see section <<SECTscanmimepart>>.
10613
10614 $n0$ -- $n9$::
10615 These variables are counters that can be incremented by means
10616 of the %add% command in filter files.
10617
10618 $original_domain$::
10619 cindex:[$domain$]
10620 cindex:[$original_domain$]
10621 When a top-level address is being processed for delivery, this contains the
10622 same value as $domain$. However, if a ``child'' address (for example, generated
10623 by an alias, forward, or filter file) is being processed, this variable
10624 contains the domain of the original address. This differs from $parent_domain$
10625 only when there is more than one level of aliasing or forwarding. When more
10626 than one address is being delivered in a single transport run,
10627 $original_domain$ is not set.
10628 +
10629 If new an address is created by means of a %deliver% command in a system
10630 filter, it is set up with an artificial ``parent'' address. This has the local
10631 part 'system-filter' and the default qualify domain.
10632
10633 $original_local_part$::
10634 cindex:[$local_part$]
10635 cindex:[$original_local_part$]
10636 When a top-level address is being processed for delivery, this contains the
10637 same value as $local_part$, unless a prefix or suffix was removed from the
10638 local part, because $original_local_part$ always contains the full local part.
10639 When a ``child'' address (for example, generated by an alias, forward, or
10640 filter file) is being processed, this variable contains the full local part of
10641 the original address.
10642 +
10643 If the router that did the redirection processed the local part
10644 case-insensitively, the value in $original_local_part$ is in lower case.
10645 This variable differs from $parent_local_part$ only when there is more than
10646 one level of aliasing or forwarding. When more than one address is being
10647 delivered in a single transport run, $original_local_part$ is not set.
10648 +
10649 If new an address is created by means of a %deliver% command in a system
10650 filter, it is set up with an artificial ``parent'' address. This has the local
10651 part 'system-filter' and the default qualify domain.
10652
10653 $originator_gid$::
10654 cindex:[gid (group id),of originating user]
10655 cindex:[sender,gid]
10656 cindex:[$caller_gid$]
10657 cindex:[$originator_gid$]
10658 This variable contains the value of $caller_gid$ that was set when the message
10659 was received. For messages received via the command line, this is the gid of
10660 the sending user. For messages received by SMTP over TCP/IP, this is normally
10661 the gid of the Exim user.
10662
10663 $originator_uid$::
10664 cindex:[uid (user id),of originating user]
10665 cindex:[sender,uid]
10666 cindex:[$caller_uid$]
10667 cindex:[$originaltor_uid$]
10668 The value of $caller_uid$ that was set when the message was received. For
10669 messages received via the command line, this is the uid of the sending user.
10670 For messages received by SMTP over TCP/IP, this is normally the uid of the Exim
10671 user.
10672
10673 $parent_domain$::
10674 cindex:[$parent_domain$]
10675 This variable is similar to $original_domain$ (see
10676 above), except that it refers to the immediately preceding parent address.
10677
10678 $parent_local_part$::
10679 cindex:[$parent_local_part$]
10680 This variable is similar to $original_local_part$
10681 (see above), except that it refers to the immediately preceding parent address.
10682
10683 $pid$::
10684 cindex:[pid (process id),of current process]
10685 cindex:[$pid$]
10686 This variable contains the current process id.
10687
10688 $pipe_addresses$::
10689 cindex:[filter,transport filter]
10690 cindex:[transport,filter]
10691 cindex:[$pipe_addresses$]
10692 This is not an expansion variable, but is mentioned here because the string
10693 ``\$pipe_addresses'' is handled specially in the command specification for the
10694 ^pipe^ transport (chapter <<CHAPpipetransport>>) and in transport filters
10695 (described under %transport_filter% in chapter <<CHAPtransportgeneric>>). It
10696 cannot be used in general expansion strings, and provokes an ``unknown
10697 variable'' error if encountered.
10698
10699 $primary_hostname$::
10700 cindex:[$primary_hostname$]
10701 This variable contains the value set by %primary_hostname% in the configuration
10702 file, or read by the 'uname()' function. If 'uname()' returns a
10703 single-component name, Exim calls 'gethostbyname()' (or 'getipnodebyname()'
10704 where available) in an attempt to acquire a fully qualified host name. See also
10705 $smtp_active_hostname$.
10706
10707
10708 $prvscheck_address$::
10709 +
10710 [revisionflag="changed"]
10711 This variable is used in conjunction with the %prvscheck% expansion item, which
10712 is described in sections <<SECTexpansionitems>> and <<SECTverifyPRVS>>.
10713
10714 $prvscheck_keynum$::
10715 +
10716 [revisionflag="changed"]
10717 This variable is used in conjunction with the %prvscheck% expansion item, which
10718 is described in sections <<SECTexpansionitems>> and <<SECTverifyPRVS>>.
10719
10720 $prvscheck_result$::
10721 +
10722 [revisionflag="changed"]
10723 This variable is used in conjunction with the %prvscheck% expansion item, which
10724 is described in sections <<SECTexpansionitems>> and <<SECTverifyPRVS>>.
10725
10726 $qualify_domain$::
10727 cindex:[$qualify_domain$]
10728 The value set for the %qualify_domain% option in the configuration file.
10729
10730 $qualify_recipient$::
10731 cindex:[$qualify_recipient$]
10732 The value set for the %qualify_recipient% option in the configuration file,
10733 or if not set, the value of $qualify_domain$.
10734
10735 $rcpt_count$::
10736 cindex:[$rcpt_count$]
10737 When a message is being received by SMTP, this variable contains the number of
10738 RCPT commands received for the current message. If this variable is used in a
10739 RCPT ACL, its value includes the current command.
10740
10741 $rcpt_defer_count$::
10742 cindex:[$rcpt_defer_count$]
10743 When a message is being received by SMTP, this variable contains the number of
10744 RCPT commands in the current message that have previously been rejected with a
10745 temporary (4##'xx') response.
10746
10747 $rcpt_fail_count$::
10748 cindex:[$rcpt_fail_count$]
10749 When a message is being received by SMTP, this variable contains the number of
10750 RCPT commands in the current message that have previously been rejected with a
10751 permanent (5##'xx') response.
10752
10753 $received_count$::
10754 cindex:[$received_count$]
10755 This variable contains the number of 'Received:' header lines in the message,
10756 including the one added by Exim (so its value is always greater than zero). It
10757 is available in the DATA ACL, the non-SMTP ACL, and while routing and
10758 delivering.
10759
10760 $received_for$::
10761 cindex:[$received_for$]
10762 If there is only a single recipient address in an incoming message, this
10763 variable contains that address when the 'Received:' header line is being built.
10764 The value is copied after recipient rewriting has happened, but before the
10765 'local_scan()' function is run.
10766
10767 $received_protocol$::
10768 cindex:[$received_protocol$]
10769 When a message is being processed, this variable contains the name of the
10770 protocol by which it was received. Most of the names used by Exim are defined
10771 by RFCs 821, 2821, and 3848. They start with ``smtp'' (the client used HELO) or
10772 ``esmtp'' (the client used EHLO). This can be followed by ``s'' for secure
10773 (encrypted) and/or ``a'' for authenticated. Thus, for example, if the protocol
10774 is set to ``esmtpsa'', the message was received over an encrypted SMTP
10775 connection and the client was successfully authenticated.
10776 +
10777 Exim uses the protocol name ``smtps'' for the case when encryption is
10778 automatically set up on connection without the use of STARTTLS (see
10779 %tls_on_connect_ports%), and the client uses HELO to initiate the
10780 encrypted SMTP session. The name ``smtps'' is also used for the rare situation
10781 where the client initially uses EHLO, sets up an encrypted connection using
10782 STARTTLS, and then uses HELO afterwards.
10783 +
10784 The %-oMr% option provides a way of specifying a custom protocol name for
10785 messages that are injected locally by trusted callers. This is commonly used to
10786 identify messages that are being re-injected after some kind of scanning.
10787
10788 $received_time$::
10789 +
10790 [revisionflag="changed"]
10791 cindex:[$received_time$]
10792 This variable contains the date and time when the current message was received,
10793 as a number of seconds since the start of the Unix epoch.
10794
10795 $recipient_data$::
10796 cindex:[$recipient_data$]
10797 This variable is set after an indexing lookup success in an ACL %recipients%
10798 condition. It contains the data from the lookup, and the value remains set
10799 until the next %recipients% test. Thus, you can do things like this:
10800 +
10801 &&&
10802 `require recipients  = cdb*@;/some/file`
10803 `deny    `'some further test involving' `\$recipient_data`
10804 &&&
10805 +
10806 *Warning*: This variable is set only when a lookup is used as an indexing
10807 method in the address list, using the semicolon syntax as in the example above.
10808 The variable is not set for a lookup that is used as part of the string
10809 expansion that all such lists undergo before being interpreted.
10810
10811 $recipient_verify_failure$::
10812 cindex:[$recipient_verify_failure$]
10813 In an ACL, when a recipient verification fails, this variable contains
10814 information about the failure. It is set to one of the following words:
10815 +
10816 --
10817 - ``qualify'': The address was unqualified (no domain), and the message
10818 was neither local nor came from an exempted host.
10819
10820 - ``route'': Routing failed.
10821
10822 - ``mail'': Routing succeeded, and a callout was attempted; rejection occurred at
10823 or before the MAIL command (that is, on initial connection, HELO, or
10824 MAIL).
10825
10826 - ``recipient'': The RCPT command in a callout was rejected.
10827
10828 - ``postmaster'': The postmaster check in a callout was rejected.
10829 --
10830 +
10831 The main use of this variable is expected to be to distinguish between
10832 rejections of MAIL and rejections of RCPT.
10833
10834
10835 $recipients$::
10836 cindex:[$recipients$]
10837 This variable contains a list of envelope recipients for a
10838 message. A comma and a space separate the addresses in the replacement text.
10839 However, the variable is not generally available, to prevent exposure of Bcc
10840 recipients in unprivileged users' filter files. You can use $recipients$ only
10841 in these two cases:
10842
10843 . In a system filter file.
10844
10845 . In the ACLs associated with the DATA command, that is, the ACLs defined by
10846 %acl_smtp_predata% and %acl_smtp_data%.
10847
10848
10849 $recipients_count$::
10850 cindex:[$recipients_count$]
10851 When a message is being processed, this variable contains the number of
10852 envelope recipients that came with the message. Duplicates are not excluded
10853 from the count. While a message is being received over SMTP, the number
10854 increases for each accepted recipient. It can be referenced in an ACL.
10855
10856 $reply_address$::
10857 cindex:[$reply_address$]
10858 When a message is being processed, this variable contains the contents of the
10859 'Reply-To:' header line if one exists and it is not empty, or otherwise the
10860 contents of the 'From:' header line.
10861
10862 $return_path$::
10863 cindex:[$return_path$]
10864 When a message is being delivered, this variable contains the return path --
10865 the sender field that will be sent as part of the envelope. It is not enclosed
10866 in <> characters. At the start of routing an address, $return_path$ has the
10867 same value as $sender_address$, but if, for example, an incoming message to a
10868 mailing list has been expanded by a router which specifies a different address
10869 for bounce messages, $return_path$ subsequently contains the new bounce
10870 address, whereas $sender_address$ always contains the original sender address
10871 that was received with the message. In other words, $sender_address$ contains
10872 the incoming envelope sender, and $return_path$ contains the outgoing envelope
10873 sender.
10874
10875 $return_size_limit$::
10876 cindex:[$return_size_limit$]
10877 This is an obsolete name for $bounce_return_size_limit$.
10878
10879 $runrc$::
10880 cindex:[return code,from %run% expansion]
10881 cindex:[$runrc$]
10882 This variable contains the return code from a command that is run by the
10883 %\$\{run...\}% expansion item. *Warning*: In a router or transport, you cannot
10884 assume the order in which option values are expanded, except for those
10885 pre-conditions whose order of testing is documented. Therefore, you cannot
10886 reliably expect to set $runrc$ by the expansion of one option, and use it in
10887 another.
10888
10889 $self_hostname$::
10890 cindex:[%self% option,value of host name]
10891 cindex:[$self_hostname$]
10892 When an address is routed to a supposedly remote host that turns out to be the
10893 local host, what happens is controlled by the %self% generic router option. One
10894 of its values causes the address to be passed to another router. When this
10895 happens, $self_hostname$ is set to the name of the local host that the original
10896 router encountered. In other circumstances its contents are null.
10897
10898 $sender_address$::
10899 cindex:[$sender_address$]
10900 When a message is being processed, this variable contains the sender's address
10901 that was received in the message's envelope. For bounce messages, the value of
10902 this variable is the empty string. See also $return_path$.
10903
10904 $sender_address_data$::
10905 cindex:[$address_data$]
10906 cindex:[$sender_address_data$]
10907 If $address_data$ is set when the routers are called from an ACL to verify a
10908 sender address, the final value is preserved in $sender_address_data$, to
10909 distinguish it from data from a recipient address. The value does not persist
10910 after the end of the current ACL statement. If you want to preserve it for
10911 longer, you can save it in an ACL variable.
10912
10913 $sender_address_domain$::
10914 cindex:[$sender_address_domain$]
10915 The domain portion of $sender_address$.
10916
10917 $sender_address_local_part$::
10918 cindex:[$sender_address_local_part$]
10919 The local part portion of $sender_address$.
10920
10921 $sender_data$::
10922 cindex:[$sender_data$]
10923 This variable is set after a lookup success in an ACL %senders% condition or in
10924 a router %senders% option. It contains the data from the lookup, and the value
10925 remains set until the next %senders% test. Thus, you can do things like this:
10926 +
10927 &&&
10928 `require senders      = cdb*@;/some/file`
10929 `deny    `'some further test involving' `\$sender_data`
10930 &&&
10931 +
10932 *Warning*: This variable is set only when a lookup is used as an indexing
10933 method in the address list, using the semicolon syntax as in the example above.
10934 The variable is not set for a lookup that is used as part of the string
10935 expansion that all such lists undergo before being interpreted.
10936
10937 $sender_fullhost$::
10938 cindex:[$sender_fullhost$]
10939 When a message is received from a remote host, this variable contains the host
10940 name and IP address in a single string. It ends with the IP address in square
10941 brackets, followed by a colon and a port number if the logging of ports is
10942 enabled. The format of the rest of the string depends on whether the host
10943 issued a HELO or EHLO SMTP command, and whether the host name was verified by
10944 looking up its IP address. (Looking up the IP address can be forced by the
10945 %host_lookup% option, independent of verification.) A plain host name at the
10946 start of the string is a verified host name; if this is not present,
10947 verification either failed or was not requested. A host name in parentheses is
10948 the argument of a HELO or EHLO command. This is omitted if it is identical to
10949 the verified host name or to the host's IP address in square brackets.
10950
10951 $sender_helo_name$::
10952 cindex:[$sender_hslo_name$]
10953 When a message is received from a remote host that has issued a HELO or EHLO
10954 command, the argument of that command is placed in this variable. It is also
10955 set if HELO or EHLO is used when a message is received using SMTP locally via
10956 the %-bs% or %-bS% options.
10957
10958 $sender_host_address$::
10959 cindex:[$sender_host_address$]
10960 When a message is received from a remote host, this variable contains that
10961 host's IP address. For locally submitted messages, it is empty.
10962
10963 $sender_host_authenticated$::
10964 cindex:[$sender_host_authenticated$]
10965 This variable contains the name (not the public name) of the authenticator
10966 driver that successfully authenticated the client from which the message was
10967 received. It is empty if there was no successful authentication. See also
10968 $authenticated_id$.
10969
10970 $sender_host_name$::
10971 cindex:[$sender_host_name$]
10972 When a message is received from a remote host, this variable contains the
10973 host's name as obtained by looking up its IP address. For messages received by
10974 other means, this variable is empty.
10975 +
10976 cindex:[$host_lookup_failed$]
10977 If the host name has not previously been looked up, a reference to
10978 $sender_host_name$ triggers a lookup (for messages from remote hosts).
10979 A looked up name is accepted only if it leads back to the original IP address
10980 via a forward lookup. If either the reverse or the forward lookup fails to find
10981 any data, or if the forward lookup does not yield the original IP address,
10982 $sender_host_name$ remains empty, and $host_lookup_failed$ is set to ``1''.
10983 +
10984 cindex:[$host_lookup_deferred$]
10985 However, if either of the lookups cannot be completed (for example, there is a
10986 DNS timeout), $host_lookup_deferred$ is set to ``1'', and
10987 $host_lookup_failed$ remains set to ``0''.
10988 +
10989 Once $host_lookup_failed$ is set to ``1'', Exim does not try to look up the
10990 host name again if there is a subsequent reference to $sender_host_name$
10991 in the same Exim process, but it does try again if $sender_host_deferred$
10992 is set to ``1''.
10993 +
10994 Exim does not automatically look up every calling host's name. If you want
10995 maximum efficiency, you should arrange your configuration so that it avoids
10996 these lookups altogether. The lookup happens only if one or more of the
10997 following are true:
10998
10999 - A string containing $sender_host_name$ is expanded.
11000
11001 - The calling host matches the list in %host_lookup%. In the default
11002 configuration, this option is set to \*, so it must be changed if lookups are
11003 to be avoided. (In the code, the default for %host_lookup% is unset.)
11004
11005 - Exim needs the host name in order to test an item in a host list. The items
11006 that require this are described in sections <<SECThoslispatnam>> and
11007 <<SECThoslispatnamsk>>.
11008
11009 - The calling host matches %helo_try_verify_hosts% or %helo_verify_hosts%.
11010 In this case, the host name is required to compare with the name quoted in any
11011 EHLO or HELO commands that the client issues.
11012
11013 - The remote host issues a EHLO or HELO command that quotes one of the
11014 domains in %helo_lookup_domains%. The default value of this option is
11015 +
11016 ....
11017 helo_lookup_domains = @ : @[]
11018 ....
11019 +
11020 which causes a lookup if a remote host (incorrectly) gives the server's name or
11021 IP address in an EHLO or HELO command.
11022
11023
11024 $sender_host_port$::
11025 cindex:[$sender_host_port$]
11026 When a message is received from a remote host, this variable contains the port
11027 number that was used on the remote host.
11028
11029 $sender_ident$::
11030 cindex:[$sender_ident$]
11031 When a message is received from a remote host, this variable contains the
11032 identification received in response to an RFC 1413 request. When a message has
11033 been received locally, this variable contains the login name of the user that
11034 called Exim.
11035
11036 $sender_rate_$'xxx'::
11037 +
11038 [revisionflag="changed"]
11039 A number of variables whose names begin $sender_rate_$ are set as part of the
11040 %ratelimit% ACL condition. Details are given in section <<SECTratelimiting>>.
11041
11042 $sender_rcvhost$::
11043 cindex:[DNS,reverse lookup]
11044 cindex:[reverse DNS lookup]
11045 cindex:[$sender_rcvhost$]
11046 This is provided specifically for use in 'Received:' headers. It starts with
11047 either the verified host name (as obtained from a reverse DNS lookup) or, if
11048 there is no verified host name, the IP address in square brackets. After that
11049 there may be text in parentheses. When the first item is a verified host name,
11050 the first thing in the parentheses is the IP address in square brackets,
11051 followed by a colon and a port number if port logging is enabled. When the
11052 first item is an IP address, the port is recorded as ``port='xxxx'##'' inside
11053 the parentheses.
11054 +
11055 There may also be items of the form ``helo='xxxx'##'' if HELO or EHLO
11056 was used and its argument was not identical to the real host name or IP
11057 address, and ``ident='xxxx'##'' if an RFC 1413 ident string is available. If all
11058 three items are present in the parentheses, a newline and tab are inserted into
11059 the string, to improve the formatting of the 'Received:' header.
11060
11061 $sender_verify_failure$::
11062 cindex:[$sender_verify_failure$]
11063 In an ACL, when a sender verification fails, this variable contains information
11064 about the failure. The details are the same as for $recipient_verify_failure$.
11065
11066 $smtp_active_hostname$::
11067 cindex:[$smtp_active_hostname$]
11068 During an SMTP session, this variable contains the value of the active host
11069 name, as specified by the %smtp_active_hostname% option. The value of
11070 $smtp_active_hostname$ is saved with any message that is received, so its value
11071 can be consulted during routing and delivery.
11072
11073 $smtp_command$::
11074 +
11075 [revisionflag="changed"]
11076 cindex:[$smtp_command$]
11077 During the processing of an incoming SMTP command, this variable contains the
11078 entire command. This makes it possible to distinguish between HELO and EHLO in
11079 the HELO ACL, and also to distinguish between commands such as these:
11080 +
11081 ....
11082 MAIL FROM:<>
11083 MAIL FROM: <>
11084 ....
11085 +
11086 For a MAIL command, extra parameters such as SIZE can be inspected. For a RCPT
11087 command, the address in $smtp_command$ is the original address before any
11088 rewriting, whereas the values in $local_part$ and $domain$ are taken from the
11089 address after SMTP-time rewriting.
11090
11091
11092 $smtp_command_argument$::
11093 +
11094 [revisionflag="changed"]
11095 cindex:[SMTP command,argument for]
11096 cindex:[$smtp_command_argument$]
11097 While an ACL is running to check an SMTP command, this variable contains the
11098 argument, that is, the text that follows the command name, with leading white
11099 space removed. Following the introduction of $smtp_command$, this variable is
11100 somewhat redundant, but is retained for backwards compatibility.
11101
11102 $sn0$ -- $sn9$::
11103 These variables are copies of the values of the $n0$ -- $n9$ accumulators that
11104 were current at the end of the system filter file. This allows a system filter
11105 file to set values that can be tested in users' filter files. For example, a
11106 system filter could set a value indicating how likely it is that a message is
11107 junk mail.
11108
11109 $spam_$'xxx'::
11110 A number of variables whose names start with $spam$ are available when Exim is
11111 compiled with the content-scanning extension. For details, see section
11112 <<SECTscanspamass>>.
11113
11114
11115 $spool_directory$::
11116 cindex:[$spool_directory$]
11117 The name of Exim's spool directory.
11118
11119 $spool_inodes$::
11120 cindex:[$spool_inodes$]
11121 The number of free inodes in the disk partition where Exim's spool files are
11122 being written. The value is recalculated whenever the variable is referenced.
11123 If the relevant file system does not have the concept of inodes, the value of
11124 is -1. See also the %check_spool_inodes% option.
11125
11126 $spool_space$::
11127 cindex:[$spool_space$]
11128 The amount of free space (as a number of kilobytes) in the disk partition where
11129 Exim's spool files are being written. The value is recalculated whenever the
11130 variable is referenced. If the operating system does not have the ability to
11131 find the amount of free space (only true for experimental systems), the space
11132 value is -1. For example, to check in an ACL that there is at least 50
11133 megabytes free on the spool, you could write:
11134
11135   condition = ${if > {$spool_space}{50000}}
11136 +
11137 See also the %check_spool_space% option.
11138
11139
11140 $thisaddress$::
11141 cindex:[$thisaddress$]
11142 This variable is set only during the processing of the %foranyaddress% command
11143 in a filter file. Its use is explained in the description of that command,
11144 which can be found in the separate document entitled 'Exim's interfaces to mail
11145 filtering'.
11146
11147 $tls_certificate_verified$::
11148 cindex:[$tls_certificate_verified$]
11149 This variable is set to ``1'' if a TLS certificate was verified when the
11150 message was received, and ``0'' otherwise.
11151
11152 $tls_cipher$::
11153 cindex:[$tls_cipher$]
11154 When a message is received from a remote host over an encrypted SMTP
11155 connection, this variable is set to the cipher suite that was negotiated, for
11156 example DES-CBC3-SHA. In other circumstances, in particular, for message
11157 received over unencrypted connections, the variable is empty. See chapter
11158 <<CHAPTLS>> for details of TLS support.
11159
11160 $tls_peerdn$::
11161 cindex:[$tls_peerdn$]
11162 When a message is received from a remote host over an encrypted SMTP
11163 connection, and Exim is configured to request a certificate from the client,
11164 the value of the Distinguished Name of the certificate is made available in the
11165 $tls_peerdn$ during subsequent processing.
11166
11167 $tod_bsdinbox$::
11168 cindex:[$tod_bsdinbox$]
11169 The time of day and date, in the format required for BSD-style mailbox files,
11170 for example: Thu Oct 17 17:14:09 1995.
11171
11172 $tod_epoch$::
11173 cindex:[$tod_epoch$]
11174 The time and date as a number of seconds since the start of the Unix epoch.
11175
11176 $tod_full$::
11177 cindex:[$tod_full$]
11178 A full version of the time and date, for example: Wed, 16 Oct 1995 09:51:40
11179 +0100. The timezone is always given as a numerical offset from UTC, with
11180 positive values used for timezones that are ahead (east) of UTC, and negative
11181 values for those that are behind (west).
11182
11183 $tod_log$::
11184 cindex:[$tod_log$]
11185 The time and date in the format used for writing Exim's log files, for example:
11186 1995-10-12 15:32:29, but without a timezone.
11187
11188 $tod_logfile$::
11189 cindex:[$tod_logfile$]
11190 This variable contains the date in the format yyyymmdd. This is the format that
11191 is used for datestamping log files when %log_file_path% contains the `%D`
11192 flag.
11193
11194 $tod_zone$::
11195 cindex:[$tod_zone$]
11196 This variable contains the numerical value of the local timezone, for example:
11197 -0500.
11198
11199 $tod_zulu$::
11200 cindex:[$tod_zulu$]
11201 This variable contains the UTC date and time in ``Zulu'' format, as specified by
11202 ISO 8601, for example: 20030221154023Z.
11203
11204 $value$::
11205 cindex:[$value$]
11206 This variable contains the result of an expansion lookup, extraction operation,
11207 or external command, as described above.
11208
11209 $version_number$::
11210 cindex:[$version_number$]
11211 The version number of Exim.
11212
11213 $warn_message_delay$::
11214 cindex:[$warn_message_delay$]
11215 This variable is set only during the creation of a message warning about a
11216 delivery delay. Details of its use are explained in section <<SECTcustwarn>>.
11217
11218 $warn_message_recipients$::
11219 cindex:[$warn_message_recipients$]
11220 This variable is set only during the creation of a message warning about a
11221 delivery delay. Details of its use are explained in section <<SECTcustwarn>>.
11222
11223
11224
11225 ////////////////////////////////////////////////////////////////////////////
11226 ////////////////////////////////////////////////////////////////////////////
11227
11228 [[CHAPperl]]
11229 Embedded Perl
11230 -------------
11231 cindex:[Perl,calling from Exim]
11232 Exim can be built to include an embedded Perl interpreter. When this is done,
11233 Perl subroutines can be called as part of the string expansion process. To make
11234 use of the Perl support, you need version 5.004 or later of Perl installed on
11235 your system. To include the embedded interpreter in the Exim binary, include
11236 the line
11237
11238   EXIM_PERL = perl.o
11239
11240 in your _Local/Makefile_ and then build Exim in the normal way.
11241
11242
11243 Setting up so Perl can be used
11244 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11245 cindex:[%perl_startup%]
11246 Access to Perl subroutines is via a global configuration option called
11247 %perl_startup% and an expansion string operator %\$\{perl ...\}%. If there is
11248 no %perl_startup% option in the Exim configuration file then no Perl
11249 interpreter is started and there is almost no overhead for Exim (since none of
11250 the Perl library will be paged in unless used). If there is a %perl_startup%
11251 option then the associated value is taken to be Perl code which is executed in
11252 a newly created Perl interpreter.
11253
11254 The value of %perl_startup% is not expanded in the Exim sense, so you do not
11255 need backslashes before any characters to escape special meanings. The option
11256 should usually be something like
11257
11258   perl_startup = do '/etc/exim.pl'
11259
11260 where _/etc/exim.pl_ is Perl code which defines any subroutines you want to
11261 use from Exim. Exim can be configured either to start up a Perl interpreter as
11262 soon as it is entered, or to wait until the first time it is needed. Starting
11263 the interpreter at the beginning ensures that it is done while Exim still has
11264 its setuid privilege, but can impose an unnecessary overhead if Perl is not in
11265 fact used in a particular run. Also, note that this does not mean that Exim is
11266 necessarily running as root when Perl is called at a later time. By default,
11267 the interpreter is started only when it is needed, but this can be changed in
11268 two ways:
11269
11270 - cindex:[%perl_at_start%]
11271 Setting %perl_at_start% (a boolean option) in the configuration requests
11272 a startup when Exim is entered.
11273
11274 - The command line option %-ps% also requests a startup when Exim is entered,
11275 overriding the setting of %perl_at_start%.
11276
11277 There is also a command line option %-pd% (for delay) which suppresses the
11278 initial startup, even if %perl_at_start% is set.
11279
11280
11281 Calling Perl subroutines
11282 ~~~~~~~~~~~~~~~~~~~~~~~~
11283 When the configuration file includes a %perl_startup% option you can make use
11284 of the string expansion item to call the Perl subroutines that are defined
11285 by the %perl_startup% code. The operator is used in any of the following
11286 forms:
11287
11288   ${perl{foo}}
11289   ${perl{foo}{argument}}
11290   ${perl{foo}{argument1}{argument2} ... }
11291
11292 which calls the subroutine %foo% with the given arguments. A maximum of eight
11293 arguments may be passed. Passing more than this results in an expansion failure
11294 with an error message of the form
11295
11296   Too many arguments passed to Perl subroutine "foo" (max is 8)
11297
11298 The return value of the Perl subroutine is evaluated in a scalar context before
11299 it is passed back to Exim to be inserted into the expanded string. If the
11300 return value is 'undef', the expansion is forced to fail in the same way as
11301 an explicit ``fail'' on an %\$\{if ...\}% or %\$\{lookup...\}% item. If the
11302 subroutine aborts by obeying Perl's %die% function, the expansion fails with
11303 the error message that was passed to %die%.
11304
11305
11306 Calling Exim functions from Perl
11307 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11308 Within any Perl code called from Exim, the function 'Exim::expand_string'
11309 is available to call back into Exim's string expansion function. For example,
11310 the Perl code
11311
11312   my $lp = Exim::expand_string('$local_part');
11313
11314 makes the current Exim $local_part$ available in the Perl variable $lp$.
11315 Note those are single quotes and not double quotes to protect against
11316 $local_part$ being interpolated as a Perl variable.
11317
11318 If the string expansion is forced to fail by a ``fail'' item, the result of
11319 'Exim::expand_string' is %undef%. If there is a syntax error in the
11320 expansion string, the Perl call from the original expansion string fails with
11321 an appropriate error message, in the same way as if %die% were used.
11322
11323 cindex:[debugging,from embedded Perl]
11324 cindex:[log,writing from embedded Perl]
11325 Two other Exim functions are available for use from within Perl code.
11326 'Exim::debug_write(<'string'>)' writes the string to the standard error
11327 stream if Exim's debugging is enabled. If you want a newline at the end, you
11328 must supply it. 'Exim::log_write(<'string'>)' writes the string to Exim's
11329 main log, adding a leading timestamp. In this case, you should not supply a
11330 terminating newline.
11331
11332
11333 Use of standard output and error by Perl
11334 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11335 cindex:[Perl,standard output and error]
11336 You should not write to the standard error or output streams from within your
11337 Perl code, as it is not defined how these are set up. In versions of Exim
11338 before 4.50, it is possible for the standard output or error to refer to the
11339 SMTP connection during message reception via the daemon. Writing to this stream
11340 is certain to cause chaos. From Exim 4.50 onwards, the standard output and
11341 error streams are connected to _/dev/null_ in the daemon. The chaos is
11342 avoided, but the output is lost.
11343
11344 cindex:[Perl,use of %warn%]
11345 The Perl %warn% statement writes to the standard error stream by default. Calls
11346 to %warn% may be embedded in Perl modules that you use, but over which you have
11347 no control. When Exim starts up the Perl interpreter, it arranges for output
11348 from the %warn% statement to be written to the Exim main log. You can change
11349 this by including appropriate Perl magic somewhere in your Perl code. For
11350 example, to discard %warn% output completely, you need this:
11351
11352   $SIG{__WARN__} = sub { };
11353
11354 Whenever a %warn% is obeyed, the anonymous subroutine is called. In this
11355 example, the code for the subroutine is empty, so it does nothing, but you can
11356 include any Perl code that you like. The text of the %warn% message is passed
11357 as the first subroutine argument.
11358
11359
11360
11361 ////////////////////////////////////////////////////////////////////////////
11362 ////////////////////////////////////////////////////////////////////////////
11363
11364 [[CHAPinterfaces]]
11365 [titleabbrev="Starting the daemon"]
11366 Starting the daemon and the use of network interfaces
11367 -----------------------------------------------------
11368 cindex:[daemon,starting]
11369 cindex:[interface,listening]
11370 cindex:[network interface]
11371 cindex:[interface,network]
11372 cindex:[IP address,for listening]
11373 cindex:[daemon,listening IP addresses]
11374 cindex:[TCP/IP,setting listening interfaces]
11375 cindex:[TCP/IP,setting listening ports]
11376 A host that is connected to a TCP/IP network may have one or more physical
11377 hardware network interfaces. Each of these interfaces may be configured as one
11378 or more ``logical'' interfaces, which are the entities that a program actually
11379 works with. Each of these logical interfaces is associated with an IP address.
11380 In addition, TCP/IP software supports ``loopback'' interfaces (127.0.0.1 in IPv4
11381 and ::1 in IPv6), which do not use any physical hardware. Exim requires
11382 knowledge about the host's interfaces for use in three different circumstances:
11383
11384 . When a listening daemon is started, Exim needs to know which interfaces
11385 and ports to listen on.
11386
11387 . When Exim is routing an address, it needs to know which IP addresses
11388 are associated with local interfaces. This is required for the correct
11389 processing of MX lists by removing the local host and others with the
11390 same or higher priority values. Also, Exim needs to detect cases
11391 when an address is routed to an IP address that in fact belongs to the
11392 local host. Unless the %self% router option or the %allow_localhost%
11393 option of the smtp transport is set (as appropriate), this is treated
11394 as an error situation.
11395
11396 . When Exim connects to a remote host, it may need to know which interface to use
11397 for the outgoing connection.
11398
11399
11400 Exim's default behaviour is likely to be appropriate in the vast majority
11401 of cases. If your host has only one interface, and you want all its IP
11402 addresses to be treated in the same way, and you are using only the
11403 standard SMTP port, you should not need to take any special action. The
11404 rest of this chapter does not apply to you.
11405
11406 In a more complicated situation you may want to listen only on certain
11407 interfaces, or on different ports, and for this reason there are a number of
11408 options that can be used to influence Exim's behaviour. The rest of this
11409 chapter describes how they operate.
11410
11411 When a message is received over TCP/IP, the interface and port that were
11412 actually used are set in $interface_address$ and $interface_port$.
11413
11414
11415
11416 Starting a listening daemon
11417 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
11418 When a listening daemon is started (by means of the %-bd% command line
11419 option), the interfaces and ports on which it listens are controlled by the
11420 following options:
11421
11422 - %daemon_smtp_ports% contains a list of default ports. (For backward
11423 compatibility, this option can also be specified in the singular.)
11424
11425 - %local_interfaces% contains list of interface IP addresses on which to
11426 listen. Each item may optionally also specify a port.
11427
11428 The default list separator in both cases is a colon, but this can be changed as
11429 described in section <<SECTlistconstruct>>. When IPv6 addresses are involved, it
11430 is usually best to change the separator to avoid having to double all the
11431 colons. For example:
11432
11433 ....
11434 local_interfaces = <; 127.0.0.1 ; \
11435                       192.168.23.65 ; \
11436                       ::1 ; \
11437                       3ffe:ffff:836f::fe86:a061
11438 ....
11439
11440 There are two different formats for specifying a port along with an IP address
11441 in %local_interfaces%:
11442
11443 . The port is added onto the address with a dot separator. For example, to listen
11444 on port 1234 on two different IP addresses:
11445 +
11446 ....
11447 local_interfaces = <; 192.168.23.65.1234 ; \
11448                       3ffe:ffff:836f::fe86:a061.1234
11449 ....
11450
11451 . The IP address is enclosed in square brackets, and the port is added
11452 with a colon separator, for example:
11453 +
11454 ....
11455 local_interfaces = <; [192.168.23.65]:1234 ; \
11456                       [3ffe:ffff:836f::fe86:a061]:1234
11457 ....
11458
11459 When a port is not specified, the value of %daemon_smtp_ports% is used. The
11460 default setting contains just one port:
11461
11462   daemon_smtp_ports = smtp
11463
11464 If more than one port is listed, each interface that does not have its own port
11465 specified listens on all of them. Ports that are listed in
11466 %daemon_smtp_ports% can be identified either by name (defined in
11467 _/etc/services_) or by number. However, when ports are given with individual
11468 IP addresses in %local_interfaces%, only numbers (not names) can be used.
11469
11470
11471
11472 Special IP listening addresses
11473 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11474 The addresses 0.0.0.0 and ::0 are treated specially. They are interpreted
11475 as ``all IPv4 interfaces'' and ``all IPv6 interfaces'', respectively. In each
11476 case, Exim tells the TCP/IP stack to ``listen on all IPv##'x' interfaces''
11477 instead of setting up separate listening sockets for each interface. The
11478 default value of %local_interfaces% is
11479
11480   local_interfaces = 0.0.0.0
11481
11482 when Exim is built without IPv6 support; otherwise it is:
11483
11484   local_interfaces = <; ::0 ; 0.0.0.0
11485
11486 Thus, by default, Exim listens on all available interfaces, on the SMTP port.
11487
11488
11489
11490 Overriding local_interfaces and daemon_smtp_ports
11491 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11492 The %-oX% command line option can be used to override the values of
11493 %daemon_smtp_ports% and/or %local_interfaces% for a particular daemon
11494 instance. Another way of doing this would be to use macros and the %-D%
11495 option. However, %-oX% can be used by any admin user, whereas modification of
11496 the runtime configuration by %-D% is allowed only when the caller is root or
11497 exim.
11498
11499 The value of %-oX% is a list of items. The default colon separator can be
11500 changed in the usual way if required. If there are any items that do not
11501 contain dots or colons (that is, are not IP addresses), the value of
11502 %daemon_smtp_ports% is replaced by the list of those items. If there are any
11503 items that do contain dots or colons, the value of %local_interfaces% is
11504 replaced by those items. Thus, for example,
11505
11506   -oX 1225
11507
11508 overrides %daemon_smtp_ports%, but leaves %local_interfaces% unchanged,
11509 whereas
11510
11511   -oX 192.168.34.5.1125
11512
11513 overrides %local_interfaces%, leaving %daemon_smtp_ports% unchanged.
11514 (However, since %local_interfaces% now contains no items without ports, the
11515 value of %daemon_smtp_ports% is no longer relevant in this example.)
11516
11517
11518
11519 [[SECTsupobssmt]]
11520 Support for the obsolete SSMTP (or SMTPS) protocol
11521 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11522 cindex:[ssmtp protocol]
11523 cindex:[smtps protocol]
11524 cindex:[SMTP,ssmtp protocol]
11525 cindex:[SMTP,smtps protocol]
11526 Exim supports the obsolete SSMTP protocol (also known as SMTPS) that was used
11527 before the STARTTLS command was standardized for SMTP. Some legacy clients
11528 still use this protocol. If the %tls_on_connect_ports% option is set to a
11529 list of port numbers, connections to those ports must use SSMTP. The most
11530 common use of this option is expected to be
11531
11532   tls_on_connect_ports = 465
11533
11534 because 465 is the usual port number used by the legacy clients. There is also
11535 a command line option %-tls-on-connect%, which forces all ports to behave in
11536 this way when a daemon is started.
11537
11538 *Warning*: Setting %tls_on_connect_ports% does not of itself cause the
11539 daemon to listen on those ports. You must still specify them in
11540 %daemon_smtp_ports%, %local_interfaces%, or the %-oX% option. (This is
11541 because %tls_on_connect_ports% applies to %inetd% connections as well as to
11542 connections via the daemon.)
11543
11544
11545
11546
11547 IPv6 address scopes
11548 ~~~~~~~~~~~~~~~~~~~
11549 IPv6 addresses have ``scopes'', and a host with multiple hardware interfaces
11550 can, in principle, have the same link-local IPv6 address on different
11551 interfaces. Thus, additional information is needed, over and above the IP
11552 address, to distinguish individual interfaces. A convention of using a
11553 percent sign followed by something (often the interface name) has been
11554 adopted in some cases, leading to addresses like this:
11555
11556   fe80::202:b3ff:fe03:45c1%eth0
11557
11558 To accommodate this usage, a percent sign followed by an arbitrary string is
11559 allowed at the end of an IPv6 address. By default, Exim calls 'getaddrinfo()'
11560 to convert a textual IPv6 address for actual use. This function recognizes the
11561 percent convention in operating systems that support it, and it processes the
11562 address appropriately. Unfortunately, some older libraries have problems with
11563 'getaddrinfo()'. If
11564
11565   IPV6_USE_INET_PTON=yes
11566
11567 is set in _Local/Makefile_ (or an OS-dependent Makefile) when Exim is built,
11568 Exim uses 'inet_pton()' to convert a textual IPv6 address for actual use,
11569 instead of 'getaddrinfo()'. (Before version 4.14, it always used this
11570 function.) Of course, this means that the additional functionality of
11571 'getaddrinfo()' -- recognizing scoped addresses -- is lost.
11572
11573
11574
11575 Examples of starting a listening daemon
11576 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11577 The default case in an IPv6 environment is
11578
11579   daemon_smtp_ports = smtp
11580   local_interfaces = <; ::0 ; 0.0.0.0
11581
11582 This specifies listening on the smtp port on all IPv6 and IPv4 interfaces.
11583 Either one or two sockets may be used, depending on the characteristics of
11584 the TCP/IP stack. (This is complicated and messy; for more information,
11585 read the comments in the _daemon.c_ source file.)
11586
11587 To specify listening on ports 25 and 26 on all interfaces:
11588
11589   daemon_smtp_ports = 25 : 26
11590
11591 (leaving %local_interfaces% at the default setting) or, more explicitly:
11592
11593 ....
11594 local_interfaces = <; ::0.25     ; ::0.26 \
11595                       0.0.0.0.25 ; 0.0.0.0.26
11596 ....
11597
11598 To listen on the default port on all IPv4 interfaces, and on port 26 on the
11599 IPv4 loopback address only:
11600
11601   local_interfaces = 0.0.0.0 : 127.0.0.1.26
11602
11603 To specify listening on the default port on specific interfaces only:
11604
11605   local_interfaces = 192.168.34.67 : 192.168.34.67
11606
11607 *Warning*: such a setting excludes listening on the loopback interfaces.
11608
11609
11610
11611 [[SECTreclocipadd]]
11612 Recognising the local host
11613 ~~~~~~~~~~~~~~~~~~~~~~~~~~
11614 The %local_interfaces% option is also used when Exim needs to determine
11615 whether or not an IP address refers to the local host. That is, the IP
11616 addresses of all the interfaces on which a daemon is listening are always
11617 treated as local.
11618
11619 For this usage, port numbers in %local_interfaces% are ignored. If either of
11620 the items 0.0.0.0 or ::0 are encountered, Exim gets a complete list of
11621 available interfaces from the operating system, and extracts the relevant
11622 (that is, IPv4 or IPv6) addresses to use for checking.
11623
11624 Some systems set up large numbers of virtual interfaces in order to provide
11625 many virtual web servers. In this situation, you may want to listen for
11626 email on only a few of the available interfaces, but nevertheless treat all
11627 interfaces as local when routing. You can do this by setting
11628 %extra_local_interfaces% to a list of IP addresses, possibly including the
11629 ``all'' wildcard values. These addresses are recognized as local, but are not
11630 used for listening. Consider this example:
11631
11632 ....
11633 local_interfaces = <; 127.0.0.1 ; ::1 ; \
11634                       192.168.53.235 ; \
11635                       3ffe:2101:12:1:a00:20ff:fe86:a061
11636
11637 extra_local_interfaces = <; ::0 ; 0.0.0.0
11638 ....
11639
11640 The daemon listens on the loopback interfaces and just one IPv4 and one IPv6
11641 address, but all available interface addresses are treated as local when
11642 Exim is routing.
11643
11644 In some environments the local host name may be in an MX list, but with an IP
11645 address that is not assigned to any local interface. In other cases it may be
11646 desirable to treat other host names as if they referred to the local host. Both
11647 these cases can be handled by setting the %hosts_treat_as_local% option.
11648 This contains host names rather than IP addresses. When a host is referenced
11649 during routing, either via an MX record or directly, it is treated as the local
11650 host if its name matches %hosts_treat_as_local%, or if any of its IP
11651 addresses match %local_interfaces% or %extra_local_interfaces%.
11652
11653
11654
11655 Delivering to a remote host
11656 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
11657 Delivery to a remote host is handled by the smtp transport. By default, it
11658 allows the system's TCP/IP functions to choose which interface to use (if
11659 there is more than one) when connecting to a remote host. However, the
11660 %interface% option can be set to specify which interface is used. See the
11661 description of the smtp transport in chapter <<CHAPsmtptrans>> for more details.
11662
11663
11664
11665
11666 ////////////////////////////////////////////////////////////////////////////
11667 ////////////////////////////////////////////////////////////////////////////
11668
11669 [[CHAPmainconfig]]
11670 Main configuration
11671 ------------------
11672 cindex:[configuration file,main section]
11673 cindex:[main configuration]
11674 The first part of the run time configuration file contains three types of item:
11675
11676 - Macro definitions: These lines start with an upper case letter. See section
11677 <<SECTmacrodefs>> for details of macro processing.
11678
11679 - Named list definitions: These lines start with one of the words ``domainlist'',
11680 ``hostlist'', ``addresslist'', or ``localpartlist''. Their use is described in
11681 section <<SECTnamedlists>>.
11682
11683 - Main configuration settings: Each setting occupies one line of the file
11684 (with possible continuations). If any setting is preceded by the word
11685 ``hide'', the %-bP% command line option displays its value to admin users only.
11686 See section <<SECTcos>> for a description of the syntax of these option settings.
11687
11688 This chapter specifies all the main configuration options, along with their
11689 types and default values. For ease of finding a particular option, they appear
11690 in alphabetical order in section <<SECTalomo>> below. However, because there are
11691 now so many options, they are first listed briefly in functional groups, as an
11692 aid to finding the name of the option you are looking for. Some options are
11693 listed in more than one group.
11694
11695 Miscellaneous
11696 ~~~~~~~~~~~~~
11697 [frame="none"]
11698 `-----------------------------------`-------------------------------------
11699 %bi_command%                        to run for %-bi% command line option
11700 %keep_malformed%                    for broken files -- should not happen
11701 %localhost_number%                  for unique message ids in clusters
11702 %message_body_visible%              how much to show in $message_body$
11703 %mua_wrapper%                       run in ``MUA wrapper'' mode
11704 %print_topbitchars%                 top-bit characters are printing
11705 %timezone%                          force time zone
11706 --------------------------------------------------------------------------
11707
11708
11709 Exim parameters
11710 ~~~~~~~~~~~~~~~
11711 [frame="none"]
11712 `-----------------------------------`-------------------------------------
11713 %exim_group%                        override compiled-in value
11714 %exim_path%                         override compiled-in value
11715 %exim_user%                         override compiled-in value
11716 %primary_hostname%                  default from 'uname()'
11717 %split_spool_directory%             use multiple directories
11718 %spool_directory%                   override compiled-in value
11719 --------------------------------------------------------------------------
11720
11721
11722
11723 Privilege controls
11724 ~~~~~~~~~~~~~~~~~~
11725 [frame="none"]
11726 `-----------------------------------`-------------------------------------
11727 %admin_groups%                      groups that are Exim admin users
11728 %deliver_drop_privilege%            drop root for delivery processes
11729 %local_from_check%                  insert 'Sender:' if necessary
11730 %local_from_prefix%                 for testing 'From:' for local sender
11731 %local_from_suffix%                 for testing 'From:' for local sender
11732 %local_sender_retain%               keep 'Sender:' from untrusted user
11733 %never_users%                       do not run deliveries as these
11734 %prod_requires_admin%               forced delivery requires admin user
11735 %queue_list_requires_admin%         queue listing requires admin user
11736 %trusted_groups%                    groups that are trusted
11737 %trusted_users%                     users that are trusted
11738 --------------------------------------------------------------------------
11739
11740
11741
11742 Logging
11743 ~~~~~~~
11744 [frame="none"]
11745 `-----------------------------------`-------------------------------------
11746 %hosts_connection_nolog%            exemption from connect logging
11747 %log_file_path%                     override compiled-in value
11748 %log_selector%                      set/unset optional logging
11749 %log_timezone%                      add timezone to log lines
11750 %message_logs%                      create per-message logs
11751 %preserve_message_logs%             after message completion
11752 %process_log_path%                  for SIGUSR1 and 'exiwhat'
11753 %syslog_duplication%                controls duplicate log lines on syslog
11754 %syslog_facility%                   set syslog ``facility'' field
11755 %syslog_processname%                set syslog ``ident'' field
11756 %syslog_timestamp%                  timestamp syslog lines
11757 %write_rejectlog%                   control use of message log
11758 --------------------------------------------------------------------------
11759
11760
11761
11762 Frozen messages
11763 ~~~~~~~~~~~~~~~
11764 [frame="none"]
11765 `-----------------------------------`-------------------------------------
11766 %auto_thaw%                         sets time for retrying frozen messages
11767 %freeze_tell%                       send message when freezing
11768 %move_frozen_messages%              to another directory
11769 %timeout_frozen_after%              keep frozen messages only so long
11770 --------------------------------------------------------------------------
11771
11772
11773
11774 Data lookups
11775 ~~~~~~~~~~~~
11776 [frame="none"]
11777 `-----------------------------------`-------------------------------------
11778 %ldap_default_servers%              used if no server in query
11779 %ldap_version%                      set protocol version
11780 %lookup_open_max%                   lookup files held open
11781 %mysql_servers%                     as it says
11782 %oracle_servers%                    as it says
11783 %pgsql_servers%                     as it says
11784 %sqlite_lock_timeout%               as it says
11785 --------------------------------------------------------------------------
11786
11787
11788
11789 Message ids
11790 ~~~~~~~~~~~
11791 [frame="none"]
11792 `-----------------------------------`-------------------------------------
11793 %message_id_header_domain%          used to build 'Message-ID:' header
11794 %message_id_header_text%            ditto
11795 --------------------------------------------------------------------------
11796
11797
11798
11799 Embedded Perl Startup
11800 ~~~~~~~~~~~~~~~~~~~~~
11801 [frame="none"]
11802 `-----------------------------------`-------------------------------------
11803 %perl_at_start%                     always start the interpreter
11804 %perl_startup%                      code to obey when starting Perl
11805 --------------------------------------------------------------------------
11806
11807
11808
11809 Daemon
11810 ~~~~~~
11811 [frame="none"]
11812 `-----------------------------------`-------------------------------------
11813 %daemon_smtp_ports%                 default ports
11814 %daemon_startup_retries%            number of times to retry
11815 %daemon_startup_sleep%              time to sleep between tries
11816 %extra_local_interfaces%            not necessarily listened on
11817 %local_interfaces%                  on which to listen, with optional ports
11818 %pid_file_path%                     override compiled-in value
11819 %queue_run_max%                     maximum simultaneous queue runners
11820 --------------------------------------------------------------------------
11821
11822
11823
11824 Resource control
11825 ~~~~~~~~~~~~~~~~
11826 [frame="none"]
11827 `-----------------------------------`-------------------------------------
11828 %check_log_inodes%                  before accepting a message
11829 %check_log_space%                   before accepting a message
11830 %check_spool_inodes%                before accepting a message
11831 %check_spool_space%                 before accepting a message
11832 %deliver_queue_load_max%            no queue deliveries if load high
11833 %queue_only_load%                   queue incoming if load high
11834 %queue_run_max%                     maximum simultaneous queue runners
11835 %remote_max_parallel%               parallel SMTP delivery per message
11836 %smtp_accept_max%                   simultaneous incoming connections
11837 %smtp_accept_max_nommail%           non-mail commands
11838 %smtp_accept_max_nonmail_hosts%     hosts to which the limit applies
11839 %smtp_accept_max_per_connection%    messages per connection
11840 %smtp_accept_max_per_host%          connections from one host
11841 %smtp_accept_queue%                 queue mail if more connections
11842 %smtp_accept_queue_per_connection%  queue if more messages per connection
11843 %smtp_accept_reserve%               only reserve hosts if more connections
11844 %smtp_check_spool_space%            from SIZE on MAIL command
11845 %smtp_connect_backlog%              passed to TCP/IP stack
11846 %smtp_load_reserve%                 SMTP from reserved hosts if load high
11847 %smtp_reserve_hosts%                these are the reserve hosts
11848 --------------------------------------------------------------------------
11849
11850
11851
11852 Policy controls
11853 ~~~~~~~~~~~~~~~
11854 [frame="none"]
11855 `-----------------------------------`-------------------------------------
11856 %acl_not_smtp%                      ACL for non-SMTP messages
11857 %acl_not_smtp_mime%                 ACL for non-SMTP MIME parts
11858 %acl_smtp_auth%                     ACL for AUTH
11859 %acl_smtp_connect%                  ACL for connection
11860 %acl_smtp_data%                     ACL for DATA
11861 %acl_smtp_etrn%                     ACL for ETRN
11862 %acl_smtp_expn%                     ACL for EXPN
11863 %acl_smtp_helo%                     ACL for EHLO or HELO
11864 %acl_smtp_mail%                     ACL for MAIL
11865 %acl_smtp_mailauth%                 ACL for AUTH on MAIL command
11866 %acl_smtp_mime%                     ACL for MIME parts
11867 %acl_smtp_predata%                  ACL for start of data
11868 %acl_smtp_quit%                     ACL for QUIT
11869 %acl_smtp_rcpt%                     ACL for RCPT
11870 %acl_smtp_starttls%                 ACL for STARTTLS
11871 %acl_smtp_vrfy%                     ACL for VRFY
11872 %av_scanner%                        specify virus scanner
11873 %dns_csa_search_limit%              control CSA parent search depth
11874 %dns_csa_use_reverse%               en/disable CSA IP reverse search
11875 %header_maxsize%                    total size of message header
11876 %header_line_maxsize%               individual header line limit
11877 %helo_accept_junk_hosts%            allow syntactic junk from these hosts
11878 %helo_allow_chars%                  allow illegal chars in HELO names
11879 %helo_lookup_domains%               lookup hostname for these HELO names
11880 %helo_try_verify_hosts%             HELO soft-checked for these hosts
11881 %helo_verify_hosts%                 HELO hard-checked for these hosts
11882 %host_lookup%                       host name looked up for these hosts
11883 %host_lookup_order%                 order of DNS and local name lookups
11884 %host_reject_connection%            reject connection from these hosts
11885 %hosts_treat_as_local%              useful in some cluster configurations
11886 %local_scan_timeout%                timeout for 'local_scan()'
11887 %message_size_limit%                for all messages
11888 %percent_hack_domains%              recognize %-hack for these domains
11889 %spamd_address%                     set interface to SpamAssassin
11890 --------------------------------------------------------------------------
11891
11892
11893
11894 Callout cache
11895 ~~~~~~~~~~~~~
11896 [frame="none"]
11897 `-----------------------------------`-------------------------------------
11898 %callout_domain_negative_expire%    timeout for negative domain cache item
11899 %callout_domain_positive_expire%    timeout for positive domain cache item
11900 %callout_negative_expire%           timeout for negative address cache item
11901 %callout_positive_expire%           timeout for positive address cache item
11902 %callout_random_local_part%         string to use for ``random'' testing
11903 --------------------------------------------------------------------------
11904
11905
11906
11907 TLS
11908 ~~~
11909 [frame="none"]
11910 `-----------------------------------`-------------------------------------
11911 %tls_advertise_hosts%               advertise TLS to these hosts
11912 %tls_certificate%                   location of server certificate
11913 %tls_crl%                           certificate revocation list
11914 %tls_dhparam%                       DH parameters for server
11915 %tls_on_connect_ports%              specify SSMTP (SMTPS) ports
11916 %tls_privatekey%                    location of server private key
11917 %tls_remember_esmtp%                don't reset after starting TLS
11918 %tls_require_ciphers%               specify acceptable cipers
11919 %tls_try_verify_hosts%              try to verify client certificate
11920 %tls_verify_certificates%           expected client certificates
11921 %tls_verify_hosts%                  insist on client certificate verify
11922 --------------------------------------------------------------------------
11923
11924
11925
11926 Local user handling
11927 ~~~~~~~~~~~~~~~~~~~
11928 [frame="none"]
11929 `-----------------------------------`-------------------------------------
11930 %finduser_retries%                  useful in NIS environments
11931 %gecos_name%                        used when creating 'Sender:'
11932 %gecos_pattern%                     ditto
11933 %max_username_length%               for systems that truncate
11934 %unknown_login%                     used when no login name found
11935 %unknown_username%                  ditto
11936 %uucp_from_pattern%                 for recognizing ``From '' lines
11937 %uucp_from_sender%                  ditto
11938 --------------------------------------------------------------------------
11939
11940
11941
11942 All incoming messages (SMTP and non-SMTP)
11943 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11944 [frame="none"]
11945 `-----------------------------------`-------------------------------------
11946 %header_maxsize%                    total size of message header
11947 %header_line_maxsize%               individual header line limit
11948 %message_size_limit%                applies to all messages
11949 %percent_hack_domains%              recognize %-hack for these domains
11950 %received_header_text%              expanded to make 'Received:'
11951 %received_headers_max%              for mail loop detection
11952 %recipients_max%                    limit per message
11953 %recipients_max_reject%             permanently reject excess
11954 --------------------------------------------------------------------------
11955
11956
11957
11958
11959 Non-SMTP incoming messages
11960 ~~~~~~~~~~~~~~~~~~~~~~~~~~
11961 [frame="none"]
11962 `-----------------------------------`-------------------------------------
11963 %receive_timeout%                   for non-SMTP messages
11964 --------------------------------------------------------------------------
11965
11966
11967
11968
11969
11970 Incoming SMTP messages
11971 ~~~~~~~~~~~~~~~~~~~~~~
11972 See also the 'Policy controls' section above.
11973
11974 [frame="none"]
11975 `-----------------------------------`-------------------------------------
11976 %host_lookup%                       host name looked up for these hosts
11977 %host_lookup_order%                 order of DNS and local name lookups
11978 %recipient_unqualified_hosts%       may send unqualified recipients
11979 %rfc1413_hosts%                     make ident calls to these hosts
11980 %rfc1413_query_timeout%             zero disables ident calls
11981 %sender_unqualified_hosts%          may send unqualified senders
11982 %smtp_accept_keepalive%             some TCP/IP magic
11983 %smtp_accept_max%                   simultaneous incoming connections
11984 %smtp_accept_max_nonmail%           non-mail commands
11985 %smtp_accept_max_nonmail_hosts%     hosts to which the limit applies
11986 %smtp_accept_max_per_connection%    messages per connection
11987 %smtp_accept_max_per_host%          connections from one host
11988 %smtp_accept_queue%                 queue mail if more connections
11989 %smtp_accept_queue_per_connection%  queue if more messages per connection
11990 %smtp_accept_reserve%               only reserve hosts if more connections
11991 %smtp_active_hostname%              host name to use in messages
11992 %smtp_banner%                       text for welcome banner
11993 %smtp_check_spool_space%            from SIZE on MAIL command
11994 %smtp_connect_backlog%              passed to TCP/IP stack
11995 %smtp_enforce_sync%                 of SMTP command/responses
11996 %smtp_etrn_command%                 what to run for ETRN
11997 %smtp_etrn_serialize%               only one at once
11998 %smtp_load_reserve%                 only reserve hosts if this load
11999 %smtp_max_unknown_commands%         before dropping connection
12000 %smtp_ratelimit_hosts%              apply ratelimiting to these hosts
12001 %smtp_ratelimit_mail%               ratelimit for MAIL commands
12002 %smtp_ratelimit_rcpt%               ratelimit for RCPT commands
12003 %smtp_receive_timeout%              per command or data line
12004 %smtp_reserve_hosts%                these are the reserve hosts
12005 %smtp_return_error_details%         give detail on rejections
12006 --------------------------------------------------------------------------
12007
12008
12009
12010 SMTP extensions
12011 ~~~~~~~~~~~~~~~
12012 [frame="none"]
12013 `-----------------------------------`-------------------------------------
12014 %accept_8bitmime%                   advertise 8BITMIME
12015 %auth_advertise_hosts%              advertise AUTH to these hosts
12016 %ignore_fromline_hosts%             allow ``From '' from these hosts
12017 %ignore_fromline_local%             allow ``From '' from local SMTP
12018 %pipelining_advertise_hosts%        advertise pipelining to these hosts
12019 %tls_advertise_hosts%               advertise TLS to these hosts
12020 --------------------------------------------------------------------------
12021
12022
12023
12024 Processing messages
12025 ~~~~~~~~~~~~~~~~~~~
12026 [frame="none"]
12027 `-----------------------------------`-------------------------------------
12028 %allow_domain_literals%             recognize domain literal syntax
12029 %allow_mx_to_ip%                    allow MX to point to IP address
12030 %allow_utf8_domains%                in addresses
12031 %delivery_date_remove%              from incoming messages
12032 %envelope_to_remote%                from incoming messages
12033 %extract_addresses_remove_arguments%affects %-t% processing
12034 %headers_charset%                   default for translations
12035 %qualify_domain%                    default for senders
12036 %qualify_recipient%                 default for recipients
12037 %return_path_remove%                from incoming messages
12038 %strip_excess_angle_brackets%       in addresses
12039 %strip_trailing_dot%                at end of addresses
12040 %untrusted_set_sender%              untrusted can set envelope sender
12041 --------------------------------------------------------------------------
12042
12043
12044
12045 System filter
12046 ~~~~~~~~~~~~~
12047 [frame="none"]
12048 `-----------------------------------`-------------------------------------
12049 %system_filter%                     locate system filter
12050 %system_filter_directory_transport% transport for delivery to a directory
12051 %system_filter_file_transport%      transport for delivery to a file
12052 %system_filter_group%               group for filter running
12053 %system_filter_pipe_transport%      transport for delivery to a pipe
12054 %system_filter_reply_transport%     transport for autoreply delivery
12055 %system_filter_user%                user for filter running
12056 --------------------------------------------------------------------------
12057
12058
12059
12060 Routing and delivery
12061 ~~~~~~~~~~~~~~~~~~~~
12062 [frame="none"]
12063 `-----------------------------------`-------------------------------------
12064 %dns_again_means_nonexist%          for broken domains
12065 %dns_check_names_pattern%           pre-DNS syntax check
12066 %dns_ipv4_lookup%                   only v4 lookup for these domains
12067 %dns_retrans%                       parameter for resolver
12068 %dns_retry%                         parameter for resolver
12069 %hold_domains%                      hold delivery for these domains
12070 %local_interfaces%                  for routing checks
12071 %queue_domains%                     no immediate delivery for these
12072 %queue_only%                        no immediate delivery at all
12073 %queue_only_file%                   no immediate delivery if file exists
12074 %queue_only_load%                   no immediate delivery if load is high
12075 %queue_only_override%               allow command line to override
12076 %queue_run_in_order%                order of arrival
12077 %queue_run_max%                     of simultaneous queue runners
12078 %queue_smtp_domains%                no immediate SMTP delivery for these
12079 %remote_max_parallel%               parallel SMTP delivery per message
12080 %remote_sort_domains%               order of remote deliveries
12081 %retry_data_expire%                 timeout for retry data
12082 %retry_interval_max%                safety net for retry rules
12083 --------------------------------------------------------------------------
12084
12085
12086
12087 Bounce and warning messages
12088 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
12089 [frame="none"]
12090 `-----------------------------------`-------------------------------------
12091 %bounce_message_file%               content of bounce
12092 %bounce_message_text%               content of bounce
12093 %bounce_return_body%                include body if returning message
12094 %bounce_return_message%             include original message in bounce
12095 %bounce_return_size_limit%          limit on returned message
12096 %bounce_sender_authentication%      send authenticated sender with bounce
12097 %errors_copy%                       copy bounce messages
12098 %errors_reply_to%                   'Reply-to:' in bounces
12099 %delay_warning%                     time schedule
12100 %delay_warning_condition%           condition for warning messages
12101 %ignore_bounce_errors_after%        discard undeliverable bounces
12102 %smtp_return_error_details%         give detail on rejections
12103 %warn_message_file%                 content of warning message
12104 --------------------------------------------------------------------------
12105
12106
12107
12108 [[SECTalomo]]
12109 Alphabetical list of main options
12110 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
12111 Those options that undergo string expansion before use are marked with !!.
12112
12113 oindex:[%accept_8bitmime%]
12114 `..'=
12115 %accept_8bitmime%, Use: 'main', Type: 'boolean', Default: 'false'
12116 ===
12117
12118 cindex:[8BITMIME]
12119 cindex:[8-bit characters]
12120 This option causes Exim to send 8BITMIME in its response to an SMTP
12121 EHLO command, and to accept the BODY= parameter on MAIL commands.
12122 However, though Exim is 8-bit clean, it is not a protocol converter, and it
12123 takes no steps to do anything special with messages received by this route.
12124 Consequently, this option is turned off by default.
12125
12126 oindex:[%acl_not_smtp%]
12127 `..'=
12128 %acl_not_smtp%, Use: 'main', Type: 'string'!!, Default: 'unset'
12129 ===
12130
12131 cindex:[{ACL},for non-SMTP messages]
12132 cindex:[non-SMTP messages, ACLs for]
12133 This option defines the ACL that is run when a non-SMTP message is on the point
12134 of being accepted. See chapter <<CHAPACL>> for further details.
12135
12136 oindex:[%acl_not_smtp_mime%]
12137 `..'=
12138 %acl_not_smtp_mime%, Use: 'main', Type: 'string'!!, Default: 'unset'
12139 ===
12140
12141 [revisionflag="changed"]
12142 This option defines the ACL that is run for individual MIME parts of non-SMTP
12143 messages. It operates in exactly the same way as %acl_smtp_mime% operates for
12144 SMTP messages.
12145
12146 oindex:[%acl_smtp_auth%]
12147 `..'=
12148 %acl_smtp_auth%, Use: 'main', Type: 'string'!!, Default: 'unset'
12149 ===
12150
12151 cindex:[{ACL},setting up for SMTP commands]
12152 cindex:[AUTH,ACL for]
12153 This option defines the ACL that is run when an SMTP AUTH command is
12154 received. See chapter <<CHAPACL>> for further details.
12155
12156 oindex:[%acl_smtp_connect%]
12157 `..'=
12158 %acl_smtp_connect%, Use: 'main', Type: 'string'!!, Default: 'unset'
12159 ===
12160
12161 cindex:[{ACL},on SMTP connection]
12162 This option defines the ACL that is run when an SMTP connection is received.
12163 See chapter <<CHAPACL>> for further details.
12164
12165 oindex:[%acl_smtp_data%]
12166 `..'=
12167 %acl_smtp_data%, Use: 'main', Type: 'string'!!, Default: 'unset'
12168 ===
12169
12170 cindex:[DATA, ACL for]
12171 This option defines the ACL that is run after an SMTP DATA command has been
12172 processed and the message itself has been received, but before the final
12173 acknowledgement is sent. See chapter <<CHAPACL>> for further details.
12174
12175 oindex:[%acl_smtp_etrn%]
12176 `..'=
12177 %acl_smtp_etrn%, Use: 'main', Type: 'string'!!, Default: 'unset'
12178 ===
12179
12180 cindex:[ETRN,ACL for]
12181 This option defines the ACL that is run when an SMTP ETRN command is
12182 received. See chapter <<CHAPACL>> for further details.
12183
12184 oindex:[%acl_smtp_expn%]
12185 `..'=
12186 %acl_smtp_expn%, Use: 'main', Type: 'string'!!, Default: 'unset'
12187 ===
12188
12189 cindex:[EXPN,ACL for]
12190 This option defines the ACL that is run when an SMTP EXPN command is
12191 received. See chapter <<CHAPACL>> for further details.
12192
12193 oindex:[%acl_smtp_helo%]
12194 `..'=
12195 %acl_smtp_helo%, Use: 'main', Type: 'string'!!, Default: 'unset'
12196 ===
12197
12198 cindex:[EHLO,ACL for]
12199 cindex:[HELO,ACL for]
12200 This option defines the ACL that is run when an SMTP EHLO or HELO
12201 command is received. See chapter <<CHAPACL>> for further details.
12202
12203
12204 oindex:[%acl_smtp_mail%]
12205 `..'=
12206 %acl_smtp_mail%, Use: 'main', Type: 'string'!!, Default: 'unset'
12207 ===
12208
12209 cindex:[MAIL,ACL for]
12210 This option defines the ACL that is run when an SMTP MAIL command is
12211 received. See chapter <<CHAPACL>> for further details.
12212
12213 oindex:[%acl_smtp_mailauth%]
12214 `..'=
12215 %acl_smtp_mailauth%, Use: 'main', Type: 'string'!!, Default: 'unset'
12216 ===
12217
12218 cindex:[AUTH,on MAIL command]
12219 This option defines the ACL that is run when there is an AUTH parameter on
12220 a MAIL command. See chapter <<CHAPACL>> for details of ACLs, and chapter
12221 <<CHAPSMTPAUTH>> for details of authentication.
12222
12223 oindex:[%acl_smtp_mime%]
12224 `..'=
12225 %acl_smtp_mime%, Use: 'main', Type: 'string'!!, Default: 'unset'
12226 ===
12227
12228 cindex:[MIME content scanning,ACL for]
12229 This option is available when Exim is built with the content-scanning
12230 extension. It defines the ACL that is run for each MIME part in a message. See
12231 section <<SECTscanmimepart>> for details.
12232
12233 oindex:[%acl_smtp_predata%]
12234 `..'=
12235 %acl_smtp_predata%, Use: 'main', Type: 'string'!!, Default: 'unset'
12236 ===
12237
12238 This option defines the ACL that is run when an SMTP DATA command is
12239 received, before the message itself is received. See chapter <<CHAPACL>> for
12240 further details.
12241
12242 oindex:[%acl_smtp_quit%]
12243 `..'=
12244 %acl_smtp_quit%, Use: 'main', Type: 'string'!!, Default: 'unset'
12245 ===
12246
12247 cindex:[QUIT,ACL for]
12248 This option defines the ACL that is run when an SMTP QUIT command is
12249 received. See chapter <<CHAPACL>> for further details.
12250
12251 oindex:[%acl_smtp_rcpt%]
12252 `..'=
12253 %acl_smtp_rcpt%, Use: 'main', Type: 'string'!!, Default: 'unset'
12254 ===
12255
12256 cindex:[RCPT,ACL for]
12257 This option defines the ACL that is run when an SMTP RCPT command is
12258 received. See chapter <<CHAPACL>> for further details.
12259
12260 oindex:[%acl_smtp_starttls%]
12261 `..'=
12262 %acl_smtp_starttls%, Use: 'main', Type: 'string'!!, Default: 'unset'
12263 ===
12264
12265 cindex:[STARTTLS, ACL for]
12266 This option defines the ACL that is run when an SMTP STARTTLS command is
12267 received. See chapter <<CHAPACL>> for further details.
12268
12269 oindex:[%acl_smtp_vrfy%]
12270 `..'=
12271 %acl_smtp_vrfy%, Use: 'main', Type: 'string'!!, Default: 'unset'
12272 ===
12273
12274 cindex:[VRFY,ACL for]
12275 This option defines the ACL that is run when an SMTP VRFY command is
12276 received. See chapter <<CHAPACL>> for further details.
12277
12278 oindex:[%admin_groups%]
12279 `..'=
12280 %admin_groups%, Use: 'main', Type: 'string list'!!, Default: 'unset'
12281 ===
12282
12283 [revisionflag="changed"]
12284 cindex:[admin user]
12285 This option is expanded just once, at the start of Exim's processing. If the
12286 current group or any of the supplementary groups of an Exim caller is in this
12287 colon-separated list, the caller has admin privileges. If all your system
12288 programmers are in a specific group, for example, you can give them all Exim
12289 admin privileges by putting that group in %admin_groups%. However, this does
12290 not permit them to read Exim's spool files (whose group owner is the Exim gid).
12291 To permit this, you have to add individuals to the Exim group.
12292
12293
12294 oindex:[%allow_domain_literals%]
12295 `..'=
12296 %allow_domain_literals%, Use: 'main', Type: 'boolean', Default: 'false'
12297 ===
12298
12299 cindex:[domain literal]
12300 If this option is set, the RFC 2822 domain literal format is permitted in
12301 email addresses. The option is not set by default, because the domain literal
12302 format is not normally required these days, and few people know about it. It
12303 has, however, been exploited by mail abusers.
12304
12305 Unfortunately, it seems that some DNS black list maintainers are using this
12306 format to report black listing to postmasters. If you want to accept messages
12307 addressed to your hosts by IP address, you need to set
12308 %allow_domain_literals% true, and also to add `@[]` to the list of local
12309 domains (defined in the named domain list %local_domains% in the default
12310 configuration). This ``magic string'' matches the domain literal form of all the
12311 local host's IP addresses.
12312
12313
12314 oindex:[%allow_mx_to_ip%]
12315 `..'=
12316 %allow_mx_to_ip%, Use: 'main', Type: 'boolean', Default: 'false'
12317 ===
12318
12319 cindex:[MX record,pointing to IP address]
12320 It appears that more and more DNS zone administrators are breaking the rules
12321 and putting domain names that look like IP addresses on the right hand side of
12322 MX records. Exim follows the rules and rejects this, giving an error message
12323 that explains the mis-configuration. However, some other MTAs support this
12324 practice, so to avoid ``Why can''t Exim do this?' complaints, %allow_mx_to_ip%
12325 exists, in order to enable this heinous activity. It is not recommended, except
12326 when you have no other choice.
12327
12328 oindex:[%allow_utf8_domains%]
12329 `..'=
12330 %allow_utf8_domains%, Use: 'main', Type: 'boolean', Default: 'false'
12331 ===
12332
12333 cindex:[domain,UTF-8 characters in]
12334 cindex:[UTF-8,in domain name]
12335 Lots of discussion is going on about internationalized domain names. One
12336 camp is strongly in favour of just using UTF-8 characters, and it seems
12337 that at least two other MTAs permit this. This option allows Exim users to
12338 experiment if they wish.
12339
12340 If it is set true, Exim's domain parsing function allows valid
12341 UTF-8 multicharacters to appear in domain name components, in addition to
12342 letters, digits, and hyphens. However, just setting this option is not
12343 enough; if you want to look up these domain names in the DNS, you must also
12344 adjust the value of %dns_check_names_pattern% to match the extended form. A
12345 suitable setting is:
12346
12347 ....
12348 dns_check_names_pattern = (?i)^(?>(?(1)\.|())[a-z0-9\xc0-\xff]\
12349   (?>[-a-z0-9\x80-\xff]*[a-z0-9\x80-\xbf])?)+$
12350 ....
12351
12352 Alternatively, you can just disable this feature by setting
12353
12354   dns_check_names_pattern =
12355
12356 That is, set the option to an empty string so that no check is done.
12357
12358
12359 oindex:[%auth_advertise_hosts%]
12360 `..'=
12361 %auth_advertise_hosts%, Use: 'main', Type: 'host list'!!, Default: '\*'
12362 ===
12363
12364 cindex:[authentication,advertising]
12365 cindex:[AUTH,advertising]
12366 If any server authentication mechanisms are configured, Exim advertises them in
12367 response to an EHLO command only if the calling host matches this list.
12368 Otherwise, Exim does not advertise AUTH.
12369 Exim does not accept AUTH commands from clients to which it has not
12370 advertised the availability of AUTH. The advertising of individual
12371 authentication mechanisms can be controlled by the use of the
12372 %server_advertise_condition% generic authenticator option on the individual
12373 authenticators. See chapter <<CHAPSMTPAUTH>> for further details.
12374
12375 Certain mail clients (for example, Netscape) require the user to provide a name
12376 and password for authentication if AUTH is advertised, even though it may
12377 not be needed (the host may accept messages from hosts on its local LAN without
12378 authentication, for example). The %auth_advertise_hosts% option can be used
12379 to make these clients more friendly by excluding them from the set of hosts to
12380 which Exim advertises AUTH.
12381
12382 cindex:[AUTH,advertising when encrypted]
12383 If you want to advertise the availability of AUTH only when the connection
12384 is encrypted using TLS, you can make use of the fact that the value of this
12385 option is expanded, with a setting like this:
12386
12387   auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
12388
12389 cindex:[$tls_cipher$]
12390 If $tls_cipher$ is empty, the session is not encrypted, and the result of
12391 the expansion is empty, thus matching no hosts. Otherwise, the result of the
12392 expansion is \*, which matches all hosts.
12393
12394
12395 oindex:[%auto_thaw%]
12396 `..'=
12397 %auto_thaw%, Use: 'main', Type: 'time', Default: '0s'
12398 ===
12399
12400 [revisionflag="changed"]
12401 cindex:[thawing messages]
12402 cindex:[unfreezing messages]
12403 If this option is set to a time greater than zero, a queue runner will try a
12404 new delivery attempt on any frozen message, other than a bounce message, if
12405 this much time has passed since it was frozen. This may result in the message
12406 being re-frozen if nothing has changed since the last attempt. It is a way of
12407 saying ``keep on trying, even though there are big problems''.
12408
12409 *Note*: This is an old option, which predates %timeout_frozen_after% and
12410 %ignore_bounce_errors_after%. It is retained for compatibility, but it is not
12411 thought to be very useful any more, and its use should probably be avoided.
12412
12413
12414 oindex:[%av_scanner%]
12415 `..'=
12416 %av_scanner%, Use: 'main', Type: 'string', Default: 'see below'
12417 ===
12418
12419 This option is available if Exim is built with the content-scanning extension.
12420 It specifies which anti-virus scanner to use. The default value is:
12421
12422   sophie:/var/run/sophie
12423
12424 If the value of %av_scanner% starts with dollar character, it is expanded
12425 before use. See section <<SECTscanvirus>> for further details.
12426
12427
12428
12429 oindex:[%bi_command%]
12430 `..'=
12431 %bi_command%, Use: 'main', Type: 'string', Default: 'unset'
12432 ===
12433
12434 cindex:[%-bi% option]
12435 This option supplies the name of a command that is run when Exim is called with
12436 the %-bi% option (see chapter <<CHAPcommandline>>). The string value is just the
12437 command name, it is not a complete command line. If an argument is required, it
12438 must come from the %-oA% command line option.
12439
12440
12441 oindex:[%bounce_message_file%]
12442 `..'=
12443 %bounce_message_file%, Use: 'main', Type: 'string', Default: 'unset'
12444 ===
12445
12446 cindex:[bounce message,customizing]
12447 cindex:[customizing,bounce message]
12448 This option defines a template file containing paragraphs of text to be used
12449 for constructing bounce messages.  Details of the file's contents are given in
12450 chapter <<CHAPemsgcust>>. See also %warn_message_file%.
12451
12452
12453 oindex:[%bounce_message_text%]
12454 `..'=
12455 %bounce_message_text%, Use: 'main', Type: 'string', Default: 'unset'
12456 ===
12457
12458 When this option is set, its contents are included in the default bounce
12459 message immediately after ``This message was created automatically by mail
12460 delivery software.'' It is not used if %bounce_message_file% is set.
12461
12462 oindex:[%bounce_return_body%]
12463 `..'=
12464 %bounce_return_body%, Use: 'main', Type: 'boolean', Default: 'true'
12465 ===
12466
12467 cindex:[bounce message,including body]
12468 This option controls whether the body of an incoming message is included in a
12469 bounce message when %bounce_return_message% is true. If it is not set, only
12470 the message header is included.
12471 cindex:[bounce message,including original]
12472
12473 oindex:[%bounce_return_message%]
12474 `..'=
12475 %bounce_return_message%, Use: 'main', Type: 'boolean', Default: 'true'
12476 ===
12477
12478 If this option is set false, the original message is not included in bounce
12479 messages generated by Exim. See also %bounce_return_size_limit%.
12480
12481
12482 oindex:[%bounce_return_size_limit%]
12483 `..'=
12484 %bounce_return_size_limit%, Use: 'main', Type: 'integer', Default: '100K'
12485 ===
12486
12487 cindex:[size limit, of bounce]
12488 cindex:[bounce message,size limit]
12489 cindex:[limit,bounce message size]
12490 This option sets a limit in bytes on the size of messages that are returned to
12491 senders as part of bounce messages when %bounce_return_message% is true. The
12492 limit should be less than the value of the global %message_size_limit% and of
12493 any %message_size_limit% settings on transports, to allow for the bounce text
12494 that Exim generates. If this option is set to zero there is no limit.
12495
12496 When the body of any message that is to be included in a bounce message is
12497 greater than the limit, it is truncated, and a comment pointing this out is
12498 added at the top. The actual cutoff may be greater than the value given, owing
12499 to the use of buffering for transferring the message in chunks (typically 8K in
12500 size). The idea is to save bandwidth on those undeliverable 15-megabyte
12501 messages.
12502
12503 oindex:[%bounce_sender_authentication%]
12504 `..'=
12505 %bounce_sender_authentication%, Use: 'main', Type: 'string', Default: 'unset'
12506 ===
12507
12508 cindex:[bounce message,sender authentication]
12509 cindex:[authentication,bounce message]
12510 cindex:[AUTH,on bounce message]
12511 This option provides an authenticated sender address that is sent with any
12512 bounce messages generated by Exim that are sent over an authenticated SMTP
12513 connection. A typical setting might be:
12514
12515   bounce_sender_authentication = mailer-daemon@my.domain.example
12516
12517 which would cause bounce messages to be sent using the SMTP command:
12518
12519   MAIL FROM:<> AUTH=mailer-daemon@my.domain.example
12520
12521 The value of %bounce_sender_authentication% must always be a complete email
12522 address.
12523
12524 oindex:[%callout_domain_negative_expire%]
12525 `..'=
12526 %callout_domain_negative_expire%, Use: 'main', Type: 'time', Default: '3h'
12527 ===
12528
12529 cindex:[caching,callout timeouts]
12530 cindex:[callout,caching timeouts]
12531 This option specifies the expiry time for negative callout cache data for a
12532 domain. See section <<SECTcallver>> for details of callout verification, and
12533 section <<SECTcallvercache>> for details of the caching.
12534
12535
12536 oindex:[%callout_domain_positive_expire%]
12537 `..'=
12538 %callout_domain_positive_expire%, Use: 'main', Type: 'time', Default: '7d'
12539 ===
12540
12541 This option specifies the expiry time for positive callout cache data for a
12542 domain. See section <<SECTcallver>> for details of callout verification, and
12543 section <<SECTcallvercache>> for details of the caching.
12544
12545
12546 oindex:[%callout_negative_expire%]
12547 `..'=
12548 %callout_negative_expire%, Use: 'main', Type: 'time', Default: '2h'
12549 ===
12550
12551 This option specifies the expiry time for negative callout cache data for an
12552 address. See section <<SECTcallver>> for details of callout verification, and
12553 section <<SECTcallvercache>> for details of the caching.
12554
12555
12556 oindex:[%callout_positive_expire%]
12557 `..'=
12558 %callout_positive_expire%, Use: 'main', Type: 'time', Default: '24h'
12559 ===
12560
12561 This option specifies the expiry time for positive callout cache data for an
12562 address. See section <<SECTcallver>> for details of callout verification, and
12563 section <<SECTcallvercache>> for details of the caching.
12564
12565
12566 oindex:[%callout_random_local_part%]
12567 `..'=
12568 %callout_random_local_part%, Use: 'main', Type: 'string'!!, Default: 'see below'
12569 ===
12570
12571 This option defines the ``random'' local part that can be used as part of callout
12572 verification. The default value is
12573
12574   $primary_host_name-$tod_epoch-testing
12575
12576 See section <<CALLaddparcall>> for details of how this value is used.
12577
12578
12579 oindex:[%check_log_inodes%]
12580 `..'=
12581 %check_log_inodes%, Use: 'main', Type: 'integer', Default: '0'
12582 ===
12583
12584 See %check_spool_space% below.
12585
12586
12587 oindex:[%check_log_space%]
12588 `..'=
12589 %check_log_space%, Use: 'main', Type: 'integer', Default: '0'
12590 ===
12591
12592 See %check_spool_space% below.
12593
12594
12595 oindex:[%check_spool_inodes%]
12596 `..'=
12597 %check_spool_inodes%, Use: 'main', Type: 'integer', Default: '0'
12598 ===
12599
12600 See %check_spool_space% below.
12601
12602
12603 oindex:[%check_spool_space%]
12604 `..'=
12605 %check_spool_space%, Use: 'main', Type: 'integer', Default: '0'
12606 ===
12607
12608 cindex:[checking disk space]
12609 cindex:[disk space, checking]
12610 cindex:[spool directory,checking space]
12611 The four %check_...% options allow for checking of disk resources before a
12612 message is accepted.
12613
12614 cindex:[$log_inodes$]
12615 cindex:[$log_space$]
12616 cindex:[$spool_inodes$]
12617 cindex:[$spool_space$]
12618 When any of these options are set, they apply to all incoming messages. If you
12619 want to apply different checks to different kinds of message, you can do so by
12620 testing the the variables $log_inodes$, $log_space$, $spool_inodes$, and
12621 $spool_space$ in an ACL with appropriate additional conditions.
12622
12623
12624 %check_spool_space% and %check_spool_inodes% check the spool partition if
12625 either value is greater than zero, for example:
12626
12627   check_spool_space = 10M
12628   check_spool_inodes = 100
12629
12630 The spool partition is the one that contains the directory defined by
12631 SPOOL_DIRECTORY in _Local/Makefile_. It is used for holding messages in
12632 transit.
12633
12634 %check_log_space% and %check_log_inodes%  check the partition in which log
12635 files are written if either is greater than zero. These should be set only if
12636 %log_file_path% and %spool_directory% refer to different partitions.
12637
12638 If there is less space or fewer inodes than requested, Exim refuses to accept
12639 incoming mail. In the case of SMTP input this is done by giving a 452 temporary
12640 error response to the MAIL command. If ESMTP is in use and there was a
12641 SIZE parameter on the MAIL command, its value is added to the
12642 %check_spool_space% value, and the check is performed even if
12643 %check_spool_space% is zero, unless %no_smtp_check_spool_space% is set.
12644
12645 The values for %check_spool_space% and %check_log_space% are held as a
12646 number of kilobytes. If a non-multiple of 1024 is specified, it is rounded up.
12647
12648 For non-SMTP input and for batched SMTP input, the test is done at start-up; on
12649 failure a message is written to stderr and Exim exits with a non-zero code, as
12650 it obviously cannot send an error message of any kind.
12651
12652 oindex:[%daemon_smtp_ports%]
12653 `..'=
12654 %daemon_smtp_ports%, Use: 'main', Type: 'string', Default: `smtp`
12655 ===
12656
12657 cindex:[port,for daemon]
12658 cindex:[TCP/IP,setting listening ports]
12659 This option specifies one or more default SMTP ports on which the Exim daemon
12660 listens. See chapter <<CHAPinterfaces>> for details of how it is used. For
12661 backward compatibility, %daemon_smtp_port% (singular) is a synonym.
12662
12663 oindex:[%daemon_startup_retries%]
12664 `..'=
12665 %daemon_startup_retries%, Use: 'main', Type: 'integer', Default: '9'
12666 ===
12667
12668 [revisionflag="changed"]
12669 cindex:[daemon startup,retrying]
12670 This option, along with %daemon_startup_sleep%, controls the retrying done by
12671 the daemon at startup when it cannot immediately bind a listening socket
12672 (typically because the socket is already in use): %daemon_startup_retries%
12673 defines the number of retries after the first failure, and
12674 %daemon_startup_sleep% defines the length of time to wait between retries.
12675
12676 oindex:[%daemon_startup_sleep%]
12677 `..'=
12678 %daemon_startup_sleep%, Use: 'main', Type: 'time', Default: '30s'
12679 ===
12680
12681 [revisionflag="changed"]
12682 See %daemon_startup_retries%.
12683
12684 oindex:[%delay_warning%]
12685 `..'=
12686 %delay_warning%, Use: 'main', Type: 'time list', Default: '24h'
12687 ===
12688
12689 cindex:[warning of delay]
12690 cindex:[delay warning, specifying]
12691 When a message is delayed, Exim sends a warning message to the sender at
12692 intervals specified by this option. The data is a colon-separated list of times
12693 after which to send warning messages.
12694
12695 If the value of the option is an empty string or a zero time, no warnings are
12696 sent.
12697
12698 Up to 10 times may be given. If a message has been on the queue for longer than
12699 the last time, the last interval between the times is used to compute
12700 subsequent warning times. For example, with
12701
12702   delay_warning = 4h:8h:24h
12703
12704 the first message is sent after 4 hours, the second after 8 hours, and
12705 the third one after 24 hours. After that, messages are sent every 16 hours,
12706 because that is the interval between the last two times on the list. If you set
12707 just one time, it specifies the repeat interval. For example, with:
12708
12709   delay_warning = 6h
12710
12711 messages are repeated every six hours. To stop warnings after a given time, set
12712 a very large time at the end of the list. For example:
12713
12714   delay_warning = 2h:12h:99d
12715
12716
12717
12718 oindex:[%delay_warning_condition%]
12719 `..'=
12720 %delay_warning_condition%, Use: 'main', Type: 'string'!!, Default: 'see below'
12721 ===
12722
12723 cindex:[$domain$]
12724 The string is expanded at the time a warning message might be sent. If all the
12725 deferred addresses have the same domain, it is set in $domain$ during the
12726 expansion. Otherwise $domain$ is empty. If the result of the expansion is a
12727 forced failure, an empty string, or a string matching any of ``0'', ``no'' or
12728 ``false'' (the comparison being done caselessly) then the warning message is not
12729 sent. The default is
12730
12731 ....
12732 delay_warning_condition = \
12733   ${if match{$h_precedence:}{(?i)bulk|list|junk}{no}{yes}}
12734 ....
12735
12736 which suppresses the sending of warnings about messages that have ``bulk'',
12737 ``list'' or ``junk'' in a 'Precedence:' header.
12738
12739 oindex:[%deliver_drop_privilege%]
12740 `..'=
12741 %deliver_drop_privilege%, Use: 'main', Type: 'boolean', Default: 'false'
12742 ===
12743
12744 cindex:[unprivileged delivery]
12745 cindex:[delivery,unprivileged]
12746 If this option is set true, Exim drops its root privilege at the start of a
12747 delivery process, and runs as the Exim user throughout. This severely restricts
12748 the kinds of local delivery that are possible, but is viable in certain types
12749 of configuration. There is a discussion about the use of root privilege in
12750 chapter <<CHAPsecurity>>.
12751
12752 oindex:[%deliver_queue_load_max%]
12753 `..'=
12754 %deliver_queue_load_max%, Use: 'main', Type: 'fixed-point', Default: 'unset'
12755 ===
12756
12757 cindex:[load average]
12758 cindex:[queue runner,abandoning]
12759 When this option is set, a queue run is abandoned if the system load average
12760 becomes greater than the value of the option. The option has no effect on
12761 ancient operating systems on which Exim cannot determine the load average.
12762 See also %queue_only_load% and %smtp_load_reserve%.
12763
12764
12765 oindex:[%delivery_date_remove%]
12766 `..'=
12767 %delivery_date_remove%, Use: 'main', Type: 'boolean', Default: 'true'
12768 ===
12769
12770 cindex:['Delivery-date:' header line]
12771 Exim's transports have an option for adding a 'Delivery-date:' header to a
12772 message when it is delivered -- in exactly the same way as 'Return-path:' is
12773 handled. 'Delivery-date:' records the actual time of delivery. Such headers
12774 should not be present in incoming messages, and this option causes them to be
12775 removed at the time the message is received, to avoid any problems that might
12776 occur when a delivered message is subsequently sent on to some other recipient.
12777
12778 oindex:[%dns_again_means_nonexist%]
12779 `..'=
12780 %dns_again_means_nonexist%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
12781 ===
12782
12783 cindex:[DNS,``try again'' response; overriding]
12784 DNS lookups give a ``try again'' response for the DNS errors ``non-authoritative
12785 host not found'' and ``SERVERFAIL''. This can cause Exim to keep trying to
12786 deliver a message, or to give repeated temporary errors to incoming mail.
12787 Sometimes the effect is caused by a badly set up name server and may persist
12788 for a long time. If a domain which exhibits this problem matches anything in
12789 %dns_again_means_nonexist%, it is treated as if it did not exist. This
12790 option should be used with care.
12791 You can make it apply to reverse lookups by a setting such as this:
12792
12793   dns_again_means_nonexist = *.in-addr.arpa
12794
12795 This option applies to all DNS lookups that Exim does. The ^dnslookup^ router
12796 has some options of its own for controlling what happens when lookups for MX or
12797 SRV records give temporary errors. These more specific options are applied
12798 after the global option.
12799
12800 oindex:[%dns_check_names_pattern%]
12801 `..'=
12802 %dns_check_names_pattern%, Use: 'main', Type: 'string', Default: 'see below'
12803 ===
12804
12805 cindex:[DNS,pre-check of name syntax]
12806 When this option is set to a non-empty string, it causes Exim to check domain
12807 names for illegal characters before handing them to the DNS resolver, because
12808 some resolvers give temporary errors for malformed names. If a domain name
12809 contains any illegal characters, a ``not found'' result is forced, and the
12810 resolver is not called. The check is done by matching the domain name against a
12811 regular expression, which is the value of this option. The default pattern is
12812
12813 ....
12814 dns_check_names_pattern = \
12815   (?i)^(?>(?(1)\.|())[^\W_](?>[a-z0-9-]*[^\W_])?)+$
12816 ....
12817
12818 which permits only letters, digits, and hyphens in components, but they may not
12819 start or end with a hyphen.
12820 If you set %allow_utf8_domains%, you must modify this pattern, or set the
12821 option to an empty string.
12822
12823 oindex:[%dns_csa_search_limit%]
12824 `..'=
12825 %dns_csa_search_limit%, Use: 'main', Type: 'integer', Default: '5'
12826 ===
12827
12828 [revisionflag="changed"]
12829 This option controls the depth of parental searching for CSA SRV records in the
12830 DNS, as described in more detail in section <<SECTverifyCSA>>.
12831
12832
12833 oindex:[%dns_csa_use_reverse%]
12834 `..'=
12835 %dns_csa_use_reverse%, Use: 'main', Type: 'boolean', Default: 'true'
12836 ===
12837
12838 [revisionflag="changed"]
12839 This option controls whether or not an IP address, given as a CSA domain, is
12840 reversed and looked up in the reverse DNS, as described in more detail in
12841 section <<SECTverifyCSA>>.
12842
12843
12844 oindex:[%dns_ipv4_lookup%]
12845 `..'=
12846 %dns_ipv4_lookup%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
12847 ===
12848
12849 cindex:[IPv6,DNS lookup for AAAA records]
12850 cindex:[DNS,IPv6 lookup for AAAA records]
12851 When Exim is compiled with IPv6 support, it looks for IPv6 address records
12852 (AAAA and, if configured, A6) as well as IPv4 address records when trying to
12853 find IP addresses for hosts, unless the host's domain matches this list.
12854
12855 This is a fudge to help with name servers that give big delays or otherwise do
12856 not work for the new IPv6 record types. If Exim is handed an IPv6 address
12857 record as a result of an MX lookup, it always recognizes it, and may as a
12858 result make an outgoing IPv6 connection. All this option does is to make Exim
12859 look only for IPv4-style A records when it needs to find an IP address for a
12860 host name. In due course, when the world's name servers have all been upgraded,
12861 there should be no need for this option.
12862
12863
12864 oindex:[%dns_retrans%]
12865 `..'=
12866 %dns_retrans%, Use: 'main', Type: 'time', Default: '0s'
12867 ===
12868
12869 cindex:[DNS,resolver options]
12870 The options %dns_retrans% and %dns_retry% can be used to set the
12871 retransmission and retry parameters for DNS lookups. Values of zero (the
12872 defaults) leave the system default settings unchanged. The first value is the
12873 time between retries, and the second is the number of retries. It isn't
12874 totally clear exactly how these settings affect the total time a DNS lookup may
12875 take. I haven't found any documentation about timeouts on DNS lookups; these
12876 parameter values are available in the external resolver interface structure,
12877 but nowhere does it seem to describe how they are used or what you might want
12878 to set in them.
12879
12880
12881 oindex:[%dns_retry%]
12882 `..'=
12883 %dns_retry%, Use: 'main', Type: 'integer', Default: '0'
12884 ===
12885
12886 See %dns_retrans% above.
12887
12888
12889 oindex:[%drop_cr%]
12890 `..'=
12891 %drop_cr%, Use: 'main', Type: 'boolean', Default: 'false'
12892 ===
12893
12894 This is an obsolete option that is now a no-op. It used to affect the way Exim
12895 handled CR and LF characters in incoming messages. What happens now is
12896 described in section <<SECTlineendings>>.
12897
12898
12899 oindex:[%envelope_to_remove%]
12900 `..'=
12901 %envelope_to_remove%, Use: 'main', Type: 'boolean', Default: 'true'
12902 ===
12903
12904 cindex:['Envelope-to:' header line]
12905 Exim's transports have an option for adding an 'Envelope-to:' header to a
12906 message when it is delivered -- in exactly the same way as 'Return-path:' is
12907 handled. 'Envelope-to:' records the original recipient address from the
12908 messages's envelope that caused the delivery to happen. Such headers should not
12909 be present in incoming messages, and this option causes them to be removed at
12910 the time the message is received, to avoid any problems that might occur when a
12911 delivered message is subsequently sent on to some other recipient.
12912
12913
12914 oindex:[%errors_copy%]
12915 `..'=
12916 %errors_copy%, Use: 'main', Type: 'string list'!!, Default: 'unset'
12917 ===
12918
12919 cindex:[bounce message,copy to other address]
12920 cindex:[copy of bounce message]
12921 Setting this option causes Exim to send bcc copies of bounce messages that it
12922 generates to other addresses. *Note*: this does not apply to bounce messages
12923 coming from elsewhere. The value of the option is a colon-separated list of
12924 items. Each item consists of a pattern, terminated by white space, followed by
12925 a comma-separated list of email addresses. If a pattern contains spaces, it
12926 must be enclosed in double quotes.
12927
12928 Each pattern is processed in the same way as a single item in an address list
12929 (see section <<SECTaddresslist>>). When a pattern matches the recipient of the
12930 bounce message, the message is copied to the addresses on the list. The items
12931 are scanned in order, and once a matching one is found, no further items are
12932 examined. For example:
12933
12934 ....
12935 errors_copy = spqr@mydomain   postmaster@mydomain.example :\
12936               rqps@mydomain   hostmaster@mydomain.example,\
12937                               postmaster@mydomain.example
12938 ....
12939
12940 cindex:[$domain$]
12941 cindex:[$local_part$]
12942 The address list is expanded before use. The expansion variables
12943 $local_part$ and $domain$ are set from the original recipient of the error
12944 message, and if there was any wildcard matching in the pattern, the expansion
12945
12946 cindex:[numerical variables ($1$ $2$ etc),in %errors_copy%]
12947 variables $0$, $1$, etc. are set in the normal way.
12948
12949
12950 oindex:[%errors_reply_to%]
12951 `..'=
12952 %errors_reply_to%, Use: 'main', Type: 'string', Default: 'unset'
12953 ===
12954
12955 cindex:[bounce message,'Reply-to:' in]
12956 Exim's bounce and delivery warning messages contain the header line
12957
12958   From: Mail Delivery System <Mailer-Daemon@<qualify-domain>>
12959
12960 where <'qualify-domain'> is the value of the %qualify_domain% option.
12961 Experience shows that people reply to bounce messages. If the
12962 %errors_reply_to% option is set, a 'Reply-To:' header is added to bounce and
12963 warning messages. For example:
12964
12965   errors_reply_to = postmaster@my.domain.example
12966
12967 The value of the option is not expanded. It must specify a valid RFC 2822
12968 address.
12969
12970
12971 oindex:[%exim_group%]
12972 `..'=
12973 %exim_group%, Use: 'main', Type: 'string', Default: 'compile-time configured'
12974 ===
12975
12976 cindex:[gid (group id),Exim's own]
12977 cindex:[Exim group]
12978 This option changes the gid under which Exim runs when it gives up root
12979 privilege. The default value is compiled into the binary. The value of this
12980 option is used only when %exim_user% is also set. Unless it consists entirely
12981 of digits, the string is looked up using 'getgrnam()', and failure causes a
12982 configuration error. See chapter <<CHAPsecurity>> for a discussion of security
12983 issues.
12984
12985
12986 oindex:[%exim_path%]
12987 `..'=
12988 %exim_path%, Use: 'main', Type: 'string', Default: 'see below'
12989 ===
12990
12991 cindex:[Exim binary, path name]
12992 This option specifies the path name of the Exim binary, which is used when Exim
12993 needs to re-exec itself. The default is set up to point to the file 'exim' in
12994 the directory configured at compile time by the BIN_DIRECTORY setting. It
12995 is necessary to change %exim_path% if, exceptionally, Exim is run from some
12996 other place.
12997 *Warning*: Do not use a macro to define the value of this option, because
12998 you will break those Exim utilities that scan the configuration file to find
12999 where the binary is. (They then use the %-bP% option to extract option
13000 settings such as the value of %spool_directory%.)
13001
13002
13003 oindex:[%exim_user%]
13004 `..'=
13005 %exim_user%, Use: 'main', Type: 'string', Default: 'compile-time configured'
13006 ===
13007
13008 cindex:[uid (user id),Exim's own]
13009 cindex:[Exim user]
13010 This option changes the uid under which Exim runs when it gives up root
13011 privilege. The default value is compiled into the binary. Ownership of the run
13012 time configuration file and the use of the %-C% and %-D% command line options
13013 is checked against the values in the binary, not what is set here.
13014
13015 Unless it consists entirely of digits, the string is looked up using
13016 'getpwnam()', and failure causes a configuration error. If %exim_group% is
13017 not also supplied, the gid is taken from the result of 'getpwnam()' if it is
13018 used. See chapter <<CHAPsecurity>> for a discussion of security issues.
13019
13020
13021 oindex:[%extra_local_interfaces%]
13022 `..'=
13023 %extra_local_interfaces%, Use: 'main', Type: 'string list', Default: 'unset'
13024 ===
13025
13026 This option defines network interfaces that are to be considered local when
13027 routing, but which are not used for listening by the daemon. See section
13028 <<SECTreclocipadd>> for details.
13029
13030
13031 oindex:[%extract_addresses_remove_arguments%]
13032 `..'=
13033 %extract_addresses_remove_ ~arguments%, Use: 'main', Type: 'boolean', Default: 'true'
13034 ===
13035
13036 cindex:[%-t% option]
13037 cindex:[command line,addresses with %-t%]
13038 cindex:[Sendmail compatibility,%-t% option]
13039 According to some Sendmail documentation (Sun, IRIX, HP-UX), if any addresses
13040 are present on the command line when the %-t% option is used to build an
13041 envelope from a message's 'To:', 'Cc:' and 'Bcc:' headers, the command line
13042 addresses are removed from the recipients list. This is also how Smail behaves.
13043 However, other Sendmail documentation (the O'Reilly book) states that command
13044 line addresses are added to those obtained from the header lines. When
13045 %extract_addresses_remove_arguments% is true (the default), Exim subtracts
13046 argument headers. If it is set false, Exim adds rather than removes argument
13047 addresses.
13048
13049
13050 oindex:[%finduser_retries%]
13051 `..'=
13052 %finduser_retries%, Use: 'main', Type: 'integer', Default: '0'
13053 ===
13054
13055 cindex:[NIS, looking up users; retrying]
13056 On systems running NIS or other schemes in which user and group information is
13057 distributed from a remote system, there can be times when 'getpwnam()' and
13058 related functions fail, even when given valid data, because things time out.
13059 Unfortunately these failures cannot be distinguished from genuine ``not found''
13060 errors. If %finduser_retries% is set greater than zero, Exim will try that
13061 many extra times to find a user or a group, waiting for one second between
13062 retries.
13063
13064 cindex:[_/etc/passwd_, multiple reading of]
13065 You should not set this option greater than zero if your user information is in
13066 a traditional _/etc/passwd_ file, because it will cause Exim needlessly to
13067 search the file multiple times for non-existent users, and also cause delay.
13068
13069
13070
13071 oindex:[%freeze_tell%]
13072 `..'=
13073 %freeze_tell%, Use: 'main', "Type: 'string list, comma separated'", Default: 'unset'
13074 ===
13075
13076 cindex:[freezing messages,sending a message when freezing]
13077 On encountering certain errors, or when configured to do so in a system filter,
13078 or in an ACL,
13079 Exim freezes a message. This means that no further delivery attempts take place
13080 until an administrator (or the %auto_thaw% feature) thaws the message. If
13081 %freeze_tell% is set, Exim generates a warning message whenever it freezes
13082 something, unless the message it is freezing is a
13083 locally-generated
13084 bounce message. (Without this exception there is the possibility of looping.)
13085 The warning message is sent to the addresses supplied as the comma-separated
13086 value of this option. If several of the message's addresses cause freezing,
13087 only a single message is sent.
13088 If the freezing was automatic, the reason(s) for freezing can be found in the
13089 message log. If you configure freezing in a filter or ACL, you must arrange for
13090 any logging that you require.
13091
13092
13093 oindex:[%gecos_name%]
13094 `..'=
13095 %gecos_name%, Use: 'main', Type: 'string'!!, Default: 'unset'
13096 ===
13097
13098 cindex:[HP-UX]
13099 cindex:[``gecos'' field, parsing]
13100 Some operating systems, notably HP-UX, use the ``gecos'' field in the system
13101 password file to hold other information in addition to users' real names. Exim
13102 looks up this field for use when it is creating 'Sender:' or 'From:' headers.
13103 If either %gecos_pattern% or %gecos_name% are unset, the contents of the
13104 field are used unchanged, except that, if an ampersand is encountered, it is
13105 replaced by the user's login name with the first character forced to
13106 upper case, since this is a convention that is observed on many systems.
13107
13108 When these options are set, %gecos_pattern% is treated as a regular expression
13109 that is to be applied to the field (again with & replaced by the login name),
13110 and if it matches, %gecos_name% is expanded and used as the user's name.
13111
13112 cindex:[numerical variables ($1$ $2$ etc),in %gecos_name%]
13113 Numeric variables such as $1$, $2$, etc. can be used in the expansion to
13114 pick up sub-fields that were matched by the pattern. In HP-UX, where the user's
13115 name terminates at the first comma, the following can be used:
13116
13117   gecos_pattern = ([^,]*)
13118   gecos_name = $1
13119
13120
13121
13122 oindex:[%gecos_pattern%]
13123 `..'=
13124 %gecos_pattern%, Use: 'main', Type: 'string', Default: 'unset'
13125 ===
13126
13127 See %gecos_name% above.
13128
13129
13130 oindex:[%headers_charset%]
13131 `..'=
13132 %headers_charset%, Use: 'main', Type: 'string', Default: 'see below'
13133 ===
13134
13135 This option sets a default character set for translating from encoded MIME
13136 ``words'' in header lines, when referenced by an $h_xxx$ expansion item. The
13137 default is the value of HEADERS_CHARSET in _Local/Makefile_. The
13138 ultimate default is ISO-8859-1. For more details see the description of header
13139 insertions in section <<SECTexpansionitems>>.
13140
13141
13142
13143 oindex:[%header_maxsize%]
13144 `..'=
13145 %header_maxsize%, Use: 'main', Type: 'integer', Default: 'see below'
13146 ===
13147
13148 cindex:[header section,maximum size of]
13149 cindex:[limit,size of message header section]
13150 This option controls the overall maximum size of a message's header
13151 section. The default is the value of HEADER_MAXSIZE in
13152 _Local/Makefile_; the default for that is 1M. Messages with larger header
13153 sections are rejected.
13154
13155
13156 oindex:[%header_line_maxsize%]
13157 `..'=
13158 %header_line_maxsize%, Use: 'main', Type: 'integer', Default: '0'
13159 ===
13160
13161 cindex:[header lines,maximum size of]
13162 cindex:[limit,size of one header line]
13163 This option limits the length of any individual header line in a message, after
13164 all the continuations have been joined together. Messages with individual
13165 header lines that are longer than the limit are rejected. The default value of
13166 zero means ``no limit''.
13167
13168
13169
13170
13171 oindex:[%helo_accept_junk_hosts%]
13172 `..'=
13173 %helo_accept_junk_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
13174 ===
13175
13176 cindex:[HELO,accepting junk data]
13177 cindex:[EHLO,accepting junk data]
13178 Exim checks the syntax of HELO and EHLO commands for incoming SMTP
13179 mail, and gives an error response for invalid data. Unfortunately, there are
13180 some SMTP clients that send syntactic junk. They can be accommodated by setting
13181 this option. Note that this is a syntax check only. See %helo_verify_hosts%
13182 if you want to do semantic checking.
13183 See also %helo_allow_chars% for a way of extending the permitted character
13184 set.
13185
13186
13187 oindex:[%helo_allow_chars%]
13188 `..'=
13189 %helo_allow_chars%, Use: 'main', Type: 'string', Default: 'unset'
13190 ===
13191
13192 cindex:[HELO,underscores in]
13193 cindex:[EHLO,underscores in]
13194 cindex:[underscore in EHLO/HELO]
13195 This option can be set to a string of rogue characters that are permitted in
13196 all EHLO and HELO names in addition to the standard letters, digits,
13197 hyphens, and dots. If you really must allow underscores, you can set
13198
13199   helo_allow_chars = _
13200
13201 Note that the value is one string, not a list.
13202
13203
13204 oindex:[%helo_lookup_domains%]
13205 `..'=
13206 %helo_lookup_domains%, Use: 'main', Type: 'domain list'!!, Default: `@:@[]`
13207 ===
13208
13209 cindex:[HELO,forcing reverse lookup]
13210 cindex:[EHLO,forcing reverse lookup]
13211 If the domain given by a client in a HELO or EHLO command matches this
13212 list, a reverse lookup is done in order to establish the host's true name. The
13213 default forces a lookup if the client host gives the server's name or any of
13214 its IP addresses (in brackets), something that broken clients have been seen to
13215 do.
13216
13217
13218 oindex:[%helo_try_verify_hosts%]
13219 `..'=
13220 %helo_try_verify_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
13221 ===
13222
13223 [revisionflag="changed"]
13224 cindex:[HELO verifying, optional]
13225 cindex:[EHLO verifying, optional]
13226 By default, Exim just checks the syntax of HELO and EHLO commands (see
13227 %helo_accept_junk_hosts% and %helo_allow_chars%). However, some sites like to
13228 do more extensive checking of the data supplied by these commands. The ACL
13229 condition `verify = helo` is provided to make this possible. Formerly, it was
13230 necessary also to set this option (%helo_try_verify_hosts%) to force the check
13231 to occur. From release 4.53 onwards, this is no longer necessary. If the check
13232 has not been done before `verify = helo` is encountered, it is done at that
13233 time. Consequently, this option is obsolete. Its specification is retained here
13234 for backwards compatibility.
13235
13236 [revisionflag="changed"]
13237 When an EHLO or HELO command is received, if the calling host matches
13238 %helo_try_verify_hosts%, Exim checks that the host name given in the HELO or
13239 EHLO command either:
13240
13241 - is an IP literal matching the calling address of the host, or
13242
13243 - cindex:[DNS,reverse lookup]
13244 cindex:[reverse DNS lookup]
13245 matches the host name that Exim obtains by doing a reverse lookup of the
13246 calling host address, or
13247
13248 - when looked up using 'gethostbyname()' (or 'getipnodebyname()' when
13249 available) yields the calling host address.
13250
13251 However, the EHLO or HELO command is not rejected if any of the checks
13252 fail. Processing continues, but the result of the check is remembered, and can
13253 be detected later in an ACL by the `verify = helo` condition.
13254
13255
13256 oindex:[%helo_verify_hosts%]
13257 `..'=
13258 %helo_verify_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
13259 ===
13260
13261 [revisionflag="changed"]
13262 cindex:[HELO verifying, mandatory]
13263 cindex:[EHLO verifying, mandatory]
13264 Like %helo_try_verify_hosts%, this option is obsolete, and retained only for
13265 backwards compatibility. For hosts that match this option, Exim checks the host
13266 name given in the HELO or EHLO in the same way as for %helo_try_verify_hosts%.
13267 If the check fails, the HELO or EHLO command is rejected with a 550 error, and
13268 entries are written to the main and reject logs. If a MAIL command is received
13269 before EHLO or HELO, it is rejected with a 503 error.
13270
13271
13272 oindex:[%hold_domains%]
13273 `..'=
13274 %hold_domains%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
13275 ===
13276
13277 cindex:[domain,delaying delivery]
13278 cindex:[delivery,delaying certain domains]
13279 This option allows mail for particular domains to be held on the queue
13280 manually. The option is overridden if a message delivery is forced with the
13281 %-M%, %-qf%, %-Rf% or %-Sf% options, and also while testing or verifying
13282 addresses using %-bt% or %-bv%. Otherwise, if a domain matches an item in
13283 %hold_domains%, no routing or delivery for that address is done, and it is
13284 deferred every time the message is looked at.
13285
13286 This option is intended as a temporary operational measure for delaying the
13287 delivery of mail while some problem is being sorted out, or some new
13288 configuration tested. If you just want to delay the processing of some
13289 domains until a queue run occurs, you should use %queue_domains% or
13290 %queue_smtp_domains%, not %hold_domains%.
13291
13292 A setting of %hold_domains% does not override Exim's code for removing
13293 messages from the queue if they have been there longer than the longest retry
13294 time in any retry rule. If you want to hold messages for longer than the normal
13295 retry times, insert a dummy retry rule with a long retry time.
13296
13297
13298 oindex:[%host_lookup%]
13299 `..'=
13300 %host_lookup%, Use: 'main', Type: 'host list'!!, Default: 'unset'
13301 ===
13302
13303 cindex:[host name lookup, forcing]
13304 Exim does not look up the name of a calling host from its IP address unless it
13305 is required to compare against some host list, or the host matches
13306 %helo_try_verify_hosts% or %helo_verify_hosts%, or the host matches this
13307 option (which normally contains IP addresses rather than host names). The
13308 default configuration file contains
13309
13310   host_lookup = *
13311
13312 which causes a lookup to happen for all hosts. If the expense of these lookups
13313 is felt to be too great, the setting can be changed or removed.
13314
13315 After a successful reverse lookup, Exim does a forward lookup on the name it
13316 has obtained, to verify that it yields the IP address that it started with. If
13317 this check fails, Exim behaves as if the name lookup failed.
13318
13319 cindex:[$host_lookup_failed$]
13320 cindex:[$sender_host_name$]
13321 After any kind of failure, the host name (in $sender_host_name$) remains
13322 unset, and $host_lookup_failed$ is set to the string ``1''. See also
13323 %dns_again_means_nonexist%, %helo_lookup_domains%, and `verify =
13324 reverse_host_lookup` in ACLs.
13325
13326
13327 oindex:[%host_lookup_order%]
13328 `..'=
13329 %host_lookup_order%, Use: 'main', Type: 'string list', Default: `bydns:byaddr`
13330 ===
13331
13332 This option specifies the order of different lookup methods when Exim is trying
13333 to find a host name from an IP address. The default is to do a DNS lookup
13334 first, and then to try a local lookup (using 'gethostbyaddr()' or equivalent)
13335 if that fails. You can change the order of these lookups, or omit one entirely,
13336 if you want.
13337
13338 *Warning*: the ``byaddr'' method does not always yield aliases when there are
13339 multiple PTR records in the DNS and the IP address is not listed in
13340 _/etc/hosts_. Different operating systems give different results in this
13341 case. That is why the default tries a DNS lookup first.
13342
13343
13344
13345 oindex:[%host_reject_connection%]
13346 `..'=
13347 %host_reject_connection%, Use: 'main', Type: 'host list'!!, Default: 'unset'
13348 ===
13349
13350 cindex:[host,rejecting connections from]
13351 If this option is set, incoming SMTP calls from the hosts listed are rejected
13352 as soon as the connection is made.
13353 This option is obsolete, and retained only for backward compatibility, because
13354 nowadays the ACL specified by %acl_smtp_connect% can also reject incoming
13355 connections immediately.
13356
13357 The ability to give an immediate rejection (either by this option or using an
13358 ACL) is provided for use in unusual cases. Many hosts will just try again,
13359 sometimes without much delay. Normally, it is better to use an ACL to reject
13360 incoming messages at a later stage, such as after RCPT commands. See
13361 chapter <<CHAPACL>>.
13362
13363
13364 oindex:[%hosts_connection_nolog%]
13365 `..'=
13366 %hosts_connection_nolog%, Use: 'main', Type: 'host list'!!, Default: 'unset'
13367 ===
13368
13369 cindex:[host,not logging connections from]
13370 This option defines a list of hosts for which connection logging does not
13371 happen, even though the %smtp_connection% log selector is set. For example,
13372 you might want not to log SMTP connections from local processes, or from
13373 127.0.0.1, or from your local LAN. This option is consulted in the main loop of
13374 the daemon; you should therefore strive to restrict its value to a short inline
13375 list of IP addresses and networks. To disable logging SMTP connections from
13376 local processes, you must create a host list with an empty item. For example:
13377
13378   hosts_connection_nolog = :
13379
13380 If the %smtp_connection% log selector is not set, this option has no effect.
13381
13382
13383
13384 oindex:[%hosts_treat_as_local%]
13385 `..'=
13386 %hosts_treat_as_local%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
13387 ===
13388
13389 cindex:[local host,domains treated as]
13390 cindex:[host,treated as local]
13391 If this option is set, any host names that match the domain list are treated as
13392 if they were the local host when Exim is scanning host lists obtained from MX
13393 records
13394 or other sources. Note that the value of this option is a domain list, not a
13395 host list, because it is always used to check host names, not IP addresses.
13396
13397 This option also applies when Exim is matching the special items
13398 `@mx_any`, `@mx_primary`, and `@mx_secondary` in a domain list (see
13399 section <<SECTdomainlist>>), and when checking the %hosts% option in the ^smtp^
13400 transport for the local host (see the %allow_localhost% option in that
13401 transport).
13402 See also %local_interfaces%, %extra_local_interfaces%, and chapter
13403 <<CHAPinterfaces>>, which contains a discussion about local network interfaces
13404 and recognising the local host.
13405
13406
13407 oindex:[%ignore_bounce_errors_after%]
13408 `..'=
13409 %ignore_bounce_errors_after%, Use: 'main', Type: 'time', Default: '10w'
13410 ===
13411
13412 cindex:[bounce message,discarding]
13413 cindex:[discarding bounce message]
13414 This option affects the processing of bounce messages that cannot be delivered,
13415 that is, those that suffer a permanent delivery failure. (Bounce messages that
13416 suffer temporary delivery failures are of course retried in the usual way.)
13417
13418 After a permanent delivery failure, bounce messages are frozen,
13419 because there is no sender to whom they can be returned. When a frozen bounce
13420 message has been on the queue for more than the given time, it is unfrozen at
13421 the next queue run, and a further delivery is attempted. If delivery fails
13422 again, the bounce message is discarded. This makes it possible to keep failed
13423 bounce messages around for a shorter time than the normal maximum retry time
13424 for frozen messages. For example,
13425
13426   ignore_bounce_errors_after = 12h
13427
13428 retries failed bounce message deliveries after 12 hours, discarding any further
13429 failures. If the value of this option is set to a zero time period, bounce
13430 failures are discarded immediately. Setting a very long time (as in the default
13431 value) has the effect of disabling this option. For ways of automatically
13432 dealing with other kinds of frozen message, see %auto_thaw% and
13433 %timeout_frozen_after%.
13434
13435
13436 oindex:[%ignore_fromline_hosts%]
13437 `..'=
13438 %ignore_fromline_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
13439 ===
13440
13441 cindex:[``From'' line]
13442 cindex:[UUCP,``From'' line]
13443 Some broken SMTP clients insist on sending a UUCP-like ``From'' line before the
13444 headers of a message. By default this is treated as the start of the message's
13445 body, which means that any following headers are not recognized as such. Exim
13446 can be made to ignore it by setting %ignore_fromline_hosts% to match those
13447 hosts that insist on sending it. If the sender is actually a local process
13448 rather than a remote host, and is using %-bs% to inject the messages,
13449 %ignore_fromline_local% must be set to achieve this effect.
13450
13451
13452 oindex:[%ignore_fromline_local%]
13453 `..'=
13454 %ignore_fromline_local%, Use: 'main', Type: 'boolean', Default: 'false'
13455 ===
13456
13457 See %ignore_fromline_hosts% above.
13458
13459
13460 oindex:[%keep_malformed%]
13461 `..'=
13462 %keep_malformed%, Use: 'main', Type: 'time', Default: '4d'
13463 ===
13464
13465 This option specifies the length of time to keep messages whose spool files
13466 have been corrupted in some way. This should, of course, never happen. At the
13467 next attempt to deliver such a message, it gets removed. The incident is
13468 logged.
13469
13470
13471 oindex:[%ldap_default_servers%]
13472 `..'=
13473 %ldap_default_servers%, Use: 'main', Type: 'string list', Default: 'unset'
13474 ===
13475
13476 cindex:[LDAP,default servers]
13477 This option provides a list of LDAP servers which are tried in turn when an
13478 LDAP query does not contain a server. See section <<SECTforldaque>> for details
13479 of LDAP queries. This option is available only when Exim has been built with
13480 LDAP support.
13481
13482
13483 oindex:[%ldap_version%]
13484 `..'=
13485 %ldap_version%, Use: 'main', Type: 'integer', Default: 'unset'
13486 ===
13487
13488 cindex:[LDAP protocol version, forcing]
13489 This option can be used to force Exim to set a specific protocol version for
13490 LDAP. If it option is unset, it is shown by the %-bP% command line option as
13491 -1. When this is the case, the default is 3 if LDAP_VERSION3 is defined in
13492 the LDAP headers; otherwise it is 2. This option is available only when Exim
13493 has been built with LDAP support.
13494
13495
13496
13497 oindex:[%local_from_check%]
13498 `..'=
13499 %local_from_check%, Use: 'main', Type: 'boolean', Default: 'true'
13500 ===
13501
13502 cindex:['Sender:' header line,disabling addition of]
13503 cindex:['From:' header line,disabling checking of]
13504 When a message is submitted locally (that is, not over a TCP/IP connection) by
13505 an untrusted user, Exim removes any existing 'Sender:' header line, and checks
13506 that the 'From:' header line matches the login of the calling user and the
13507 domain specified by %qualify_domain%.
13508
13509 *Note*: An unqualified address (no domain) in the 'From:' header in a
13510 locally submitted message is automatically qualified by Exim, unless the
13511 %-bnq% command line option is used.
13512
13513 You can use %local_from_prefix% and %local_from_suffix% to permit affixes
13514 on the local part. If the 'From:' header line does not match, Exim adds a
13515 'Sender:' header with an address constructed from the calling user's login and
13516 the default qualify domain.
13517
13518 If %local_from_check% is set false, the 'From:' header check is disabled,
13519 and no 'Sender:' header is ever added. If, in addition, you want to retain
13520 'Sender:' header lines supplied by untrusted users, you must also set
13521 %local_sender_retain% to be true.
13522
13523 cindex:[envelope sender]
13524 These options affect only the header lines in the message. The envelope sender
13525 is still forced to be the login id at the qualify domain unless
13526 %untrusted_set_sender% permits the user to supply an envelope sender.
13527
13528 For messages received over TCP/IP, an ACL can specify ``submission mode'' to
13529 request similar header line checking. See section <<SECTthesenhea>>, which has
13530 more details about 'Sender:' processing.
13531
13532
13533
13534
13535 oindex:[%local_from_prefix%]
13536 `..'=
13537 %local_from_prefix%, Use: 'main', Type: 'string', Default: 'unset'
13538 ===
13539
13540 When Exim checks the 'From:' header line of locally submitted messages for
13541 matching the login id (see %local_from_check% above), it can be configured to
13542 ignore certain prefixes and suffixes in the local part of the address. This is
13543 done by setting %local_from_prefix% and/or %local_from_suffix% to
13544 appropriate lists, in the same form as the %local_part_prefix% and
13545 %local_part_suffix% router options (see chapter <<CHAProutergeneric>>). For
13546 example, if
13547
13548   local_from_prefix = *-
13549
13550 is set, a 'From:' line containing
13551
13552   From: anything-user@your.domain.example
13553
13554 will not cause a 'Sender:' header to be added if 'user@your.domain.example'
13555 matches the actual sender address that is constructed from the login name and
13556 qualify domain.
13557
13558
13559 oindex:[%local_from_suffix%]
13560 `..'=
13561 %local_from_suffix%, Use: 'main', Type: 'string', Default: 'unset'
13562 ===
13563
13564 See %local_from_prefix% above.
13565
13566
13567 oindex:[%local_interfaces%]
13568 `..'=
13569 %local_interfaces%, Use: 'main', Type: 'string list', Default: 'see below'
13570 ===
13571
13572 This option controls which network interfaces are used by the daemon for
13573 listening; they are also used to identify the local host when routing. Chapter
13574 <<CHAPinterfaces>> contains a full description of this option and the related
13575 options
13576
13577 %daemon_smtp_ports%, %extra_local_interfaces%, %hosts_treat_as_local%,
13578 and %tls_on_connect_ports%.
13579
13580 The default value for %local_interfaces% is
13581
13582   local_interfaces = 0.0.0.0
13583
13584 when Exim is built without IPv6 support; otherwise it is
13585
13586   local_interfaces = <; ::0 ; 0.0.0.0
13587
13588
13589
13590 oindex:[%local_scan_timeout%]
13591 `..'=
13592 %local_scan_timeout%, Use: 'main', Type: 'time', Default: '5m'
13593 ===
13594
13595 cindex:[timeout,for 'local_scan()' function]
13596 cindex:['local_scan()' function,timeout]
13597 This timeout applies to the 'local_scan()' function (see chapter
13598 <<CHAPlocalscan>>). Zero means ``no timeout''. If the timeout is exceeded, the
13599 incoming message is rejected with a temporary error if it is an SMTP message.
13600 For a non-SMTP message, the message is dropped and Exim ends with a non-zero
13601 code. The incident is logged on the main and reject logs.
13602
13603
13604
13605 oindex:[%local_sender_retain%]
13606 `..'=
13607 %local_sender_retain%, Use: 'main', Type: 'boolean', Default: 'false'
13608 ===
13609
13610 cindex:['Sender:' header line,retaining from local submission]
13611 When a message is submitted locally (that is, not over a TCP/IP connection) by
13612 an untrusted user, Exim removes any existing 'Sender:' header line. If you
13613 do not want this to happen, you must set %local_sender_retain%, and you must
13614 also set %local_from_check% to be false (Exim will complain if you do not).
13615 See also the ACL modifier `control = suppress_local_fixups`. Section
13616 <<SECTthesenhea>> has more details about 'Sender:' processing.
13617
13618
13619
13620
13621 oindex:[%localhost_number%]
13622 `..'=
13623 %localhost_number%, Use: 'main', Type: 'string'!!, Default: 'unset'
13624 ===
13625
13626 cindex:[host,locally unique number for]
13627 cindex:[message ids, with multiple hosts]
13628 cindex:[$localhost_number$]
13629 Exim's message ids are normally unique only within the local host. If
13630 uniqueness among a set of hosts is required, each host must set a different
13631 value for the %localhost_number% option. The string is expanded immediately
13632 after reading the configuration file (so that a number can be computed from the
13633 host name, for example) and the result of the expansion must be a number in the
13634 range 0--16 (or 0--10 on operating systems with case-insensitive file systems).
13635 This is available in subsequent string expansions via the variable
13636 $localhost_number$. When %localhost_number is set%, the final two
13637 characters of the message id, instead of just being a fractional part of the
13638 time, are computed from the time and the local host number as described in
13639 section <<SECTmessiden>>.
13640
13641
13642
13643 oindex:[%log_file_path%]
13644 `..'=
13645 %log_file_path%, Use: 'main', Type: 'string list'!!, Default: 'set at compile time'
13646 ===
13647
13648 cindex:[log,file path for]
13649 This option sets the path which is used to determine the names of Exim's log
13650 files, or indicates that logging is to be to syslog, or both. It is expanded
13651 when Exim is entered, so it can, for example, contain a reference to the host
13652 name. If no specific path is set for the log files at compile or run time, they
13653 are written in a sub-directory called _log_ in Exim's spool directory.
13654 Chapter <<CHAPlog>> contains further details about Exim's logging, and section
13655 <<SECTwhelogwri>> describes how the contents of %log_file_path% are used. If
13656 this string is fixed at your installation (contains no expansion variables) it
13657 is recommended that you do not set this option in the configuration file, but
13658 instead supply the path using LOG_FILE_PATH in _Local/Makefile_ so that
13659 it is available to Exim for logging errors detected early on -- in particular,
13660 failure to read the configuration file.
13661
13662
13663 oindex:[%log_selector%]
13664 `..'=
13665 %log_selector%, Use: 'main', Type: 'string', Default: 'unset'
13666 ===
13667
13668 cindex:[log,selectors]
13669 This option can be used to reduce or increase the number of things that Exim
13670 writes to its log files. Its argument is made up of names preceded by plus or
13671 minus characters. For example:
13672
13673   log_selector = +arguments -retry_defer
13674
13675 A list of possible names and what they control is given in the chapter on
13676 logging, in section <<SECTlogselector>>.
13677
13678
13679 oindex:[%log_timezone%]
13680 `..'=
13681 %log_timezone%, Use: 'main', Type: 'boolean', Default: 'false'
13682 ===
13683
13684 cindex:[log,timezone for entries]
13685 cindex:[$tod_log$]
13686 cindex:[$tod_zone$]
13687 By default, the timestamps on log lines are in local time without the
13688 timezone. This means that if your timezone changes twice a year, the timestamps
13689 in log lines are ambiguous for an hour when the clocks go back. One way of
13690 avoiding this problem is to set the timezone to UTC. An alternative is to set
13691 %log_timezone% true. This turns on the addition of the timezone offset to
13692 timestamps in log lines. Turning on this option can add quite a lot to the size
13693 of log files because each line is extended by 6 characters. Note that the
13694 $tod_log$ variable contains the log timestamp without the zone, but there is
13695 another variable called $tod_zone$ that contains just the timezone offset.
13696
13697
13698 oindex:[%lookup_open_max%]
13699 `..'=
13700 %lookup_open_max%, Use: 'main', Type: 'integer', Default: '25'
13701 ===
13702
13703 cindex:[too many open files]
13704 cindex:[open files, too many]
13705 cindex:[file,too many open]
13706 cindex:[lookup,maximum open files]
13707 cindex:[limit,open files for lookups]
13708 This option limits the number of simultaneously open files for single-key
13709 lookups that use regular files (that is, ^lsearch^, ^dbm^, and ^cdb^). Exim
13710 normally keeps these files open during routing, because often the same file is
13711 required several times. If the limit is reached, Exim closes the least recently
13712 used file. Note that if you are using the 'ndbm' library, it actually opens
13713 two files for each logical DBM database, though it still counts as one for the
13714 purposes of %lookup_open_max%. If you are getting ``too many open files''
13715 errors with NDBM, you need to reduce the value of %lookup_open_max%.
13716
13717
13718 oindex:[%max_username_length%]
13719 `..'=
13720 %max_username_length%, Use: 'main', Type: 'integer', Default: '0'
13721 ===
13722
13723 cindex:[length of login name]
13724 cindex:[user name,maximum length]
13725 cindex:[limit,user name length]
13726 Some operating systems are broken in that they truncate long arguments to
13727 'getpwnam()' to eight characters, instead of returning ``no such user''. If
13728 this option is set greater than zero, any attempt to call 'getpwnam()' with
13729 an argument that is longer behaves as if 'getpwnam()' failed.
13730
13731
13732
13733 oindex:[%message_body_visible%]
13734 `..'=
13735 %message_body_visible%, Use: 'main', Type: 'integer', Default: '500'
13736 ===
13737
13738 cindex:[body of message,visible size]
13739 cindex:[message body, visible size]
13740 cindex:[$message_body$]
13741 cindex:[$message_body_end$]
13742 This option specifies how much of a message's body is to be included in the
13743 $message_body$ and $message_body_end$ expansion variables.
13744
13745
13746 oindex:[%message_id_header_domain%]
13747 `..'=
13748 %message_id_header_domain%, Use: 'main', Type: 'string'!!, Default: 'unset'
13749 ===
13750
13751 cindex:['Message-ID:' header line]
13752 If this option is set, the string is expanded and used as the right hand side
13753 (domain) of the 'Message-ID:' header that Exim creates if a
13754 locally-originated incoming message does not have one. ``Locally-originated''
13755 means ``not received over TCP/IP.''
13756 Otherwise, the primary host name is used.
13757 Only letters, digits, dot and hyphen are accepted; any other characters are
13758 replaced by hyphens. If the expansion is forced to fail, or if the result is an
13759 empty string, the option is ignored.
13760
13761
13762 oindex:[%message_id_header_text%]
13763 `..'=
13764 %message_id_header_text%, Use: 'main', Type: 'string'!!, Default: 'unset'
13765 ===
13766
13767 If this variable is set, the string is expanded and used to augment the text of
13768 the 'Message-id:' header that Exim creates if a locally-originated incoming
13769 message does not have one. The text of this header is required by RFC 2822 to
13770 take the form of an address. By default, Exim uses its internal message id as
13771 the local part, and the primary host name as the domain. If this option is set,
13772 it is expanded, and provided the expansion is not forced to fail, and does not
13773 yield an empty string, the result is inserted into the header immediately
13774 before the @, separated from the internal message id by a dot. Any characters
13775 that are illegal in an address are automatically converted into hyphens. This
13776 means that variables such as $tod_log$ can be used, because the spaces and
13777 colons will become hyphens.
13778
13779
13780 oindex:[%message_logs%]
13781 `..'=
13782 %message_logs%, Use: 'main', Type: 'boolean', Default: 'true'
13783 ===
13784
13785 cindex:[message log, disabling]
13786 cindex:[log,message log; disabling]
13787 If this option is turned off, per-message log files are not created in the
13788 _msglog_ spool sub-directory. This reduces the amount of disk I/O required by
13789 Exim, by reducing the number of files involved in handling a message from a
13790 minimum of four (header spool file, body spool file, delivery journal, and
13791 per-message log) to three. The other major I/O activity is Exim's main log,
13792 which is not affected by this option.
13793
13794
13795 oindex:[%message_size_limit%]
13796 `..'=
13797 %message_size_limit%, Use: 'main', Type: 'string'!!, Default: '50M'
13798 ===
13799
13800 cindex:[message,size limit]
13801 cindex:[limit,message size]
13802 cindex:[size of message, limit]
13803 This option limits the maximum size of message that Exim will process. The
13804 value is expanded for each incoming
13805 connection so, for example, it can be made to depend on the IP address of the
13806 remote host for messages arriving via TCP/IP. *Note*: This limit cannot be
13807 made to depend on a message's sender or any other properties of an individual
13808 message, because it has to be advertised in the server's response to EHLO.
13809 String expansion failure causes a temporary error. A value of zero means no
13810 limit, but its use is not recommended. See also %bounce_return_size_limit%.
13811
13812 Incoming SMTP messages are failed with a 552 error if the limit is
13813 exceeded; locally-generated messages either get a stderr message or a delivery
13814 failure message to the sender, depending on the %-oe% setting. Rejection of an
13815 oversized message is logged in both the main and the reject logs. See also the
13816 generic transport option %message_size_limit%, which limits the size of
13817 message that an individual transport can process.
13818
13819
13820 oindex:[%move_frozen_messages%]
13821 `..'=
13822 %move_frozen_messages%, Use: 'main', Type: 'boolean', Default: 'false'
13823 ===
13824
13825 cindex:[frozen messages,moving]
13826 This option, which is available only if Exim has been built with the setting
13827
13828   SUPPORT_MOVE_FROZEN_MESSAGES=yes
13829
13830 in _Local/Makefile_, causes frozen messages and their message logs to be
13831 moved from the _input_ and _msglog_ directories on the spool to _Finput_
13832 and _Fmsglog_, respectively. There is currently no support in Exim or the
13833 standard utilities for handling such moved messages, and they do not show up in
13834 lists generated by %-bp% or by the Exim monitor.
13835
13836
13837 oindex:[%mua_wrapper%]
13838 `..'=
13839 %mua_wrapper%, Use: 'main', Type: 'boolean', Default: 'false'
13840 ===
13841
13842 Setting this option true causes Exim to run in a very restrictive mode in which
13843 it passes messages synchronously to a smart host. Chapter <<CHAPnonqueueing>>
13844 contains a full description of this facility.
13845
13846
13847
13848 oindex:[%mysql_servers%]
13849 `..'=
13850 %mysql_servers%, Use: 'main', Type: 'string list', Default: 'unset'
13851 ===
13852
13853 cindex:[MySQL,server list]
13854 This option provides a list of MySQL servers and associated connection data, to
13855 be used in conjunction with ^mysql^ lookups (see section <<SECTsql>>). The
13856 option is available only if Exim has been built with MySQL support.
13857
13858
13859 oindex:[%never_users%]
13860 `..'=
13861 %never_users%, Use: 'main', Type: 'string list'!!, Default: 'unset'
13862 ===
13863
13864 [revisionflag="changed"]
13865 This option is expanded just once, at the start of Exim's processing. Local
13866 message deliveries are normally run in processes that are setuid to the
13867 recipient, and remote deliveries are normally run under Exim's own uid and gid.
13868 It is usually desirable to prevent any deliveries from running as root, as a
13869 safety precaution.
13870
13871 When Exim is built, an option called FIXED_NEVER_USERS can be set to a
13872 list of users that must not be used for local deliveries. This list is fixed in
13873 the binary and cannot be overridden by the configuration file. By default, it
13874 contains just the single user name ``root''. The %never_users% runtime option
13875 can be used to add more users to the fixed list.
13876
13877 If a message is to be delivered as one of the users on the fixed list or the
13878 %never_users% list, an error occurs, and delivery is deferred. A common
13879 example is
13880
13881   never_users = root:daemon:bin
13882
13883 Including root is redundant if it is also on the fixed list, but it does no
13884 harm. This option overrides the %pipe_as_creator% option of the ^pipe^
13885 transport driver.
13886
13887
13888 oindex:[%oracle_servers%]
13889 `..'=
13890 %oracle_servers%, Use: 'main', Type: 'string list', Default: 'unset'
13891 ===
13892
13893 cindex:[Oracle,server list]
13894 This option provides a list of Oracle servers and associated connection data,
13895 to be used in conjunction with ^oracle^ lookups (see section <<SECTsql>>). The
13896 option is available only if Exim has been built with Oracle support.
13897
13898
13899 oindex:[%percent_hack_domains%]
13900 `..'=
13901 %percent_hack_domains%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
13902 ===
13903
13904 cindex:[``percent hack'']
13905 cindex:[source routing,in email address]
13906 cindex:[address,source-routed]
13907 The ``percent hack'' is the convention whereby a local part containing a percent
13908 sign is re-interpreted as a new email address, with the percent replaced by @.
13909 This is sometimes called ``source routing'', though that term is also applied to
13910 RFC 2822 addresses that begin with an @ character. If this option is set, Exim
13911 implements the percent facility for those domains listed, but no others. This
13912 happens before an incoming SMTP address is tested against an ACL.
13913
13914 *Warning*: The ``percent hack'' has often been abused by people who are
13915 trying to get round relaying restrictions. For this reason, it is best avoided
13916 if at all possible. Unfortunately, a number of less security-conscious MTAs
13917 implement it unconditionally. If you are running Exim on a gateway host, and
13918 routing mail through to internal MTAs without processing the local parts, it is
13919 a good idea to reject recipient addresses with percent characters in their
13920 local parts. Exim's default configuration does this.
13921
13922
13923 oindex:[%perl_at_start%]
13924 `..'=
13925 %perl_at_start%, Use: 'main', Type: 'boolean', Default: 'false'
13926 ===
13927
13928 This option is available only when Exim is built with an embedded Perl
13929 interpreter. See chapter <<CHAPperl>> for details of its use.
13930
13931
13932 oindex:[%perl_startup%]
13933 `..'=
13934 %perl_startup%, Use: 'main', Type: 'string', Default: 'unset'
13935 ===
13936
13937 This option is available only when Exim is built with an embedded Perl
13938 interpreter. See chapter <<CHAPperl>> for details of its use.
13939
13940
13941 oindex:[%pgsql_servers%]
13942 `..'=
13943 %pgsql_servers%, Use: 'main', Type: 'string list', Default: 'unset'
13944 ===
13945
13946 cindex:[PostgreSQL lookup type,server list]
13947 This option provides a list of PostgreSQL servers and associated connection
13948 data, to be used in conjunction with ^pgsql^ lookups (see section <<SECTsql>>).
13949 The option is available only if Exim has been built with PostgreSQL support.
13950
13951
13952 oindex:[%pid_file_path%]
13953 `..'=
13954 %pid_file_path%, Use: 'main', Type: 'string'!!, Default: 'set at compile time'
13955 ===
13956
13957 cindex:[daemon,pid file path]
13958 cindex:[pid file, path for]
13959 This option sets the name of the file to which the Exim daemon writes its
13960 process id. The string is expanded, so it can contain, for example, references
13961 to the host name:
13962
13963   pid_file_path = /var/log/$primary_hostname/exim.pid
13964
13965 If no path is set, the pid is written to the file _exim-daemon.pid_ in Exim's
13966 spool directory.
13967 The value set by the option can be overridden by the %-oP% command line
13968 option. A pid file is not written if a ``non-standard'' daemon is run by means of
13969 the %-oX% option, unless a path is explicitly supplied by %-oP%.
13970
13971
13972 oindex:[%pipelining_advertise_hosts%]
13973 `..'=
13974 %pipelining_advertise_hosts%, Use: 'main', Type: 'host list'!!, Default: '\*'
13975 ===
13976
13977 cindex:[PIPELINING advertising, suppressing]
13978 This option can be used to suppress the advertisement of the SMTP
13979 PIPELINING extension to specific hosts. When PIPELINING is not
13980 advertised and %smtp_enforce_sync% is true, an Exim server enforces strict
13981 synchronization for each SMTP command and response.
13982 When PIPELINING is advertised, Exim assumes that clients will use it; ``out
13983 of order'' commands that are ``expected'' do not count as protocol errors (see
13984 %smtp_max_synprot_errors%).
13985
13986
13987 oindex:[%preserve_message_logs%]
13988 `..'=
13989 %preserve_message_logs%, Use: 'main', Type: 'boolean', Default: 'false'
13990 ===
13991
13992 cindex:[message logs, preserving]
13993 If this option is set, message log files are not deleted when messages are
13994 completed. Instead, they are moved to a sub-directory of the spool directory
13995 called _msglog.OLD_, where they remain available for statistical or debugging
13996 purposes. This is a dangerous option to set on systems with any appreciable
13997 volume of mail. Use with care!
13998
13999
14000 oindex:[%primary_hostname%]
14001 `..'=
14002 %primary_hostname%, Use: 'main', Type: 'string', Default: 'see below'
14003 ===
14004
14005 cindex:[name,of local host]
14006 cindex:[host,name of local]
14007 cindex:[local host,name of]
14008 cindex:[$primary_hostname$]
14009 This specifies the name of the current host. It is used in the default EHLO or
14010 HELO command for outgoing SMTP messages (changeable via the %helo_data% option
14011 in the ^smtp^ transport), and as the default for %qualify_domain%. The value is
14012 also used by default in some SMTP response messages from an Exim server. This
14013 can be changed dynamically by setting %smtp_active_hostname%.
14014
14015 If %primary_hostname% is not set, Exim calls 'uname()' to find the host name.
14016 If this fails, Exim panics and dies. If the name returned by 'uname()' contains
14017 only one component, Exim passes it to 'gethostbyname()' (or 'getipnodebyname()'
14018 when available) in order to obtain the fully qualified version. The variable
14019 $primary_hostname$ contains the host name, whether set explicitly by this
14020 option, or defaulted.
14021
14022
14023 oindex:[%print_topbitchars%]
14024 `..'=
14025 %print_topbitchars%, Use: 'main', Type: 'boolean', Default: 'false'
14026 ===
14027
14028 cindex:[printing characters]
14029 cindex:[8-bit characters]
14030 By default, Exim considers only those characters whose codes lie in the range
14031 32--126 to be printing characters. In a number of circumstances (for example,
14032 when writing log entries) non-printing characters are converted into escape
14033 sequences, primarily to avoid messing up the layout. If %print_topbitchars% is
14034 set, code values of 128 and above are also considered to be printing
14035 characters.
14036
14037
14038 oindex:[%process_log_path%]
14039 `..'=
14040 %process_log_path%, Use: 'main', Type: 'string', Default: 'unset'
14041 ===
14042
14043 cindex:[process log path]
14044 cindex:[log,process log]
14045 cindex:['exiwhat']
14046 This option sets the name of the file to which an Exim process writes its
14047 ``process log'' when sent a USR1 signal. This is used by the 'exiwhat' utility
14048 script. If this option is unset, the file called _exim-process.info_ in
14049 Exim's spool directory is used. The ability to specify the name explicitly can
14050 be useful in environments where two different Exims are running, using
14051 different spool directories.
14052
14053
14054 oindex:[%prod_requires_admin%]
14055 `..'=
14056 %prod_requires_admin%, Use: 'main', Type: 'boolean', Default: 'true'
14057 ===
14058
14059 cindex:[%-M% option]
14060 cindex:[%-R% option]
14061 cindex:[%-q% option]
14062 The %-M%, %-R%, and %-q% command-line options require the caller to be an
14063 admin user unless %prod_requires_admin% is set false. See also
14064 %queue_list_requires_admin%.
14065
14066
14067 oindex:[%qualify_domain%]
14068 `..'=
14069 %qualify_domain%, Use: 'main', Type: 'string', Default: 'see below'
14070 ===
14071
14072 cindex:[domain,for qualifying addresses]
14073 cindex:[address,qualification]
14074 This option specifies the domain name that is added to any envelope sender
14075 addresses that do not have a domain qualification. It also applies to
14076 recipient addresses if %qualify_recipient% is not set.
14077
14078 Unqualified addresses are accepted by default only for locally-generated
14079 messages.
14080
14081 Qualification is also applied to addresses in header lines such as 'From:' and
14082 'To:' for locally-generated messages, unless the %-bnq% command line option
14083 is used.
14084
14085
14086 Messages from external sources must always contain fully qualified addresses,
14087 unless the sending host matches %sender_unqualified_hosts% or
14088 %recipient_unqualified_hosts% (as appropriate), in which case incoming
14089 addresses are qualified with %qualify_domain% or %qualify_recipient% as
14090 necessary. Internally, Exim always works with fully qualified envelope
14091 addresses. If %qualify_domain% is not set, it defaults to the
14092 %primary_hostname% value.
14093
14094
14095 oindex:[%qualify_recipient%]
14096 `..'=
14097 %qualify_recipient%, Use: 'main', Type: 'string', Default: 'see below'
14098 ===
14099
14100 This option allows you to specify a different domain for qualifying recipient
14101 addresses to the one that is used for senders. See %qualify_domain% above.
14102
14103
14104
14105 oindex:[%queue_domains%]
14106 `..'=
14107 %queue_domains%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
14108 ===
14109
14110 cindex:[domain,specifying non-immediate delivery]
14111 cindex:[queueing incoming messages]
14112 cindex:[message,queueing certain domains]
14113 This option lists domains for which immediate delivery is not required.
14114 A delivery process is started whenever a message is received, but only those
14115 domains that do not match are processed. All other deliveries wait until the
14116 next queue run. See also %hold_domains% and %queue_smtp_domains%.
14117
14118
14119 oindex:[%queue_list_requires_admin%]
14120 `..'=
14121 %queue_list_requires_admin%, Use: 'main', Type: 'boolean', Default: 'true'
14122 ===
14123
14124 cindex:[%-bp% option]
14125 The %-bp% command-line option, which lists the messages that are on the queue,
14126 requires the caller to be an admin user unless %queue_list_requires_admin%
14127 is set false. See also %prod_requires_admin%.
14128
14129
14130 oindex:[%queue_only%]
14131 `..'=
14132 %queue_only%, Use: 'main', Type: 'boolean', Default: 'false'
14133 ===
14134
14135 cindex:[queueing incoming messages]
14136 cindex:[message,queueing unconditionally]
14137 If %queue_only% is set, a delivery process is not automatically started
14138 whenever a message is received. Instead, the message waits on the queue for the
14139 next queue run. Even if %queue_only% is false, incoming messages may not get
14140 delivered immediately when certain conditions (such as heavy load) occur.
14141
14142 The %-odq% command line has the same effect as %queue_only%. The %-odb% and
14143 %-odi% command line options override %queue_only% unless
14144 %queue_only_override% is set false. See also %queue_only_file%,
14145 %queue_only_load%, and %smtp_accept_queue%.
14146
14147
14148 oindex:[%queue_only_file%]
14149 `..'=
14150 %queue_only_file%, Use: 'main', Type: 'string', Default: 'unset'
14151 ===
14152
14153 cindex:[queueing incoming messages]
14154 cindex:[message,queueing by file existence]
14155 This option can be set to a colon-separated list of absolute path names, each
14156 one optionally preceded by ``smtp''. When Exim is receiving a message,
14157 it tests for the existence of each listed path using a call to 'stat()'. For
14158 each path that exists, the corresponding queuing option is set.
14159 For paths with no prefix, %queue_only% is set; for paths prefixed by ``smtp'',
14160 %queue_smtp_domains% is set to match all domains. So, for example,
14161
14162   queue_only_file = smtp/some/file
14163
14164 causes Exim to behave as if %queue_smtp_domains% were set to ``\*'' whenever
14165 _/some/file_ exists.
14166
14167
14168 oindex:[%queue_only_load%]
14169 `..'=
14170 %queue_only_load%, Use: 'main', Type: 'fixed-point', Default: 'unset'
14171 ===
14172
14173 cindex:[load average]
14174 cindex:[queueing incoming messages]
14175 cindex:[message,queueing by load]
14176 If the system load average is higher than this value, incoming messages from
14177 all sources are queued, and no automatic deliveries are started. If this
14178 happens during local or remote SMTP input, all subsequent messages on the same
14179 connection are queued. Deliveries will subsequently be performed by queue
14180 runner processes. This option has no effect on ancient operating systems on
14181 which Exim cannot determine the load average. See also
14182 %deliver_queue_load_max% and %smtp_load_reserve%.
14183
14184
14185 oindex:[%queue_only_override%]
14186 `..'=
14187 %queue_only_override%, Use: 'main', Type: 'boolean', Default: 'true'
14188 ===
14189
14190 cindex:[queueing incoming messages]
14191 When this option is true, the %-od'x'% command line options override the
14192 setting of %queue_only% or %queue_only_file% in the configuration file. If
14193 %queue_only_override% is set false, the %-od'x'% options cannot be used to
14194 override; they are accepted, but ignored.
14195
14196
14197 oindex:[%queue_run_in_order%]
14198 `..'=
14199 %queue_run_in_order%, Use: 'main', Type: 'boolean', Default: 'false'
14200 ===
14201
14202 cindex:[queue runner,processing messages in order]
14203 If this option is set, queue runs happen in order of message arrival instead of
14204 in an arbitrary order. For this to happen, a complete list of the entire queue
14205 must be set up before the deliveries start. When the queue is all held in a
14206 single directory (the default),
14207
14208 a single list is created for both the ordered and the non-ordered cases.
14209 However, if %split_spool_directory% is set, a single list is not created when
14210 %queue_run_in_order% is false. In this case, the sub-directories are
14211 processed one at a time (in a random order), and this avoids setting up one
14212 huge list for the whole queue. Thus, setting %queue_run_in_order% with
14213 %split_spool_directory% may degrade performance when the queue is large,
14214 because of the extra work in setting up the single, large list. In most
14215 situations, %queue_run_in_order% should not be set.
14216
14217
14218
14219 oindex:[%queue_run_max%]
14220 `..'=
14221 %queue_run_max%, Use: 'main', Type: 'integer', Default: '5'
14222 ===
14223
14224 cindex:[queue runner,maximum number of]
14225 This controls the maximum number of queue runner processes that an Exim daemon
14226 can run simultaneously. This does not mean that it starts them all at once,
14227 but rather that if the maximum number are still running when the time comes to
14228 start another one, it refrains from starting another one. This can happen with
14229 very large queues and/or very sluggish deliveries. This option does not,
14230 however, interlock with other processes, so additional queue runners can be
14231 started by other means, or by killing and restarting the daemon.
14232
14233 [revisionflag="changed"]
14234 Setting this option to zero does not suppress queue runs; rather, it disables
14235 the limit, allowing any number of simultaneous queue runner processes to be
14236 run. If you do not want queue runs to occur, omit the %-q%'xx' setting on the
14237 daemon's command line.
14238
14239
14240 oindex:[%queue_smtp_domains%]
14241 `..'=
14242 %queue_smtp_domains%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
14243 ===
14244
14245 cindex:[queueing incoming messages]
14246 cindex:[message,queueing remote deliveries]
14247 When this option is set, a delivery process is started whenever a message is
14248 received, routing is performed, and local deliveries take place.
14249 However, if any SMTP deliveries are required for domains that match
14250 %queue_smtp_domains%, they are not immediately delivered, but instead the
14251 message waits on the queue for the next queue run. Since routing of the message
14252 has taken place, Exim knows to which remote hosts it must be delivered, and so
14253 when the queue run happens, multiple messages for the same host are delivered
14254 over a single SMTP connection. The %-odqs% command line option causes all SMTP
14255 deliveries to be queued in this way, and is equivalent to setting
14256 %queue_smtp_domains% to ``\*''. See also %hold_domains% and %queue_domains%.
14257
14258
14259 oindex:[%receive_timeout%]
14260 `..'=
14261 %receive_timeout%, Use: 'main', Type: 'time', Default: '0s'
14262 ===
14263
14264 cindex:[timeout,for non-SMTP input]
14265 This option sets the timeout for accepting a non-SMTP message, that is, the
14266 maximum time that Exim waits when reading a message on the standard input. If
14267 the value is zero, it will wait for ever. This setting is overridden by the
14268 %-or% command line option. The timeout for incoming SMTP messages is
14269 controlled by %smtp_receive_timeout%.
14270
14271 oindex:[%received_header_text%]
14272 `..'=
14273 %received_header_text%, Use: 'main', Type: 'string'!!, Default: 'see below'
14274 ===
14275
14276 cindex:[customizing, 'Received:' header]
14277 cindex:['Received:' header line,customizing]
14278 This string defines the contents of the 'Received:' message header that is
14279 added to each message, except for the timestamp, which is automatically added
14280 on at the end (preceded by a semicolon). The string is expanded each time it is
14281 used. If the expansion yields an empty string, no 'Received:' header line is
14282 added to the message. Otherwise, the string should start with the text
14283 ``Received:'' and conform to the RFC 2822 specification for 'Received:' header
14284 lines. The default setting is:
14285
14286 ....
14287 received_header_text = Received: \
14288     ${if def:sender_rcvhost {from $sender_rcvhost\n\t}\
14289     {${if def:sender_ident {from $sender_ident }}\
14290     ${if def:sender_helo_name {(helo=$sender_helo_name)\n\t}}}}\
14291     by $primary_hostname \
14292     ${if def:received_protocol {with $received_protocol}} \
14293     ${if def:tls_cipher {($tls_cipher)\n\t}}\
14294     (Exim $version_number)\n\t\
14295     id $message_exim_id\
14296     ${if def:received_for {\n\tfor $received_for}}
14297 ....
14298
14299 Note the use of quotes, to allow the sequences `\n` and `\t` to be used
14300 for newlines and tabs, respectively. The reference to the TLS cipher is omitted
14301 when Exim is built without TLS support. The use of conditional expansions
14302 ensures that this works for both locally generated messages and messages
14303 received from remote hosts, giving header lines such as the following:
14304
14305   Received: from scrooge.carol.example ([192.168.12.25] ident=root)
14306           by marley.carol.example with esmtp (Exim 4.00)
14307           id 16IOWa-00019l-00
14308           for chas@dickens.example; Tue, 25 Dec 2001 14:43:44 +0000
14309   Received: by scrooge.carol.example with local (Exim 4.00)
14310           id 16IOWW-000083-00; Tue, 25 Dec 2001 14:43:41 +0000
14311
14312 Until the body of the message has been received, the timestamp is the time when
14313 the message started to be received. Once the body has arrived, and all policy
14314 checks have taken place, the timestamp is updated to the time at which the
14315 message was accepted.
14316
14317
14318 oindex:[%received_headers_max%]
14319 `..'=
14320 %received_headers_max%, Use: 'main', Type: 'integer', Default: '30'
14321 ===
14322
14323 cindex:[loop,prevention]
14324 cindex:[mail loop prevention]
14325 cindex:['Received:' header line,counting]
14326 When a message is to be delivered, the number of 'Received:' headers is
14327 counted, and if it is greater than this parameter, a mail loop is assumed to
14328 have occurred, the delivery is abandoned, and an error message is generated.
14329 This applies to both local and remote deliveries.
14330
14331
14332 oindex:[%recipient_unqualified_hosts%]
14333 `..'=
14334 %recipient_unqualified_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
14335 ===
14336
14337 cindex:[unqualified addresses]
14338 cindex:[host,unqualified addresses from]
14339 This option lists those hosts from which Exim is prepared to accept unqualified
14340 recipient addresses in message envelopes. The addresses are made fully
14341 qualified by the addition of the %qualify_recipient% value. This option also
14342 affects message header lines. Exim does not reject unqualified recipient
14343 addresses in headers, but it qualifies them only if the message came from a
14344 host that matches %recipient_unqualified_hosts%,
14345 or if the message was submitted locally (not using TCP/IP), and the %-bnq%
14346 option was not set.
14347
14348
14349 oindex:[%recipients_max%]
14350 `..'=
14351 %recipients_max%, Use: 'main', Type: 'integer', Default: '0'
14352 ===
14353
14354 cindex:[limit,number of recipients]
14355 cindex:[recipient,maximum number]
14356 If this option is set greater than zero, it specifies the maximum number of
14357 original recipients for any message. Additional recipients that are generated
14358 by aliasing or forwarding do not count. SMTP messages get a 452 response for
14359 all recipients over the limit; earlier recipients are delivered as normal.
14360 Non-SMTP messages with too many recipients are failed, and no deliveries are
14361 done.
14362
14363 cindex:[RCPT,maximum number of incoming]
14364 Note that the RFCs specify that an SMTP server should accept at least 100
14365 RCPT commands in a single message.
14366
14367
14368 oindex:[%recipients_max_reject%]
14369 `..'=
14370 %recipients_max_reject%, Use: 'main', Type: 'boolean', Default: 'false'
14371 ===
14372
14373 If this option is set true, Exim rejects SMTP messages containing too many
14374 recipients by giving 552 errors to the surplus RCPT commands, and a 554
14375 error to the eventual DATA command. Otherwise (the default) it gives a 452
14376 error to the surplus RCPT commands and accepts the message on behalf of the
14377 initial set of recipients. The remote server should then re-send the message
14378 for the remaining recipients at a later time.
14379
14380
14381 oindex:[%remote_max_parallel%]
14382 `..'=
14383 %remote_max_parallel%, Use: 'main', Type: 'integer', Default: '2'
14384 ===
14385
14386 cindex:[delivery,parallelism for remote]
14387 This option controls parallel delivery of one message to a number of remote
14388 hosts. If the value is less than 2, parallel delivery is disabled, and Exim
14389 does all the remote deliveries for a message one by one. Otherwise, if a single
14390 message has to be delivered to more than one remote host, or if several copies
14391 have to be sent to the same remote host, up to %remote_max_parallel%
14392 deliveries are done simultaneously. If more than %remote_max_parallel%
14393 deliveries are required, the maximum number of processes are started, and as
14394 each one finishes, another is begun. The order of starting processes is the
14395 same as if sequential delivery were being done, and can be controlled by the
14396 %remote_sort_domains% option. If parallel delivery takes place while running
14397 with debugging turned on, the debugging output from each delivery process is
14398 tagged with its process id.
14399
14400 This option controls only the maximum number of parallel deliveries for one
14401 message in one Exim delivery process. Because Exim has no central queue
14402 manager, there is no way of controlling the total number of simultaneous
14403 deliveries if the configuration allows a delivery attempt as soon as a message
14404 is received.
14405
14406 cindex:[number of deliveries]
14407 cindex:[delivery,maximum number of]
14408 If you want to control the total number of deliveries on the system, you
14409 need to set the %queue_only% option. This ensures that all incoming messages
14410 are added to the queue without starting a delivery process. Then set up an Exim
14411 daemon to start queue runner processes at appropriate intervals (probably
14412 fairly often, for example, every minute), and limit the total number of queue
14413 runners by setting the %queue_run_max% parameter. Because each queue runner
14414 delivers only one message at a time, the maximum number of deliveries that can
14415 then take place at once is %queue_run_max% multiplied by
14416 %remote_max_parallel%.
14417
14418 If it is purely remote deliveries you want to control, use
14419 %queue_smtp_domains% instead of %queue_only%. This has the added benefit of
14420 doing the SMTP routing before queuing, so that several messages for the same
14421 host will eventually get delivered down the same connection.
14422
14423
14424 oindex:[%remote_sort_domains%]
14425 `..'=
14426 %remote_sort_domains%, Use: 'main', Type: 'domain list'!!, Default: 'unset'
14427 ===
14428
14429 cindex:[sorting remote deliveries]
14430 cindex:[delivery,sorting remote]
14431 When there are a number of remote deliveries for a message, they are sorted by
14432 domain into the order given by this list. For example,
14433
14434   remote_sort_domains = *.cam.ac.uk:*.uk
14435
14436 would attempt to deliver to all addresses in the 'cam.ac.uk' domain first, then
14437 to those in the %uk% domain, then to any others.
14438
14439
14440 oindex:[%retry_data_expire%]
14441 `..'=
14442 %retry_data_expire%, Use: 'main', Type: 'time', Default: '7d'
14443 ===
14444
14445 cindex:[hints database,data expiry]
14446 This option sets a ``use before'' time on retry information in Exim's hints
14447 database. Any older retry data is ignored. This means that, for example, once a
14448 host has not been tried for 7 days, Exim behaves as if it has no knowledge of
14449 past failures.
14450
14451
14452 oindex:[%retry_interval_max%]
14453 `..'=
14454 %retry_interval_max%, Use: 'main', Type: 'time', Default: '24h'
14455 ===
14456
14457 cindex:[retry,limit on interval]
14458 cindex:[limit,on retry interval]
14459 Chapter <<CHAPretry>> describes Exim's mechanisms for controlling the intervals
14460 between delivery attempts for messages that cannot be delivered straight away.
14461 This option sets an overall limit to the length of time between retries.
14462
14463
14464 oindex:[%return_path_remove%]
14465 `..'=
14466 %return_path_remove%, Use: 'main', Type: 'boolean', Default: 'true'
14467 ===
14468
14469 cindex:['Return-path:' header line,removing]
14470 RFC 2821, section 4.4, states that an SMTP server must insert a 'Return-path:'
14471 header line into a message when it makes a ``final delivery''. The 'Return-path:'
14472 header preserves the sender address as received in the MAIL command. This
14473 description implies that this header should not be present in an incoming
14474 message. If %return_path_remove% is true, any existing 'Return-path:'
14475 headers are removed from messages at the time they are received. Exim's
14476 transports have options for adding 'Return-path:' headers at the time of
14477 delivery. They are normally used only for final local deliveries.
14478
14479
14480 oindex:[%return_size_limit%]
14481 `..'=
14482 %return_size_limit%, Use: 'main', Type: 'integer', Default: '100K'
14483 ===
14484
14485 This option is an obsolete synonym for %bounce_return_size_limit%.
14486
14487
14488 oindex:[%rfc1413_hosts%]
14489 `..'=
14490 %rfc1413_hosts%, Use: 'main', Type: 'host list'!!, Default: '\*'
14491 ===
14492
14493 cindex:[RFC 1413]
14494 cindex:[host,for RFC 1413 calls]
14495 RFC 1413 identification calls are made to any client host which matches an item
14496 in the list.
14497
14498
14499 oindex:[%rfc1413_query_timeout%]
14500 `..'=
14501 %rfc1413_query_timeout%, Use: 'main', Type: 'time', Default: '30s'
14502 ===
14503
14504 cindex:[RFC 1413,query timeout]
14505 cindex:[timeout,for RFC 1413 call]
14506 This sets the timeout on RFC 1413 identification calls. If it is set to zero,
14507 no RFC 1413 calls are ever made.
14508
14509
14510 oindex:[%sender_unqualified_hosts%]
14511 `..'=
14512 %sender_unqualified_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
14513 ===
14514
14515 cindex:[unqualified addresses]
14516 cindex:[host,unqualified addresses from]
14517 This option lists those hosts from which Exim is prepared to accept unqualified
14518 sender addresses. The addresses are made fully qualified by the addition of
14519 %qualify_domain%. This option also affects message header lines. Exim does not
14520 reject unqualified addresses in headers that contain sender addresses, but it
14521 qualifies them only if the message came from a host that matches
14522 %sender_unqualified_hosts%,
14523 or if the message was submitted locally (not using TCP/IP), and the %-bnq%
14524 option was not set.
14525
14526
14527 oindex:[%smtp_accept_keepalive%]
14528 `..'=
14529 %smtp_accept_keepalive%, Use: 'main', Type: 'boolean', Default: 'true'
14530 ===
14531
14532 cindex:[keepalive,on incoming connection]
14533 This option controls the setting of the SO_KEEPALIVE option on incoming
14534 TCP/IP socket connections. When set, it causes the kernel to probe idle
14535 connections periodically, by sending packets with ``old'' sequence numbers. The
14536 other end of the connection should send an acknowledgement if the connection is
14537 still okay or a reset if the connection has been aborted. The reason for doing
14538 this is that it has the beneficial effect of freeing up certain types of
14539 connection that can get stuck when the remote host is disconnected without
14540 tidying up the TCP/IP call properly. The keepalive mechanism takes several
14541 hours to detect unreachable hosts.
14542
14543
14544
14545 oindex:[%smtp_accept_max%]
14546 `..'=
14547 %smtp_accept_max%, Use: 'main', Type: 'integer', Default: '20'
14548 ===
14549
14550 cindex:[limit,incoming SMTP connections]
14551 cindex:[SMTP,incoming connection count]
14552 cindex:[inetd]
14553 This option specifies the maximum number of simultaneous incoming SMTP calls
14554 that Exim will accept. It applies only to the listening daemon; there is no
14555 control (in Exim) when incoming SMTP is being handled by 'inetd'. If the value
14556 is set to zero, no limit is applied. However, it is required to be non-zero if
14557 either %smtp_accept_max_per_host% or %smtp_accept_queue% is set. See also
14558 %smtp_accept_reserve%.
14559
14560
14561
14562 oindex:[%smtp_accept_max_nonmail%]
14563 `..'=
14564 %smtp_accept_max_nonmail%, Use: 'main', Type: 'integer', Default: '10'
14565 ===
14566
14567 cindex:[limit,non-mail SMTP commands]
14568 cindex:[SMTP,limiting non-mail commands]
14569 Exim counts the number of ``non-mail'' commands in an SMTP session, and drops the
14570 connection if there are too many. This option defines ``too many''. The check
14571 catches some denial-of-service attacks, repeated failing AUTHs, or a mad
14572 client looping sending EHLO, for example. The check is applied only if the
14573 client host matches %smtp_accept_max_nonmail_hosts%.
14574
14575 When a new message is expected, one occurrence of RSET is not counted. This
14576 allows a client to send one RSET between messages (this is not necessary,
14577 but some clients do it). Exim also allows one uncounted occurence of HELO
14578 or EHLO, and one occurrence of STARTTLS between messages. After
14579 starting up a TLS session, another EHLO is expected, and so it too is not
14580 counted. The first occurrence of AUTH in a connection, or immediately
14581 following STARTTLS is not counted. Otherwise, all commands other than
14582 MAIL, RCPT, DATA, and QUIT are counted.
14583
14584
14585 oindex:[%smtp_accept_max_nonmail_hosts%]
14586 `..'=
14587 %smtp_accept_max_nonmail_hosts%, Use: 'main', Type: 'host list'!!, Default: '\*'
14588 ===
14589
14590 You can control which hosts are subject to the %smtp_accept_max_nonmail%
14591 check by setting this option. The default value makes it apply to all hosts. By
14592 changing the value, you can exclude any badly-behaved hosts that you have to
14593 live with.
14594
14595
14596
14597 oindex:[%smtp_accept_max_per_connection%]
14598 `..'=
14599 %smtp_accept_max_per_connection%, Use: 'main', Type: 'integer', Default: '1000'
14600 ===
14601
14602 cindex:[SMTP incoming message count, limiting]
14603 cindex:[limit,messages per SMTP connection]
14604 The value of this option limits the number of MAIL commands that Exim is
14605 prepared to accept over a single SMTP connection, whether or not each command
14606 results in the transfer of a message. After the limit is reached, a 421
14607 response is given to subsequent MAIL commands. This limit is a safety
14608 precaution against a client that goes mad (incidents of this type have been
14609 seen).
14610
14611
14612 oindex:[%smtp_accept_max_per_host%]
14613 `..'=
14614 %smtp_accept_max_per_host%, Use: 'main', Type: 'string'!!, Default: 'unset'
14615 ===
14616
14617 cindex:[limit,SMTP connections from one host]
14618 cindex:[host,limiting SMTP connections from]
14619 This option restricts the number of simultaneous IP connections from a single
14620 host (strictly, from a single IP address) to the Exim daemon. The option is
14621 expanded, to enable different limits to be applied to different hosts by
14622 reference to $sender_host_address$. Once the limit is reached, additional
14623 connection attempts from the same host are rejected with error code 421. The
14624 default value of zero imposes no limit. If this option is set, it is required
14625 that %smtp_accept_max% be non-zero.
14626
14627 *Warning*: When setting this option you should not use any expansion
14628 constructions that take an appreciable amount of time. The expansion and test
14629 happen in the main daemon loop, in order to reject additional connections
14630 without forking additional processes (otherwise a denial-of-service attack
14631 could cause a vast number or processes to be created). While the daemon is
14632 doing this processing, it cannot accept any other incoming connections.
14633
14634
14635
14636 oindex:[%smtp_accept_queue%]
14637 `..'=
14638 %smtp_accept_queue%, Use: 'main', Type: 'integer', Default: '0'
14639 ===
14640
14641 cindex:[SMTP,incoming connection count]
14642 cindex:[queueing incoming messages]
14643 cindex:[message,queueing by SMTP connection count]
14644 If the number of simultaneous incoming SMTP calls handled via the listening
14645 daemon exceeds this value, messages received by SMTP are just placed on the
14646 queue; no delivery processes are started automatically. A value of zero implies
14647 no limit, and clearly any non-zero value is useful only if it is less than the
14648 %smtp_accept_max% value (unless that is zero). See also %queue_only%,
14649 %queue_only_load%, %queue_smtp_domains%, and the various %-od% command
14650 line options.
14651
14652
14653 oindex:[%smtp_accept_queue_per_connection%]
14654 `..'=
14655 %smtp_accept_queue_per_connection%, Use: 'main', Type: 'integer', Default: '10'
14656 ===
14657
14658 cindex:[queueing incoming messages]
14659 cindex:[message,queueing by message count]
14660 This option limits the number of delivery processes that Exim starts
14661 automatically when receiving messages via SMTP, whether via the daemon or by
14662 the use of %-bs% or %-bS%. If the value of the option is greater than zero,
14663 and the number of messages received in a single SMTP session exceeds this
14664 number, subsequent messages are placed on the queue, but no delivery processes
14665 are started. This helps to limit the number of Exim processes when a server
14666 restarts after downtime and there is a lot of mail waiting for it on other
14667 systems. On large systems, the default should probably be increased, and on
14668 dial-in client systems it should probably be set to zero (that is, disabled).
14669
14670
14671 oindex:[%smtp_accept_reserve%]
14672 `..'=
14673 %smtp_accept_reserve%, Use: 'main', Type: 'integer', Default: '0'
14674 ===
14675
14676 cindex:[SMTP,incoming call count]
14677 cindex:[host,reserved]
14678 When %smtp_accept_max% is set greater than zero, this option specifies a
14679 number of SMTP connections that are reserved for connections from the hosts
14680 that are specified in %smtp_reserve_hosts%. The value set in
14681 %smtp_accept_max% includes this reserve pool. The specified hosts are not
14682 restricted to this number of connections; the option specifies a minimum number
14683 of connection slots for them, not a maximum. It is a guarantee that that group
14684 of hosts can always get at least %smtp_accept_reserve% connections.
14685
14686 For example, if %smtp_accept_max% is set to 50 and %smtp_accept_reserve% is
14687 set to 5, once there are 45 active connections (from any hosts), new
14688 connections are accepted only from hosts listed in %smtp_reserve_hosts%.
14689 See also %smtp_accept_max_per_host%.
14690
14691
14692 oindex:[%smtp_active_hostname%]
14693 `..'=
14694 %smtp_active_hostname%, Use: 'main', Type: 'string'!!, Default: 'unset'
14695 ===
14696
14697 cindex:[host,name in SMTP responses]
14698 cindex:[SMTP,host name in responses]
14699 cindex:[$primary_hostname$]
14700 This option is provided for multi-homed servers that want to masquerade as
14701 several different hosts. At the start of an SMTP connection, its value is
14702 expanded and used instead of the value of $primary_hostname$ in SMTP
14703 responses. For example, it is used as domain name in the response to an
14704 incoming HELO or EHLO command.
14705
14706 cindex:[$smtp_active_hostname$]
14707 It is also used in HELO commands for callout verification. The active hostname
14708 is placed in the $smtp_active_hostname$ variable, which is saved with any
14709 messages that are received. It is therefore available for use in routers and
14710 transports when the message is later delivered.
14711
14712 If this option is unset, or if its expansion is forced to fail, or if the
14713 expansion results in an empty string, the value of $primary_hostname$ is
14714 used. Other expansion failures cause a message to be written to the main and
14715 panic logs, and the SMTP command receives a temporary error. Typically, the
14716 value of %smtp_active_hostname% depends on the incoming interface address.
14717 For example:
14718
14719 ....
14720 smtp_active_hostname = ${if eq{$interface_address}{10.0.0.1}\
14721   {cox.mydomain}{box.mydomain}}
14722 ....
14723
14724
14725 oindex:[%smtp_banner%]
14726 `..'=
14727 %smtp_banner%, Use: 'main', Type: 'string'!!, Default: 'see below'
14728 ===
14729
14730 cindex:[SMTP,welcome banner]
14731 cindex:[banner for SMTP]
14732 cindex:[welcome banner for SMTP]
14733 cindex:[customizing,SMTP banner]
14734 This string, which is expanded every time it is used, is output as the initial
14735 positive response to an SMTP connection. The default setting is:
14736
14737 ....
14738 smtp_banner = $smtp_active_hostname ESMTP Exim \
14739   $version_number $tod_full
14740 ....
14741
14742 Failure to expand the string causes a panic error. If you want to create a
14743 multiline response to the initial SMTP connection, use ``\n'' in the string at
14744 appropriate points, but not at the end. Note that the 220 code is not included
14745 in this string. Exim adds it automatically (several times in the case of a
14746 multiline response).
14747
14748
14749 oindex:[%smtp_check_spool_space%]
14750 `..'=
14751 %smtp_check_spool_space%, Use: 'main', Type: 'boolean', Default: 'true'
14752 ===
14753
14754 cindex:[checking disk space]
14755 cindex:[disk space, checking]
14756 cindex:[spool directory,checking space]
14757 When this option is set, if an incoming SMTP session encounters the SIZE
14758 option on a MAIL command, it checks that there is enough space in the
14759 spool directory's partition to accept a message of that size, while still
14760 leaving free the amount specified by %check_spool_space% (even if that value
14761 is zero). If there isn't enough space, a temporary error code is returned.
14762
14763
14764 oindex:[%smtp_connect_backlog%]
14765 `..'=
14766 %smtp_connect_backlog%, Use: 'main', Type: 'integer', Default: '20'
14767 ===
14768
14769 cindex:[connection backlog]
14770 cindex:[SMTP,connection backlog]
14771 cindex:[backlog of connections]
14772 This option specifies a maximum number of waiting SMTP connections. Exim passes
14773 this value to the TCP/IP system when it sets up its listener. Once this number
14774 of connections are waiting for the daemon's attention, subsequent connection
14775 attempts are refused at the TCP/IP level. At least, that is what the manuals
14776 say; in some circumstances such connection attempts have been observed to time
14777 out instead. For large systems it is probably a good idea to increase the
14778 value (to 50, say). It also gives some protection against denial-of-service
14779 attacks by SYN flooding.
14780
14781
14782 oindex:[%smtp_enforce_sync%]
14783 `..'=
14784 %smtp_enforce_sync%, Use: 'main', Type: 'boolean', Default: 'true'
14785 ===
14786
14787 cindex:[SMTP,synchronization checking]
14788 cindex:[synchronization checking in SMTP]
14789 The SMTP protocol specification requires the client to wait for a response from
14790 the server at certain points in the dialogue. Without PIPELINING these
14791 synchronization points are after every command; with PIPELINING they are
14792 fewer, but they still exist.
14793
14794 Some spamming sites send out a complete set of SMTP commands without waiting
14795 for any response. Exim protects against this by rejecting a message if the
14796 client has sent further input when it should not have. The error response ``554
14797 SMTP synchronization error'' is sent, and the connection is dropped. Testing for
14798 this error cannot be perfect because of transmission delays (unexpected input
14799 may be on its way but not yet received when Exim checks). However, it does
14800 detect many instances.
14801
14802 The check can be globally disabled by setting %smtp_enforce_sync% false.
14803 If you want to disable the check selectively (for example, only for certain
14804 hosts), you can do so by an appropriate use of a %control% modifier in an ACL
14805 (see section <<SECTcontrols>>). See also %pipelining_advertise_hosts%.
14806
14807
14808
14809 oindex:[%smtp_etrn_command%]
14810 `..'=
14811 %smtp_etrn_command%, Use: 'main', Type: 'string'!!, Default: 'unset'
14812 ===
14813
14814 cindex:[ETRN,command to be run]
14815 cindex:[$domain$]
14816 If this option is set, the given command is run whenever an SMTP ETRN
14817 command is received from a host that is permitted to issue such commands (see
14818 chapter <<CHAPACL>>). The string is split up into separate arguments which are
14819 independently expanded. The expansion variable $domain$ is set to the
14820 argument of the ETRN command, and no syntax checking is done on it. For
14821 example:
14822
14823   smtp_etrn_command = /etc/etrn_command $domain $sender_host_address
14824
14825 A new process is created to run the command, but Exim does not wait for it to
14826 complete. Consequently, its status cannot be checked. If the command cannot be
14827 run, a line is written to the panic log, but the ETRN caller still receives
14828 a 250 success response. Exim is normally running under its own uid when
14829 receiving SMTP, so it is not possible for it to change the uid before running
14830 the command.
14831
14832
14833 oindex:[%smtp_etrn_serialize%]
14834 `..'=
14835 %smtp_etrn_serialize%, Use: 'main', Type: 'boolean', Default: 'true'
14836 ===
14837
14838 cindex:[ETRN,serializing]
14839 When this option is set, it prevents the simultaneous execution of more than
14840 one identical command as a result of ETRN in an SMTP connection. See
14841 section <<SECTETRN>> for details.
14842
14843
14844 oindex:[%smtp_load_reserve%]
14845 `..'=
14846 %smtp_load_reserve%, Use: 'main', Type: 'fixed-point', Default: 'unset'
14847 ===
14848
14849 cindex:[load average]
14850 If the system load average ever gets higher than this, incoming SMTP calls are
14851 accepted only from those hosts that match an entry in %smtp_reserve_hosts%.
14852 If %smtp_reserve_hosts% is not set, no incoming SMTP calls are accepted when
14853 the load is over the limit. The option has no effect on ancient operating
14854 systems on which Exim cannot determine the load average. See also
14855 %deliver_queue_load_max% and %queue_only_load%.
14856
14857
14858
14859 oindex:[%smtp_max_synprot_errors%]
14860 `..'=
14861 %smtp_max_synprot_errors%, Use: 'main', Type: 'integer', Default: '3'
14862 ===
14863
14864 cindex:[SMTP,limiting syntax and protocol errors]
14865 cindex:[limit,SMTP syntax and protocol errors]
14866 Exim rejects SMTP commands that contain syntax or protocol errors. In
14867 particular, a syntactically invalid email address, as in this command:
14868
14869   RCPT TO:<abc xyz@a.b.c>
14870
14871 causes immediate rejection of the command, before any other tests are done.
14872 (The ACL cannot be run if there is no valid address to set up for it.) An
14873 example of a protocol error is receiving RCPT before MAIL. If there are
14874 too many syntax or protocol errors in one SMTP session, the connection is
14875 dropped. The limit is set by this option.
14876
14877 cindex:[PIPELINING,expected errors]
14878 When the PIPELINING extension to SMTP is in use, some protocol errors are
14879 ``expected'', for instance, a RCPT command after a rejected MAIL command.
14880 Exim assumes that PIPELINING will be used if it advertises it (see
14881 %pipelining_advertise_hosts%), and in this situation, ``expected'' errors do
14882 not count towards the limit.
14883
14884
14885
14886 oindex:[%smtp_max_unknown_commands%]
14887 `..'=
14888 %smtp_max_unknown_commands%, Use: 'main', Type: 'integer', Default: '3'
14889 ===
14890
14891 cindex:[SMTP,limiting unknown commands]
14892 cindex:[limit,unknown SMTP commands]
14893 If there are too many unrecognized commands in an incoming SMTP session, an
14894 Exim server drops the connection. This is a defence against some kinds of abuse
14895 that subvert web
14896 clients
14897 into making connections to SMTP ports; in these circumstances, a number of
14898 non-SMTP command lines are sent first.
14899
14900
14901
14902 oindex:[%smtp_ratelimit_hosts%]
14903 `..'=
14904 %smtp_ratelimit_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
14905 ===
14906
14907 cindex:[SMTP,rate limiting]
14908 cindex:[limit,rate of message arrival]
14909 cindex:[RCPT,rate limiting]
14910 Some sites find it helpful to be able to limit the rate at which certain hosts
14911 can send them messages, and the rate at which an individual message can specify
14912 recipients. When a host matches %smtp_ratelimit_hosts%, the values of
14913 %smtp_ratelimit_mail% and %smtp_ratelimit_rcpt% are used to control the
14914 rate of acceptance of MAIL and RCPT commands in a single SMTP session,
14915 respectively. Each option, if set, must contain a set of four comma-separated
14916 values:
14917
14918 - A threshold, before which there is no rate limiting.
14919
14920 - An initial time delay. Unlike other times in Exim, numbers with decimal
14921 fractional parts are allowed here.
14922
14923 - A factor by which to increase the delay each time.
14924
14925 - A maximum value for the delay. This should normally be less than 5 minutes,
14926 because after that time, the client is liable to timeout the SMTP command.
14927
14928 For example, these settings have been used successfully at the site which
14929 first suggested this feature, for controlling mail from their customers:
14930
14931   smtp_ratelimit_mail = 2,0.5s,1.05,4m
14932   smtp_ratelimit_rcpt = 4,0.25s,1.015,4m
14933
14934 The first setting specifies delays that are applied to MAIL commands after
14935 two have been received over a single connection. The initial delay is 0.5
14936 seconds, increasing by a factor of 1.05 each time. The second setting applies
14937 delays to RCPT commands when more than four occur in a single message.
14938
14939 It is also possible to configure delays explicitly in ACLs. See section
14940 <<SECTACLmodi>> for details.
14941
14942
14943
14944 oindex:[%smtp_ratelimit_mail%]
14945 `..'=
14946 %smtp_ratelimit_mail%, Use: 'main', Type: 'string', Default: 'unset'
14947 ===
14948
14949 See %smtp_ratelimit_hosts% above.
14950
14951
14952 oindex:[%smtp_ratelimit_rcpt%]
14953 `..'=
14954 %smtp_ratelimit_rcpt%, Use: 'main', Type: 'string', Default: 'unset'
14955 ===
14956
14957 See %smtp_ratelimit_hosts% above.
14958
14959
14960 oindex:[%smtp_receive_timeout%]
14961 `..'=
14962 %smtp_receive_timeout%, Use: 'main', Type: 'time', Default: '5m'
14963 ===
14964
14965 cindex:[timeout,for SMTP input]
14966 cindex:[SMTP timeout, input]
14967 This sets a timeout value for SMTP reception. It applies to all forms of SMTP
14968 input, including batch SMTP. If a line of input (either an SMTP command or a
14969 data line) is not received within this time, the SMTP connection is dropped and
14970 the message is abandoned.
14971 A line is written to the log containing one of the following messages:
14972
14973   SMTP command timeout on connection from...
14974   SMTP data timeout on connection from...
14975
14976 The former means that Exim was expecting to read an SMTP command; the latter
14977 means that it was in the DATA phase, reading the contents of a message.
14978
14979
14980 cindex:[%-os% option]
14981 The value set by this option can be overridden by the
14982 %-os% command-line option. A setting of zero time disables the timeout, but
14983 this should never be used for SMTP over TCP/IP. (It can be useful in some cases
14984 of local input using %-bs% or %-bS%.) For non-SMTP input, the reception
14985 timeout is controlled by %receive_timeout% and %-or%.
14986
14987
14988 oindex:[%smtp_reserve_hosts%]
14989 `..'=
14990 %smtp_reserve_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
14991 ===
14992
14993 This option defines hosts for which SMTP connections are reserved; see
14994 %smtp_accept_reserve% and %smtp_load_reserve% above.
14995
14996
14997 oindex:[%smtp_return_error_details%]
14998 `..'=
14999 %smtp_return_error_details%, Use: 'main', Type: 'boolean', Default: 'false'
15000 ===
15001
15002 cindex:[SMTP,details policy failures]
15003 cindex:[policy control rejection, returning details]
15004 In the default state, Exim uses bland messages such as
15005 ``Administrative prohibition'' when it rejects SMTP commands for policy
15006 reasons. Many sysadmins like this because it gives away little information
15007 to spammers. However, some other syadmins who are applying strict checking
15008 policies want to give out much fuller information about failures. Setting
15009 %smtp_return_error_details% true causes Exim to be more forthcoming. For
15010 example, instead of ``Administrative prohibition'', it might give:
15011
15012   550-Rejected after DATA: '>' missing at end of address:
15013   550 failing address in "From" header is: <user@dom.ain
15014
15015
15016
15017 oindex:[%spamd_address%]
15018 `..'=
15019 %spamd_address%, Use: 'main', Type: 'string', Default: `127.0.0.1 783`
15020 ===
15021
15022 This option is available when Exim is compiled with the content-scanning
15023 extension. It specifies how Exim connects to SpamAssassin's %spamd% daemon. See
15024 section <<SECTscanspamass>> for more details.
15025
15026
15027
15028 oindex:[%split_spool_directory%]
15029 `..'=
15030 %split_spool_directory%, Use: 'main', Type: 'boolean', Default: 'false'
15031 ===
15032
15033 cindex:[multiple spool directories]
15034 cindex:[spool directory,split]
15035 cindex:[directories, multiple]
15036 If this option is set, it causes Exim to split its input directory into 62
15037 subdirectories, each with a single alphanumeric character as its name. The
15038 sixth character of the message id is used to allocate messages to
15039 subdirectories; this is the least significant base-62 digit of the time of
15040 arrival of the message.
15041
15042 Splitting up the spool in this way may provide better performance on systems
15043 where there are long mail queues, by reducing the number of files in any one
15044 directory. The msglog directory is also split up in a similar way to the input
15045 directory; however, if %preserve_message_logs% is set, all old msglog files
15046 are still placed in the single directory _msglog.OLD_.
15047
15048 It is not necessary to take any special action for existing messages when
15049 changing %split_spool_directory%. Exim notices messages that are in the
15050 ``wrong'' place, and continues to process them. If the option is turned off after
15051 a period of being on, the subdirectories will eventually empty and be
15052 automatically deleted.
15053
15054 When %split_spool_directory% is set, the behaviour of queue runner processes
15055 changes. Instead of creating a list of all messages in the queue, and then
15056 trying to deliver each one in turn, it constructs a list of those in one
15057 sub-directory and tries to deliver them, before moving on to the next
15058 sub-directory. The sub-directories are processed in a random order. This
15059 spreads out the scanning of the input directories, and uses less memory. It is
15060 particularly beneficial when there are lots of messages on the queue. However,
15061 if %queue_run_in_order% is set, none of this new processing happens. The
15062 entire queue has to be scanned and sorted before any deliveries can start.
15063
15064
15065 oindex:[%spool_directory%]
15066 `..'=
15067 %spool_directory%, Use: 'main', Type: 'string'!!, Default: 'set at compile time'
15068 ===
15069
15070 cindex:[spool directory,path to]
15071 This defines the directory in which Exim keeps its spool, that is, the messages
15072 it is waiting to deliver. The default value is taken from the compile-time
15073 configuration setting, if there is one. If not, this option must be set. The
15074 string is expanded, so it can contain, for example, a reference to
15075 $primary_hostname$.
15076
15077 If the spool directory name is fixed on your installation, it is recommended
15078 that you set it at build time rather than from this option, particularly if the
15079 log files are being written to the spool directory (see %log_file_path%).
15080 Otherwise log files cannot be used for errors that are detected early on, such
15081 as failures in the configuration file.
15082
15083 By using this option to override the compiled-in path, it is possible to run
15084 tests of Exim without using the standard spool.
15085
15086 oindex:[%sqlite_lock_timeout%]
15087 `..'=
15088 %sqlite_lock_timeout%, Use: 'main', Type: 'time', Default: '5s'
15089 ===
15090
15091 [revisionflag="changed"]
15092 cindex:[sqlite,lock timeout]
15093 This option controls the timeout that the ^sqlite^ lookup uses when trying to
15094 access an SQLite database. See section <<SECTsqlite>> for more details.
15095
15096
15097 oindex:[%strip_excess_angle_brackets%]
15098 `..'=
15099 %strip_excess_angle_brackets%, Use: 'main', Type: 'boolean', Default: 'false'
15100 ===
15101
15102 cindex:[angle brackets, excess]
15103 If this option is set, redundant pairs of angle brackets round ``route-addr''
15104 items in addresses are stripped. For example, `\<\<xxx@a.b.c.d\>\>` is treated
15105 as `<xxx@a.b.c.d>`. If this is in the envelope and the message is passed on
15106 to another MTA, the excess angle brackets are not passed on. If this option is
15107 not set, multiple pairs of angle brackets cause a syntax error.
15108
15109
15110 oindex:[%strip_trailing_dot%]
15111 `..'=
15112 %strip_trailing_dot%, Use: 'main', Type: 'boolean', Default: 'false'
15113 ===
15114
15115 cindex:[trailing dot on domain]
15116 cindex:[dot,trailing on domain]
15117 If this option is set, a trailing dot at the end of a domain in an address is
15118 ignored. If this is in the envelope and the message is passed on to another
15119 MTA, the dot is not passed on. If this option is not set, a dot at the end of a
15120 domain causes a syntax error.
15121 However, addresses in header lines are checked only when an ACL requests header
15122 syntax checking.
15123
15124
15125 oindex:[%syslog_duplication%]
15126 `..'=
15127 %syslog_duplication%, Use: 'main', Type: 'boolean', Default: 'true'
15128 ===
15129
15130 cindex:[syslog,duplicate log lines; suppressing]
15131 When Exim is logging to syslog, it writes the log lines for its three
15132 separate logs at different syslog priorities so that they can in principle
15133 be separated on the logging hosts. Some installations do not require this
15134 separation, and in those cases, the duplication of certain log lines is a
15135 nuisance. If %syslog_duplication% is set false, only one copy of any
15136 particular log line is written to syslog. For lines that normally go to
15137 both the main log and the reject log, the reject log version (possibly
15138 containing message header lines) is written, at LOG_NOTICE priority.
15139 Lines that normally go to both the main and the panic log are written at
15140 the LOG_ALERT priority.
15141
15142
15143 oindex:[%syslog_facility%]
15144 `..'=
15145 %syslog_facility%, Use: 'main', Type: 'string', Default: 'unset'
15146 ===
15147
15148 cindex:[syslog,facility; setting]
15149 This option sets the syslog ``facility'' name, used when Exim is logging to
15150 syslog. The value must be one of the strings ``mail'', ``user'', ``news'', ``uucp'',
15151 ``daemon'', or ``local'x'##'' where 'x' is a digit between 0 and 7. If this
15152 option is unset, ``mail'' is used. See chapter <<CHAPlog>> for details of Exim's
15153 logging.
15154
15155
15156
15157 oindex:[%syslog_processname%]
15158 `..'=
15159 %syslog_processname%, Use: 'main', Type: 'string', Default: `exim`
15160 ===
15161
15162 cindex:[syslog,process name; setting]
15163 This option sets the syslog ``ident'' name, used when Exim is logging to syslog.
15164 The value must be no longer than 32 characters. See chapter <<CHAPlog>> for
15165 details of Exim's logging.
15166
15167
15168
15169 oindex:[%syslog_timestamp%]
15170 `..'=
15171 %syslog_timestamp%, Use: 'main', Type: 'boolean', Default: 'true'
15172 ===
15173
15174 cindex:[syslog,timestamps]
15175 If %syslog_timestamp% is set false, the timestamps on Exim's log lines are
15176 omitted when these lines are sent to syslog. See chapter <<CHAPlog>> for
15177 details of Exim's logging.
15178
15179
15180 oindex:[%system_filter%]
15181 `..'=
15182 %system_filter%, Use: 'main', Type: 'string'!!, Default: 'unset'
15183 ===
15184
15185 cindex:[filter,system filter]
15186 cindex:[system filter,specifying]
15187 cindex:[Sieve filter,not available for system filter]
15188 This option specifies an Exim filter file that is applied to all messages at
15189 the start of each delivery attempt, before any routing is done. System filters
15190 must be Exim filters; they cannot be Sieve filters. If the system filter
15191 generates any deliveries to files or pipes, or any new mail messages, the
15192 appropriate %system_filter_..._transport% option(s) must be set, to define
15193 which transports are to be used. Details of this facility are given in chapter
15194 <<CHAPsystemfilter>>.
15195
15196
15197 oindex:[%system_filter_directory_transport%]
15198 `..'=
15199 %system_filter_directory_transport%, Use: 'main', Type: 'string'!!, Default: 'unset'
15200 ===
15201
15202 cindex:[$address_file$]
15203 This sets the name of the transport driver that is to be used when the
15204 %save% command in a system message filter specifies a path ending in ``/'',
15205 implying delivery of each message into a separate file in some directory.
15206 During the delivery, the variable $address_file$ contains the path name.
15207
15208
15209 oindex:[%system_filter_file_transport%]
15210 `..'=
15211 %system_filter_file_transport%, Use: 'main', Type: 'string'!!, Default: 'unset'
15212 ===
15213
15214 cindex:[file,transport for system filter]
15215 This sets the name of the transport driver that is to be used when the %save%
15216 command in a system message filter specifies a path not ending in ``/''. During
15217 the delivery, the variable $address_file$ contains the path name.
15218
15219 oindex:[%system_filter_group%]
15220 `..'=
15221 %system_filter_group%, Use: 'main', Type: 'string', Default: 'unset'
15222 ===
15223
15224 cindex:[gid (group id),system filter]
15225 This option is used only when %system_filter_user% is also set. It sets the
15226 gid under which the system filter is run, overriding any gid that is associated
15227 with the user. The value may be numerical or symbolic.
15228
15229 oindex:[%system_filter_pipe_transport%]
15230 `..'=
15231 %system_filter_pipe_transport%, Use: 'main', Type: 'string'!!, Default: 'unset'
15232 ===
15233
15234 cindex:[^pipe^ transport,for system filter]
15235 cindex:[$address_pipe$]
15236 This specifies the transport driver that is to be used when a %pipe% command is
15237 used in a system filter. During the delivery, the variable $address_pipe$
15238 contains the pipe command.
15239
15240
15241 oindex:[%system_filter_reply_transport%]
15242 `..'=
15243 %system_filter_reply_transport%, Use: 'main', Type: 'string'!!, Default: 'unset'
15244 ===
15245
15246 cindex:[^autoreply^ transport,for system filter]
15247 This specifies the transport driver that is to be used when a %mail% command is
15248 used in a system filter.
15249
15250 oindex:[%system_filter_user%]
15251 `..'=
15252 %system_filter_user%, Use: 'main', Type: 'string', Default: 'unset'
15253 ===
15254
15255 cindex:[uid (user id),system filter]
15256 If this option is not set, the system filter is run in the main Exim delivery
15257 process, as root. When the option is set, the system filter runs in a separate
15258 process, as the given user. Unless the string consists entirely of digits, it
15259 is looked up in the password data. Failure to find the named user causes a
15260 configuration error. The gid is either taken from the password data, or
15261 specified by %system_filter_group%. When the uid is specified numerically,
15262 %system_filter_group% is required to be set.
15263
15264 If the system filter generates any pipe, file, or reply deliveries, the uid
15265 under which the filter is run is used when transporting them, unless a
15266 transport option overrides. Normally you should set %system_filter_user% if
15267 your system filter generates these kinds of delivery.
15268
15269
15270 oindex:[%tcp_nodelay%]
15271 `..'=
15272 %tcp_nodelay%, Use: 'main', Type: 'boolean', Default: 'true'
15273 ===
15274
15275 cindex:[daemon,TCP_NODELAY on sockets]
15276 cindex:[Nagle algorithm]
15277 cindex:[TCP_NODELAY on listening sockets]
15278 If this option is set false, it stops the Exim daemon setting the
15279 TCP_NODELAY option on its listening sockets. Setting TCP_NODELAY
15280 turns off the ``Nagle algorithm'', which is a way of improving network
15281 performance in interactive (character-by-character) situations. Turning it off
15282 should improve Exim's performance a bit, so that is what happens by default.
15283 However, it appears that some broken clients cannot cope, and time out. Hence
15284 this option. It affects only those sockets that are set up for listening by the
15285 daemon. Sockets created by the smtp transport for delivering mail always set
15286 TCP_NODELAY.
15287
15288
15289 oindex:[%timeout_frozen_after%]
15290 `..'=
15291 %timeout_frozen_after%, Use: 'main', Type: 'time', Default: '0s'
15292 ===
15293
15294 cindex:[frozen messages,timing out]
15295 cindex:[timeout,frozen messages]
15296 If %timeout_frozen_after% is set to a time greater than zero, a frozen
15297 message of any kind that has been on the queue for longer than the given
15298 time is automatically cancelled at the next queue run. If it is a bounce
15299 message, it is just discarded; otherwise, a bounce is sent to the sender, in a
15300 similar manner to cancellation by the %-Mg% command line option. If you want
15301 to timeout frozen bounce messages earlier than other kinds of frozen message,
15302 see %ignore_bounce_errors_after%.
15303
15304
15305 oindex:[%timezone%]
15306 `..'=
15307 %timezone%, Use: 'main', Type: 'string', Default: 'unset'
15308 ===
15309
15310 cindex:[timezone, setting]
15311 The value of %timezone% is used to set the environment variable TZ while
15312 running Exim (if it is different on entry). This ensures that all timestamps
15313 created by Exim are in the required timezone. If you want all your timestamps
15314 to be in UTC (aka GMT) you should set
15315
15316   timezone = UTC
15317
15318 The default value is taken from TIMEZONE_DEFAULT in _Local/Makefile_,
15319 or, if that is not set, from the value of the TZ environment variable when Exim
15320 is built. If %timezone% is set to the empty string, either at build or run
15321 time, any existing TZ variable is removed from the environment when Exim
15322 runs. This is appropriate behaviour for obtaining wall-clock time on some, but
15323 unfortunately not all, operating systems.
15324
15325
15326 oindex:[%tls_advertise_hosts%]
15327 `..'=
15328 %tls_advertise_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
15329 ===
15330
15331 cindex:[TLS,advertising]
15332 cindex:[encryption,on SMTP connection]
15333 cindex:[SMTP,encrypted connection]
15334 When Exim is built with support for TLS encrypted connections, the availability
15335 of the STARTTLS command to set up an encrypted session is advertised in
15336 response to EHLO only to those client hosts that match this option. See
15337 chapter <<CHAPTLS>> for details of Exim's support for TLS.
15338
15339
15340 oindex:[%tls_certificate%]
15341 `..'=
15342 %tls_certificate%, Use: 'main', Type: 'string'!!, Default: 'unset'
15343 ===
15344
15345 cindex:[TLS,server certificate; location of]
15346 cindex:[certificate for server, location of]
15347 The value of this option is expanded, and must then be the absolute path to a
15348 file which contains the server's certificates. The server's private key is also
15349 assumed to be in this file if %tls_privatekey% is unset. See chapter <<CHAPTLS>>
15350 for further details.
15351
15352 *Note*: The certificates defined by this option are used only when Exim is
15353 receiving incoming messages as a server. If you want to supply certificates for
15354 use when sending messages as a client, you must set the %tls_certificate%
15355 option in the relevant ^smtp^ transport.
15356
15357
15358 oindex:[%tls_crl%]
15359 `..'=
15360 %tls_crl%, Use: 'main', Type: 'string'!!, Default: 'unset'
15361 ===
15362
15363 cindex:[TLS,server certificate revocation list]
15364 cindex:[certificate,revocation list for server]
15365 This option specifies a certificate revocation list. The expanded value must
15366 be the name of a file that contains a CRL in PEM format.
15367
15368
15369 oindex:[%tls_dhparam%]
15370 `..'=
15371 %tls_dhparam%, Use: 'main', Type: 'string'!!, Default: 'unset'
15372 ===
15373
15374 cindex:[TLS,D-H parameters for server]
15375 The value of this option is expanded, and must then be the absolute path to
15376 a file which contains the server's DH parameter values.
15377 This is used only for OpenSSL. When Exim is linked with GnuTLS, this option is
15378 ignored. See section <<SECTopenvsgnu>> for further details.
15379
15380
15381 oindex:[%tls_on_connect_ports%]
15382 `..'=
15383 %tls_on_connect_ports%, Use: 'main', Type: 'string list', Default: 'unset'
15384 ===
15385
15386 This option specifies a list of incoming SSMTP (aka SMTPS) ports that should
15387 operate the obsolete SSMTP (SMTPS) protocol, where a TLS session is immediately
15388 set up without waiting for the client to issue a STARTTLS command. For
15389 further details, see section <<SECTsupobssmt>>.
15390
15391
15392
15393 oindex:[%tls_privatekey%]
15394 `..'=
15395 %tls_privatekey%, Use: 'main', Type: 'string'!!, Default: 'unset'
15396 ===
15397
15398 cindex:[TLS,server private key; location of]
15399 The value of this option is expanded, and must then be the absolute path to a
15400 file which contains the server's private key. If this option is unset, the
15401 private key is assumed to be in the same file as the server's certificates. See
15402 chapter <<CHAPTLS>> for further details.
15403
15404
15405 oindex:[%tls_remember_esmtp%]
15406 `..'=
15407 %tls_remember_esmtp%, Use: 'main', Type: 'boolean', Default: 'false'
15408 ===
15409
15410 cindex:[TLS,esmtp state; remembering]
15411 cindex:[TLS,broken clients]
15412 If this option is set true, Exim violates the RFCs by remembering that it is in
15413 ``esmtp'' state after successfully negotiating a TLS session. This provides
15414 support for broken clients that fail to send a new EHLO after starting a
15415 TLS session.
15416
15417
15418 oindex:[%tls_require_ciphers%]
15419 `..'=
15420 %tls_require_ciphers%, Use: 'main', Type: 'string'!!, Default: 'unset'
15421 ===
15422
15423 cindex:[TLS,requiring specific ciphers]
15424 cindex:[cipher,requiring specific]
15425 This option controls which ciphers can be used for incoming TLS connections.
15426 The ^smtp^ transport has an option of the same name for controlling outgoing
15427 connections. This option is expanded for each connection, so can be varied for
15428 different clients if required. The value of this option must be a list of
15429 permitted cipher suites. The OpenSSL and GnuTLS libraries handle cipher control
15430 in somewhat different ways.
15431
15432 If GnuTLS is being used, the client controls the preference order of the
15433 available ciphers.
15434
15435 Details are given in sections <<SECTreqciphssl>> and <<SECTreqciphgnu>>.
15436
15437
15438 oindex:[%tls_try_verify_hosts%]
15439 `..'=
15440 %tls_try_verify_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
15441 ===
15442
15443 cindex:[TLS,client certificate verification]
15444 cindex:[certificate,verification of client]
15445 See %tls_verify_hosts% below.
15446
15447
15448 oindex:[%tls_verify_certificates%]
15449 `..'=
15450 %tls_verify_certificates%, Use: 'main', Type: 'string'!!, Default: 'unset'
15451 ===
15452
15453 cindex:[TLS,client certificate verification]
15454 cindex:[certificate,verification of client]
15455 The value of this option is expanded, and must then be the absolute path to
15456 a file containing permitted certificates for clients that
15457 match %tls_verify_hosts% or %tls_try_verify_hosts%. Alternatively, if you
15458 are using OpenSSL, you can set %tls_verify_certificates% to the name of a
15459 directory containing certificate files. This does not work with GnuTLS; the
15460 option must be set to the name of a single file if you are using GnuTLS.
15461
15462
15463 oindex:[%tls_verify_hosts%]
15464 `..'=
15465 %tls_verify_hosts%, Use: 'main', Type: 'host list'!!, Default: 'unset'
15466 ===
15467
15468 cindex:[TLS,client certificate verification]
15469 cindex:[certificate,verification of client]
15470 This option, along with %tls_try_verify_hosts%, controls the checking of
15471 certificates from clients.
15472 The expected certificates are defined by %tls_verify_certificates%, which
15473 must be set. A configuration error occurs if either %tls_verify_hosts% or
15474 %tls_try_verify_hosts% is set and %tls_verify_certificates% is not set.
15475
15476 Any client that matches %tls_verify_hosts% is constrained by
15477 %tls_verify_certificates%. The client must present one of the listed
15478 certificates. If it does not, the connection is aborted.
15479
15480 A weaker form of checking is provided by %tls_try_verify_hosts%. If a client
15481 matches this option (but not %tls_verify_hosts%), Exim requests a
15482 certificate and checks it against %tls_verify_certificates%, but does not
15483 abort the connection if there is no certificate or if it does not match. This
15484 state can be detected in an ACL, which makes it possible to implement policies
15485 such as ``accept for relay only if a verified certificate has been received, but
15486 accept for local delivery if encrypted, even without a verified certificate''.
15487
15488 Client hosts that match neither of these lists are not asked to present
15489 certificates.
15490
15491
15492 oindex:[%trusted_groups%]
15493 `..'=
15494 %trusted_groups%, Use: 'main', Type: 'string list'!!, Default: 'unset'
15495 ===
15496
15497 [revisionflag="changed"]
15498 cindex:[trusted group]
15499 cindex:[group,trusted]
15500 This option is expanded just once, at the start of Exim's processing. If this
15501 option is set, any process that is running in one of the listed groups, or
15502 which has one of them as a supplementary group, is trusted. The groups can be
15503 specified numerically or by name. See section <<SECTtrustedadmin>> for details
15504 of what trusted callers are permitted to do. If neither %trusted_groups% nor
15505 %trusted_users% is set, only root and the Exim user are trusted.
15506
15507
15508 oindex:[%trusted_users%]
15509 `..'=
15510 %trusted_users%, Use: 'main', Type: 'string list'!!, Default: 'unset'
15511 ===
15512
15513 [revisionflag="changed"]
15514 cindex:[trusted user]
15515 cindex:[user,trusted]
15516 This option is expanded just once, at the start of Exim's processing. If this
15517 option is set, any process that is running as one of the listed users is
15518 trusted. The users can be specified numerically or by name. See section
15519 <<SECTtrustedadmin>> for details of what trusted callers are permitted to do.
15520 If neither %trusted_groups% nor %trusted_users% is set, only root and the Exim
15521 user are trusted.
15522
15523 oindex:[%unknown_login%]
15524 `..'=
15525 %unknown_login%, Use: 'main', Type: 'string'!!, Default: 'unset'
15526 ===
15527
15528 cindex:[uid (user id),unknown caller]
15529 cindex:[$caller_uid$]
15530 This is a specialized feature for use in unusual configurations. By default, if
15531 the uid of the caller of Exim cannot be looked up using 'getpwuid()', Exim
15532 gives up. The %unknown_login% option can be used to set a login name to be
15533 used in this circumstance. It is expanded, so values like %user\$caller_uid%
15534 can be set. When %unknown_login% is used, the value of %unknown_username% is
15535 used for the user's real name (gecos field), unless this has been set by the
15536 %-F% option.
15537
15538
15539 oindex:[%unknown_username%]
15540 `..'=
15541 %unknown_username%, Use: 'main', Type: 'string', Default: 'unset'
15542 ===
15543
15544 See %unknown_login%.
15545
15546
15547 oindex:[%untrusted_set_sender%]
15548 `..'=
15549 %untrusted_set_sender%, Use: 'main', Type: 'address list'!!, Default: 'unset'
15550 ===
15551
15552 cindex:[trusted user]
15553 cindex:[sender,setting by untrusted user]
15554 cindex:[untrusted user, setting sender]
15555 cindex:[user,untrusted setting sender]
15556 cindex:[envelope sender]
15557 When an untrusted user submits a message to Exim using the standard input, Exim
15558 normally creates an envelope sender address from the user's login and the
15559 default qualification domain. Data from the %-f% option (for setting envelope
15560 senders on non-SMTP messages) or the SMTP MAIL command (if %-bs% or %-bS%
15561 is used) is ignored.
15562
15563 However, untrusted users are permitted to set an empty envelope sender address,
15564 to declare that a message should never generate any bounces. For example:
15565
15566   exim -f '<>' user@domain.example
15567
15568 cindex:[$sender_ident$]
15569 The %untrusted_set_sender% option allows you to permit untrusted users to set
15570 other envelope sender addresses in a controlled way. When it is set, untrusted
15571 users are allowed to set envelope sender addresses that match any of the
15572 patterns in the list. Like all address lists, the string is expanded. The
15573 identity of the user is in $sender_ident$, so you can, for example, restrict
15574 users to setting senders that start with their login ids
15575 followed by a hyphen
15576 by a setting like this:
15577
15578   untrusted_set_sender = ^$sender_ident-
15579
15580 If you want to allow untrusted users to set envelope sender addresses without
15581 restriction, you can use
15582
15583   untrusted_set_sender = *
15584
15585 The %untrusted_set_sender% option applies to all forms of local input, but
15586 only to the setting of the envelope sender. It does not permit untrusted users
15587 to use the other options which trusted user can use to override message
15588 parameters. Furthermore, it does not stop Exim from removing an existing
15589 'Sender:' header in the message, or from adding a 'Sender:' header if
15590 necessary. See %local_sender_retain% and %local_from_check% for ways of
15591 overriding these actions. The handling of the 'Sender:' header is also
15592 described in section <<SECTthesenhea>>.
15593
15594 The log line for a message's arrival shows the envelope sender following ``<=''.
15595 For local messages, the user's login always follows, after ``U=''. In %-bp%
15596 displays, and in the Exim monitor, if an untrusted user sets an envelope sender
15597 address, the user's login is shown in parentheses after the sender address.
15598
15599
15600 oindex:[%uucp_from_pattern%]
15601 `..'=
15602 %uucp_from_pattern%, Use: 'main', Type: 'string', Default: 'see below'
15603 ===
15604
15605 cindex:[``From'' line]
15606 cindex:[UUCP,``From'' line]
15607 Some applications that pass messages to an MTA via a command line interface use
15608 an initial line starting with ``From'' to pass the envelope sender. In
15609 particular, this is used by UUCP software. Exim recognizes such a line by means
15610 of a regular expression that is set in %uucp_from_pattern%. When the pattern
15611 matches, the sender address is constructed by expanding the contents of
15612 %uucp_from_sender%, provided that the caller of Exim is a trusted user. The
15613 default pattern recognizes lines in the following two forms:
15614
15615      From ph10 Fri Jan  5 12:35 GMT 1996
15616      From ph10 Fri, 7 Jan 97 14:00:00 GMT
15617
15618 The pattern can be seen by running
15619
15620   exim -bP uucp_from_pattern
15621
15622 It checks only up to the hours and minutes, and allows for a 2-digit or 4-digit
15623 year in the second case. The first word after ``From'' is matched in the regular
15624 expression by a parenthesized subpattern. The default value for
15625 %uucp_from_sender% is ``$1'', which therefore just uses this first word
15626 (``ph10'' in the example above) as the message's sender. See also
15627 %ignore_fromline_hosts%.
15628
15629
15630 oindex:[%uucp_from_sender%]
15631 `..'=
15632 %uucp_from_sender%, Use: 'main', Type: 'string'!!, Default: `\$1`
15633 ===
15634
15635 See %uucp_from_pattern% above.
15636
15637
15638 oindex:[%warn_message_file%]
15639 `..'=
15640 %warn_message_file%, Use: 'main', Type: 'string', Default: 'unset'
15641 ===
15642
15643 cindex:[warning of delay,customizing the message]
15644 cindex:[customizing,warning message]
15645 This option defines a template file containing paragraphs of text to be used
15646 for constructing the warning message which is sent by Exim when a message has
15647 been on the queue for a specified amount of time, as specified by
15648 %delay_warning%. Details of the file's contents are given in chapter
15649 <<CHAPemsgcust>>. See also %bounce_message_file%.
15650
15651
15652 oindex:[%write_rejectlog%]
15653 `..'=
15654 %write_rejectlog%, Use: 'main', Type: 'boolean', Default: 'true'
15655 ===
15656
15657 cindex:[reject log,disabling]
15658 If this option is set false, Exim no longer writes anything to the reject log.
15659 See chapter <<CHAPlog>> for details of what Exim writes to its logs.
15660
15661
15662
15663
15664 ////////////////////////////////////////////////////////////////////////////
15665 ////////////////////////////////////////////////////////////////////////////
15666
15667 [[CHAProutergeneric]]
15668 Generic options for routers
15669 ---------------------------
15670 cindex:[options,generic; for routers]
15671 cindex:[generic options,router]
15672 This chapter describes the generic options that apply to all routers.
15673 Those that are preconditions are marked with !? in the ``use'' field.
15674
15675 For a general description of how a router operates, see sections
15676 <<SECTrunindrou>> and <<SECTrouprecon>>. The latter specifies the order in
15677 which the preconditions are tested. The order of expansion of the options that
15678 provide data for a transport is: %errors_to%, %headers_add%, %headers_remove%,
15679 %transport%.
15680
15681
15682
15683 oindex:[%address_data%]
15684 `..'=
15685 %address_data%, Use: 'routers', Type: 'string'!!, Default: 'unset'
15686 ===
15687
15688 [revisionflag="changed"]
15689 cindex:[router,data attached to address]
15690 The string is expanded just before the router is run, that is, after all the
15691 precondition tests have succeeded. If the expansion is forced to fail, the
15692 router declines, the value of %address_data% remains unchanged, and the %more%
15693 option controls what happens next. Other expansion failures cause delivery of
15694 the address to be deferred.
15695
15696 cindex:[$address_data$]
15697 When the expansion succeeds, the value is retained with the address, and can be
15698 accessed using the variable $address_data$ in the current router, subsequent
15699 routers, and the eventual transport.
15700
15701 *Warning*: if the current or any subsequent router is a ^redirect^ router
15702 that runs a user's filter file, the contents of $address_data$ are accessible
15703 in the filter. This is not normally a problem, because such data is usually
15704 either not confidential or it ``belongs'' to the current user, but if you do
15705 put confidential data into $address_data$ you need to remember this point.
15706
15707 Even if the router declines or passes, the value of $address_data$ remains
15708 with the address, though it can be changed by another %address_data% setting
15709 on a subsequent router. If a router generates child addresses, the value of
15710 $address_data$ propagates to them. This also applies to the special kind of
15711 ``child'' that is generated by a router with the %unseen% option.
15712
15713 The idea of %address_data% is that you can use it to look up a lot of data for
15714 the address once, and then pick out parts of the data later. For example, you
15715 could use a single LDAP lookup to return a string of the form
15716
15717   uid=1234 gid=5678 mailbox=/mail/xyz forward=/home/xyz/.forward
15718
15719 In the transport you could pick out the mailbox by a setting such as
15720
15721   file = ${extract{mailbox}{$address_data}}
15722
15723 This makes the configuration file less messy, and also reduces the number of
15724 lookups (though Exim does cache lookups).
15725
15726 The %address_data% facility is also useful as a means of passing information
15727 from one router to another, and from a router to a transport. In addition, if
15728
15729 cindex:[$sender_address_data$]
15730 cindex:[$address_data$]
15731 When $address_data$ is set by a router when verifying a recipient address from
15732 an ACL, it remains available for use in the rest of the ACL statement. After
15733 verifying a sender, the value is transferred to $sender_address_data$.
15734
15735
15736
15737
15738 oindex:[%address_test%]
15739 `..'=
15740 %address_test%, Use: 'routers'!?, Type: 'boolean', Default: 'true'
15741 ===
15742
15743 cindex:[%-bt% option]
15744 cindex:[router,skipping when address testing]
15745 If this option is set false, the router is skipped when routing is being tested
15746 by means of the %-bt% command line option. This can be a convenience when your
15747 first router sends messages to an external scanner, because it saves you
15748 having to set the ``already scanned'' indicator when testing real address
15749 routing.
15750
15751
15752
15753 oindex:[%cannot_route_message%]
15754 `..'=
15755 %cannot_route_message%, Use: 'routers', Type: 'string'!!, Default: 'unset'
15756 ===
15757
15758 cindex:[router,customizing ``cannot route'' message]
15759 cindex:[customizing,``cannot route'' message]
15760 This option specifies a text message that is used when an address cannot be
15761 routed because Exim has run out of routers. The default message is ``Unrouteable
15762 address''. This option is useful only on routers that have %more% set false, or
15763 on the very last router in a configuration, because the value that is used is
15764 taken from the last router that inspects an address. For example, using the
15765 default configuration, you could put:
15766
15767   cannot_route_message = Remote domain not found in DNS
15768
15769 on the first (^dnslookup^) router, and
15770
15771   cannot_route_message = Unknown local user
15772
15773 on the final router that checks for local users. If string expansion fails, the
15774 default message is used.
15775 Unless the expansion failure was explicitly forced, a message about the failure
15776 is written to the main and panic logs, in addition to the normal message about
15777 the routing failure.
15778
15779
15780 oindex:[%caseful_local_part%]
15781 `..'=
15782 %caseful_local_part%, Use: 'routers', Type: 'boolean', Default: 'false'
15783 ===
15784
15785 cindex:[case of local parts]
15786 cindex:[router,case of local parts]
15787 By default, routers handle the local parts of addresses in a case-insensitive
15788 manner, though the actual case is preserved for transmission with the message.
15789 If you want the case of letters to be significant in a router, you must set
15790 this option true. For individual router options that contain address or local
15791 part lists (for example, %local_parts%), case-sensitive matching can be turned
15792 on by ``+caseful'' as a list item. See section <<SECTcasletadd>> for more details.
15793
15794 cindex:[$local_part$]
15795 cindex:[$original_local_part$]
15796 cindex:[$parent_local_part$]
15797 The value of the $local_part$ variable is forced to lower case while a
15798 router is running unless %caseful_local_part% is set. When a router assigns
15799 an address to a transport, the value of $local_part$ when the transport runs
15800 is the same as it was in the router. Similarly, when a router generates child
15801 addresses by aliasing or forwarding, the values of $original_local_part$
15802 and $parent_local_part$ are those that were used by the redirecting router.
15803
15804 This option applies to the processing of an address by a router. When a
15805 recipient address is being processed in an ACL, there is a separate %control%
15806 modifier that can be used to specify case-sensitive processing within the ACL
15807 (see section <<SECTcontrols>>).
15808
15809
15810
15811 oindex:[%check_local_user%]
15812 `..'=
15813 %check_local_user%, Use: 'routers'!?, Type: 'boolean', Default: 'false'
15814 ===
15815
15816 cindex:[local user, checking in router]
15817 cindex:[router,checking for local user]
15818 cindex:[_/etc/passwd_]
15819 cindex:[$home$]
15820 When this option is true, Exim checks that the local part of the recipient
15821 address (with affixes removed if relevant) is the name of an account on the
15822 local system. The check is done by calling the 'getpwnam()' function rather
15823 than trying to read _/etc/passwd_ directly. This means that other methods of
15824 holding password data (such as NIS) are supported. If the local part is a local
15825 user, $home$ is set from the password data, and can be tested in other
15826 preconditions that are evaluated after this one (the order of evaluation is
15827 given in section <<SECTrouprecon>>). However, the value of $home$ can be
15828 overridden by %router_home_directory%. If the local part is not a local user,
15829 the router is skipped.
15830
15831 If you want to check that the local part is either the name of a local user
15832 or matches something else, you cannot combine %check_local_user% with a
15833 setting of %local_parts%, because that specifies the logical 'and' of the
15834 two conditions. However, you can use a ^passwd^ lookup in a %local_parts%
15835 setting to achieve this. For example:
15836
15837   local_parts = passwd;$local_part : lsearch;/etc/other/users
15838
15839 Note, however, that the side effects of %check_local_user% (such as setting
15840 up a home directory) do not occur when a ^passwd^ lookup is used in a
15841 %local_parts% (or any other) precondition.
15842
15843
15844
15845 oindex:[%condition%]
15846 `..'=
15847 %condition%, Use: 'routers'!?, Type: 'string'!!, Default: 'unset'
15848 ===
15849
15850 cindex:[router,customized precondition]
15851 This option specifies a general precondition test that has to succeed for the
15852 router to be called. The %condition% option is the last precondition to be
15853 evaluated (see section <<SECTrouprecon>>). The string is expanded, and if the
15854 result is a forced failure, or an empty string, or one of the strings ``0'' or
15855 ``no'' or ``false'' (checked without regard to the case of the letters), the router
15856 is skipped, and the address is offered to the next one.
15857
15858 If the result is any other value, the router is run (as this is the last
15859 precondition to be evaluated, all the other preconditions must be true).
15860
15861 The %condition% option provides a means of applying custom conditions to the
15862 running of routers. Note that in the case of a simple conditional expansion,
15863 the default expansion values are exactly what is wanted. For example:
15864
15865   condition = ${if >{$message_age}{600}}
15866
15867 Because of the default behaviour of the string expansion, this is equivalent to
15868
15869   condition = ${if >{$message_age}{600}{true}{}}
15870
15871
15872 If the expansion fails (other than forced failure) delivery is deferred. Some
15873 of the other precondition options are common special cases that could in fact
15874 be specified using %condition%.
15875
15876
15877
15878 oindex:[%debug_print%]
15879 `..'=
15880 %debug_print%, Use: 'routers', Type: 'string'!!, Default: 'unset'
15881 ===
15882
15883 cindex:[testing,variables in drivers]
15884 If this option is set and debugging is enabled (see the %-d% command line
15885 option), the string is expanded and included in the debugging output.
15886 If expansion of the string fails, the error message is written to the debugging
15887 output, and Exim carries on processing.
15888 This option is provided to help with checking out the values of variables and
15889 so on when debugging router configurations. For example, if a %condition%
15890 option appears not to be working, %debug_print% can be used to output the
15891 variables it references. The output happens after checks for %domains%,
15892 %local_parts%, and %check_local_user% but before any other preconditions are
15893 tested. A newline is added to the text if it does not end with one.
15894
15895
15896
15897 oindex:[%disable_logging%]
15898 `..'=
15899 %disable_logging%, Use: 'routers', Type: 'boolean', Default: 'false'
15900 ===
15901
15902 If this option is set true, nothing is logged for any routing errors
15903 or for any deliveries caused by this router. You should not set this option
15904 unless you really, really know what you are doing. See also the generic
15905 transport option of the same name.
15906
15907
15908 oindex:[%domains%]
15909 `..'=
15910 %domains%, Use: 'routers'!?, Type: 'domain list'!!, Default: 'unset'
15911 ===
15912
15913 cindex:[router,restricting to specific domains]
15914 cindex:[$domain_data$]
15915 If this option is set, the router is skipped unless the current domain matches
15916 the list. If the match is achieved by means of a file lookup, the data that the
15917 lookup returned for the domain is placed in $domain_data$ for use in string
15918 expansions of the driver's private options. See section <<SECTrouprecon>> for a
15919 list of the order in which preconditions are evaluated.
15920
15921
15922
15923 oindex:[%driver%]
15924 `..'=
15925 %driver%, Use: 'routers', Type: 'string', Default: 'unset'
15926 ===
15927
15928 This option must always be set. It specifies which of the available routers is
15929 to be used.
15930
15931
15932
15933 oindex:[%errors_to%]
15934 `..'=
15935 %errors_to%, Use: 'routers', Type: 'string'!!, Default: 'unset'
15936 ===
15937
15938 cindex:[envelope sender]
15939 cindex:[router,changing address for errors]
15940 If a router successfully handles an address, it may queue the address for
15941 delivery or it may generate child addresses. In both cases, if there is a
15942 delivery problem during later processing, the resulting bounce message is sent
15943 to the address that results from expanding this string, provided that the
15944 address verifies successfully.
15945 %errors_to% is expanded before %headers_add%, %headers_remove%, and
15946 %transport%.
15947
15948 If the option is unset, or the expansion is forced to fail, or the result of
15949 the expansion fails to verify, the errors address associated with the incoming
15950 address is used. At top level, this is the envelope sender. A non-forced
15951 expansion failure causes delivery to be deferred.
15952
15953 If an address for which %errors_to% has been set ends up being delivered over
15954 SMTP, the envelope sender for that delivery is the %errors_to% value, so that
15955 any bounces that are generated by other MTAs on the delivery route are also
15956 sent there. The most common use of %errors_to% is probably to direct mailing
15957 list bounces to the manager of the list, as described in section
15958 <<SECTmailinglists>>.
15959
15960 The %errors_to% setting associated with an address can be overridden if it
15961 subsequently passes through other routers that have their own %errors_to%
15962 settings,
15963 or if it is delivered by a transport with a %return_path% setting.
15964
15965 You can set %errors_to% to the empty string by either of these settings:
15966
15967   errors_to =
15968   errors_to = ""
15969
15970 An expansion item that yields an empty string has the same effect. If you do
15971 this, a locally detected delivery error for addresses processed by this router
15972 no longer gives rise to a bounce message; the error is discarded. If the
15973 address is delivered to a remote host, the return path is set to `<>`, unless
15974 overridden by the %return_path% option on the transport.
15975
15976 cindex:[$address_data$]
15977 If for some reason you want to discard local errors, but use a non-empty
15978 MAIL command for remote delivery, you can preserve the original return
15979 path in $address_data$ in the router, and reinstate it in the transport by
15980 setting %return_path%.
15981
15982
15983
15984 oindex:[%expn%]
15985 `..'=
15986 %expn%, Use: 'routers'!?, Type: 'boolean', Default: 'true'
15987 ===
15988
15989 cindex:[address,testing]
15990 cindex:[testing,addresses]
15991 cindex:[EXPN,router skipping]
15992 cindex:[router,skipping for EXPN]
15993 If this option is turned off, the router is skipped when testing an address
15994 as a result of processing an SMTP EXPN command. You might, for example,
15995 want to turn it off on a router for users' _.forward_ files, while leaving it
15996 on for the system alias file.
15997 See section <<SECTrouprecon>> for a list of the order in which preconditions
15998 are evaluated.
15999
16000 The use of the SMTP EXPN command is controlled by an ACL (see chapter
16001 <<CHAPACL>>). When Exim is running an EXPN command, it is similar to testing
16002 an address with %-bt%. Compare VRFY, whose counterpart is %-bv%.
16003
16004
16005
16006 oindex:[%fail_verify%]
16007 `..'=
16008 %fail_verify%, Use: 'routers', Type: 'boolean', Default: 'false'
16009 ===
16010
16011 cindex:[router,forcing verification failure]
16012 Setting this option has the effect of setting both %fail_verify_sender% and
16013 %fail_verify_recipient% to the same value.
16014
16015
16016
16017 oindex:[%fail_verify_recipient%]
16018 `..'=
16019 %fail_verify_recipient%, Use: 'routers', Type: 'boolean', Default: 'false'
16020 ===
16021
16022 If this option is true and an address is accepted by this router when
16023 verifying a recipient, verification fails.
16024
16025
16026
16027 oindex:[%fail_verify_sender%]
16028 `..'=
16029 %fail_verify_sender%, Use: 'routers', Type: 'boolean', Default: 'false'
16030 ===
16031
16032 If this option is true and an address is accepted by this router when
16033 verifying a sender, verification fails.
16034
16035
16036
16037 oindex:[%fallback_hosts%]
16038 `..'=
16039 %fallback_hosts%, Use: 'routers', Type: 'string list', Default: 'unset'
16040 ===
16041
16042 [revisionflag="changed"]
16043 cindex:[router,fallback hosts]
16044 cindex:[fallback,hosts specified on router]
16045 String expansion is not applied to this option. The argument must be a
16046 colon-separated list of host names or IP addresses. The list separator can be
16047 changed (see section <<SECTlistconstruct>>), and a port can be specified with
16048 each name or address. In fact, the format of each item is exactly the same as
16049 defined for the list of hosts in a ^manualroute^ router (see section
16050 <<SECTformatonehostitem>>).
16051
16052 If a router queues an address for a remote transport, this host list is
16053 associated with the address, and used instead of the transport's fallback host
16054 list. If %hosts_randomize% is set on the transport, the order of the list is
16055 randomized for each use. See the %fallback_hosts% option of the ^smtp^
16056 transport for further details.
16057
16058
16059 oindex:[%group%]
16060 `..'=
16061 %group%, Use: 'routers', Type: 'string'!!, Default: 'see below'
16062 ===
16063
16064 cindex:[gid (group id),local delivery]
16065 cindex:[local transports,uid and gid]
16066 cindex:[transport,local]
16067 cindex:[router,setting group]
16068 When a router queues an address for a transport, and the transport does not
16069 specify a group, the group given here is used when running the delivery
16070 process.
16071 The group may be specified numerically or by name. If expansion fails, the
16072 error is logged and delivery is deferred.
16073 The default is unset, unless %check_local_user% is set, when the default
16074 is taken from the password information. See also %initgroups% and %user% and
16075 the discussion in chapter <<CHAPenvironment>>.
16076
16077
16078
16079 oindex:[%headers_add%]
16080 `..'=
16081 %headers_add%, Use: 'routers', Type: 'string'!!, Default: 'unset'
16082 ===
16083
16084 cindex:[header lines,adding]
16085 cindex:[router,adding header lines]
16086 This option specifies a string of text that is expanded at routing time, and
16087 associated with any addresses that are accepted by the router. However, this
16088 option has no effect when an address is just being verified. The way in which
16089 the text is used to add header lines at transport time is described in section
16090 <<SECTheadersaddrem>>.
16091
16092 The %headers_add% option is expanded after %errors_to%, but before
16093 %headers_remove% and %transport%. If the expanded string is empty, or if the
16094 expansion is forced to fail, the option has no effect. Other expansion failures
16095 are treated as configuration errors.
16096
16097 *Warning 1*: The %headers_add% option cannot be used for a ^redirect^
16098 router that has the %one_time% option set.
16099
16100 [revisionflag="changed"]
16101 *Warning 2*: If the %unseen% option is set on the router, all header additions
16102 are deleted when the address is passed on to subsequent routers.
16103
16104
16105
16106
16107 oindex:[%headers_remove%]
16108 `..'=
16109 %headers_remove%, Use: 'routers', Type: 'string'!!, Default: 'unset'
16110 ===
16111
16112 cindex:[header lines,removing]
16113 cindex:[router,removing header lines]
16114 This option specifies a string of text that is expanded at routing time, and
16115 associated with any addresses that are accepted by the router. However, this
16116 option has no effect when an address is just being verified. The way in which
16117 the text is used to remove header lines at transport time is described in
16118 section <<SECTheadersaddrem>>.
16119
16120 The %headers_remove% option is expanded after %errors_to% and %headers_add%,
16121 but before %transport%. If the expansion is forced to fail, the option has no
16122 effect. Other expansion failures are treated as configuration errors.
16123
16124 *Warning 1*: The %headers_remove% option cannot be used for a ^redirect^
16125 router that has the %one_time% option set.
16126
16127 [revisionflag="changed"]
16128 *Warning 2*: If the %unseen% option is set on the router, all header removal
16129 requests are deleted when the address is passed on to subsequent routers.
16130
16131
16132
16133 oindex:[%ignore_target_hosts%]
16134 `..'=
16135 %ignore_target_hosts%, Use: 'routers', Type: 'host list'!!, Default: 'unset'
16136 ===
16137
16138 cindex:[IP address,discarding]
16139 cindex:[router,discarding IP addresses]
16140 Although this option is a host list, it should normally contain IP address
16141 entries rather than names. If any host that is looked up by the router has an
16142 IP address that matches an item in this list, Exim behaves as if that IP
16143 address did not exist. This option allows you to cope with rogue DNS entries
16144 like
16145
16146   remote.domain.example.  A  127.0.0.1
16147
16148 by setting
16149
16150   ignore_target_hosts = 127.0.0.1
16151
16152 on the relevant router. If all the hosts found by a ^dnslookup^ router are
16153 discarded in this way, the router declines. In a conventional configuration, an
16154 attempt to mail to such a domain would normally provoke the ``unrouteable
16155 domain'' error, and an attempt to verify an address in the domain would fail.
16156
16157 Similarly, if %ignore_target_hosts% is set on an ^ipliteral^ router, the
16158 router declines if presented with one of the listed addresses.
16159
16160 This option may also be useful for ignoring link-local and site-local IPv6
16161 addresses. Because, like all host lists, the value of %ignore_target_hosts%
16162 is expanded before use as a list, it is possible to make it dependent on the
16163 domain that is being routed.
16164
16165 cindex:[$host_address$]
16166 During its expansion, $host_address$ is set to the IP address that is being
16167 checked.
16168
16169 oindex:[%initgroups%]
16170 `..'=
16171 %initgroups%, Use: 'routers', Type: 'boolean', Default: 'false'
16172 ===
16173
16174 cindex:[additional groups]
16175 cindex:[groups, additional]
16176 cindex:[local transports,uid and gid]
16177 cindex:[transport,local]
16178 If the router queues an address for a transport, and this option is true, and
16179 the uid supplied by the router is not overridden by the transport, the
16180 'initgroups()' function is called when running the transport to ensure that
16181 any additional groups associated with the uid are set up. See also %group% and
16182 %user% and the discussion in chapter <<CHAPenvironment>>.
16183
16184
16185
16186 oindex:[%local_part_prefix%]
16187 `..'=
16188 %local_part_prefix%, Use: 'routers'!?, Type: 'string list', Default: 'unset'
16189 ===
16190
16191 cindex:[router,prefix for local part]
16192 cindex:[prefix,for local part; used in router]
16193 If this option is set, the router is skipped unless the local part starts with
16194 one of the given strings, or %local_part_prefix_optional% is true. See section
16195 <<SECTrouprecon>> for a list of the order in which preconditions are evaluated.
16196
16197 The list is scanned from left to right, and the first prefix that matches is
16198 used. A limited form of wildcard is available; if the prefix begins with an
16199 asterisk, it matches the longest possible sequence of arbitrary characters at
16200 the start of the local part. An asterisk should therefore always be followed by
16201 some character that does not occur in normal local parts.
16202 cindex:[multiple mailboxes]
16203 cindex:[mailbox,multiple]
16204 Wildcarding can be used to set up multiple user mailboxes, as described in
16205 section <<SECTmulbox>>.
16206
16207 [revisionflag="changed"]
16208 cindex:[$local_part$]
16209 cindex:[$local_part_prefix$]
16210 During the testing of the %local_parts% option, and while the router is
16211 running, the prefix is removed from the local part, and is available in the
16212 expansion variable $local_part_prefix$. When a message is being delivered, if
16213 the router accepts the address, this remains true during subsequent delivery by
16214 a transport. In particular, the local part that is transmitted in the RCPT
16215 command for LMTP, SMTP, and BSMTP deliveries has the prefix removed by default.
16216 This behaviour can be overridden by setting %rcpt_include_affixes% true on the
16217 relevant transport.
16218
16219 [revisionflag="changed"]
16220 When an address is being verified, %local_part_prefix% affects only the
16221 behaviour of the router. If the callout feature of verification is in use, this
16222 means that the full address, including the prefix, will be used during the
16223 callout.
16224
16225 The prefix facility is commonly used to handle local parts of the form
16226 %owner-something%. Another common use is to support local parts of the form
16227 %real-username% to bypass a user's _.forward_ file -- helpful when trying to
16228 tell a user their forwarding is broken -- by placing a router like this one
16229 immediately before the router that handles _.forward_ files:
16230
16231   real_localuser:
16232     driver = accept
16233     local_part_prefix = real-
16234     check_local_user
16235     transport = local_delivery
16236
16237 If both %local_part_prefix% and %local_part_suffix% are set for a router,
16238 both conditions must be met if not optional. Care must be taken if wildcards
16239 are used in both a prefix and a suffix on the same router. Different
16240 separator characters must be used to avoid ambiguity.
16241
16242
16243 oindex:[%local_part_prefix_optional%]
16244 `..'=
16245 %local_part_prefix_optional%, Use: 'routers', Type: 'boolean', Default: 'false'
16246 ===
16247
16248 See %local_part_prefix% above.
16249
16250
16251
16252 oindex:[%local_part_suffix%]
16253 `..'=
16254 %local_part_suffix%, Use: 'routers'!?, Type: 'string list', Default: 'unset'
16255 ===
16256
16257 cindex:[router,suffix for local part]
16258 cindex:[suffix for local part, used in router]
16259 This option operates in the same way as %local_part_prefix%, except that the
16260 local part must end (rather than start) with the given string, the
16261 %local_part_suffix_optional% option determines whether the suffix is
16262 mandatory, and the wildcard \* character, if present, must be the last
16263 character of the suffix. This option facility is commonly used to handle local
16264 parts of the form %something-request% and multiple user mailboxes of the form
16265 %username-foo%.
16266
16267
16268 oindex:[%local_part_suffix_optional%]
16269 `..'=
16270 %local_part_suffix_optional%, Use: 'routers', Type: 'boolean', Default: 'false'
16271 ===
16272
16273 See %local_part_suffix% above.
16274
16275
16276
16277 oindex:[%local_parts%]
16278 `..'=
16279 %local_parts%, Use: 'routers'!?, Type: 'local part list'!!, Default: 'unset'
16280 ===
16281
16282 cindex:[router,restricting to specific local parts]
16283 cindex:[local part,checking in router]
16284 The router is run only if the local part of the address matches the list.
16285 See section <<SECTrouprecon>> for a list of the order in which preconditions
16286 are evaluated, and
16287 section <<SECTlocparlis>> for a discussion of local part lists. Because the
16288 string is expanded, it is possible to make it depend on the domain, for
16289 example:
16290
16291   local_parts = dbm;/usr/local/specials/$domain
16292
16293 cindex:[$local_part_data$]
16294 If the match is achieved by a lookup, the data that the lookup returned
16295 for the local part is placed in the variable $local_part_data$ for use in
16296 expansions of the router's private options. You might use this option, for
16297 example, if you have a large number of local virtual domains, and you want to
16298 send all postmaster mail to the same place without having to set up an alias in
16299 each virtual domain:
16300
16301   postmaster:
16302     driver = redirect
16303     local_parts = postmaster
16304     data = postmaster@real.domain.example
16305
16306
16307
16308
16309 oindex:[%log_as_local%]
16310 `..'=
16311 %log_as_local%, Use: 'routers', Type: 'boolean', Default: 'see below'
16312 ===
16313
16314 cindex:[log,delivery line]
16315 cindex:[delivery,log line format]
16316 Exim has two logging styles for delivery, the idea being to make local
16317 deliveries stand out more visibly from remote ones. In the ``local'' style, the
16318 recipient address is given just as the local part, without a domain. The use of
16319 this style is controlled by this option. It defaults to true for the ^accept^
16320 router, and false for all the others.
16321
16322
16323
16324 oindex:[%more%]
16325 `..'=
16326 %more%, Use: 'routers', Type: 'boolean'!!, Default: 'true'
16327 ===
16328
16329 The result of string expansion for this option must be a valid boolean value,
16330 that is, one of the strings ``yes'', ``no'', ``true'', or ``false''. Any other
16331 result causes an error, and delivery is deferred. If the expansion is forced to
16332 fail, the default value for the option (true) is used. Other failures cause
16333 delivery to be deferred.
16334
16335 If this option is set false, and the router declines to handle the address, no
16336 further routers are tried, routing fails, and the address is bounced.
16337 cindex:[%self% option] However, if the router explicitly passes an address to
16338 the following router by means of the setting
16339
16340   self = pass
16341
16342 or otherwise, the setting of %more% is ignored. Also, the setting of %more%
16343 does not affect the behaviour if one of the precondition tests fails. In that
16344 case, the address is always passed to the next router.
16345
16346 [revisionflag="changed"]
16347 Note that %address_data% is not considered to be a precondition. If its
16348 expansion is forced to fail, the router declines, and the value of %more%
16349 controls what happens next.
16350
16351
16352
16353 oindex:[%pass_on_timeout%]
16354 `..'=
16355 %pass_on_timeout%, Use: 'routers', Type: 'boolean', Default: 'false'
16356 ===
16357
16358 cindex:[timeout,of router]
16359 cindex:[router,timeout]
16360 If a router times out during a host lookup, it normally causes deferral of the
16361 address. If %pass_on_timeout% is set, the address is passed on to the next
16362 router, overriding %no_more%. This may be helpful for systems that are
16363 intermittently connected to the Internet, or those that want to pass to a smart
16364 host any messages that cannot immediately be delivered.
16365
16366 There are occasional other temporary errors that can occur while doing DNS
16367 lookups. They are treated in the same way as a timeout, and this option
16368 applies to all of them.
16369
16370
16371
16372 oindex:[%pass_router%]
16373 `..'=
16374 %pass_router%, Use: 'routers', Type: 'string', Default: 'unset'
16375 ===
16376
16377 cindex:[router,go to after ``pass'']
16378 When a router returns ``pass'', the address is normally handed on to the next
16379 router in sequence. This can be changed by setting %pass_router% to the name
16380 of another router. However (unlike %redirect_router%) the named router must be
16381 below the current router, to avoid loops. Note that this option applies only to
16382 the special case of ``pass''. It does not apply when a router returns ``decline''.
16383
16384
16385
16386 oindex:[%redirect_router%]
16387 `..'=
16388 %redirect_router%, Use: 'routers', Type: 'string', Default: 'unset'
16389 ===
16390
16391 cindex:[router,start at after redirection]
16392 Sometimes an administrator knows that it is pointless to reprocess addresses
16393 generated from alias or forward files with the same router again. For
16394 example, if an alias file translates real names into login ids there is no
16395 point searching the alias file a second time, especially if it is a large file.
16396
16397 The %redirect_router% option can be set to the name of any router instance. It
16398 causes the routing of any generated addresses to start at the named router
16399 instead of at the first router. This option has no effect if the router in
16400 which it is set does not generate new addresses.
16401
16402
16403
16404 oindex:[%require_files%]
16405 `..'=
16406 %require_files%, Use: 'routers'!?, Type: 'string list'!!, Default: 'unset'
16407 ===
16408
16409 cindex:[file,requiring for router]
16410 cindex:[router,requiring file existence]
16411 This option provides a general mechanism for predicating the running of a
16412 router on the existence or non-existence of certain files or directories.
16413 Before running a router, as one of its precondition tests, Exim works its way
16414 through the %require_files% list, expanding each item separately.
16415
16416 Because the list is split before expansion, any colons in expansion items must
16417 be doubled, or the facility for using a different list separator must be used.
16418 If any expansion is forced to fail, the item is ignored. Other expansion
16419 failures cause routing of the address to be deferred.
16420
16421 If any expanded string is empty, it is ignored. Otherwise, except as described
16422 below, each string must be a fully qualified file path, optionally preceded by
16423 ``!''. The paths are passed to the 'stat()' function to test for the existence
16424 of the files or directories. The router is skipped if any paths not preceded by
16425 ``!'' do not exist, or if any paths preceded by ``!'' do exist.
16426
16427 cindex:[NFS]
16428 If 'stat()' cannot determine whether a file exists or not, delivery of
16429 the message is deferred. This can happen when NFS-mounted filesystems are
16430 unavailable.
16431
16432 This option is checked after the %domains%, %local_parts%, and %senders%
16433 options, so you cannot use it to check for the existence of a file in which to
16434 look up a domain, local part, or sender. (See section <<SECTrouprecon>> for a
16435 full list of the order in which preconditions are evaluated.) However, as
16436 these options are all expanded, you can use the %exists% expansion condition to
16437 make such tests. The %require_files% option is intended for checking files
16438 that the router may be going to use internally, or which are needed by a
16439 transport (for example _.procmailrc_).
16440
16441 During delivery, the 'stat()' function is run as root, but there is a
16442 facility for some checking of the accessibility of a file by another user.
16443 This is not a proper permissions check, but just a ``rough'' check that
16444 operates as follows:
16445
16446 If an item in a %require_files% list does not contain any forward slash
16447 characters, it is taken to be the user (and optional group, separated by a
16448 comma) to be checked for subsequent files in the list. If no group is specified
16449 but the user is specified symbolically, the gid associated with the uid is
16450 used. For example:
16451
16452   require_files = mail:/some/file
16453   require_files = $local_part:$home/.procmailrc
16454
16455 If a user or group name in a %require_files% list does not exist, the
16456 %require_files% condition fails.
16457
16458 Exim performs the check by scanning along the components of the file path, and
16459 checking the access for the given uid and gid. It checks for ``x'' access on
16460 directories, and ``r'' access on the final file. Note that this means that file
16461 access control lists, if the operating system has them, are ignored.
16462
16463 *Warning 1*: When the router is being run to verify addresses for an
16464 incoming SMTP message, Exim is not running as root, but under its own uid. This
16465 may affect the result of a %require_files% check. In particular, 'stat()'
16466 may yield the error EACCES (``Permission denied''). This means that the Exim
16467 user is not permitted to read one of the directories on the file's path.
16468
16469 *Warning 2*: Even when Exim is running as root while delivering a message,
16470 'stat()' can yield EACCES for a file in an NFS directory that is mounted
16471 without root access.
16472
16473 In this case, if a check for access by a particular user is requested, Exim
16474 creates a subprocess that runs as that user, and tries the check again in that
16475 process.
16476
16477 The default action for handling an unresolved EACCES is to consider it to
16478 be caused by a configuration error,
16479
16480 and routing is deferred because the existence or non-existence of the file
16481 cannot be determined. However, in some circumstances it may be desirable to
16482 treat this condition as if the file did not exist. If the file name (or the
16483 exclamation mark that precedes the file name for non-existence) is preceded by
16484 a plus sign, the EACCES error is treated as if the file did not exist. For
16485 example:
16486
16487   require_files = +/some/file
16488
16489 If the router is not an essential part of verification (for example, it
16490 handles users' _.forward_ files), another solution is to set the %verify%
16491 option false so that the router is skipped when verifying.
16492
16493
16494
16495 oindex:[%retry_use_local_part%]
16496 `..'=
16497 %retry_use_local_part%, Use: 'routers', Type: 'boolean', Default: 'see below'
16498 ===
16499
16500 cindex:[hints database,retry keys]
16501 cindex:[local part,in retry keys]
16502 When a delivery suffers a temporary routing failure, a retry record is created
16503 in Exim's hints database. For addresses whose routing depends only on the
16504 domain, the key for the retry record should not involve the local part, but for
16505 other addresses, both the domain and the local part should be included.
16506 Usually, remote routing is of the former kind, and local routing is of the
16507 latter kind.
16508
16509 This option controls whether the local part is used to form the key for retry
16510 hints for addresses that suffer temporary errors while being handled by this
16511 router. The default value is true for any router that has %check_local_user%
16512 set, and false otherwise. Note that this option does not apply to hints keys
16513 for transport delays; they are controlled by a generic transport option of the
16514 same name.
16515
16516 The setting of %retry_use_local_part% applies only to the router on which it
16517 appears. If the router generates child addresses, they are routed
16518 independently; this setting does not become attached to them.
16519
16520
16521
16522 oindex:[%router_home_directory%]
16523 `..'=
16524 %router_home_directory%, Use: 'routers', Type: 'string'!!, Default: 'unset'
16525 ===
16526
16527 cindex:[router,home directory for]
16528 cindex:[home directory,for router]
16529 cindex:[$home$]
16530 This option sets a home directory for use while the router is running. (Compare
16531 %transport_home_directory%, which sets a home directory for later
16532 transporting.) In particular, if used on a ^redirect^ router, this option
16533 sets a value for $home$ while a filter is running. The value is expanded;
16534 forced expansion failure causes the option to be ignored -- other failures
16535 cause the router to defer.
16536
16537 Expansion of %router_home_directory% happens immediately after the
16538 %check_local_user% test (if configured), before any further expansions take
16539 place.
16540 (See section <<SECTrouprecon>> for a list of the order in which preconditions
16541 are evaluated.)
16542 While the router is running, %router_home_directory% overrides the value of
16543 $home$ that came from %check_local_user%.
16544
16545 When a router accepts an address and routes it to a transport (including the
16546 cases when a redirect router generates a pipe, file, or autoreply delivery),
16547 the home directory setting for the transport is taken from the first of these
16548 values that is set:
16549
16550 - The %home_directory% option on the transport;
16551
16552 - The %transport_home_directory% option on the router;
16553
16554 - The password data if %check_local_user% is set on the router;
16555
16556 - The %router_home_directory% option on the router.
16557
16558 In other words, %router_home_directory% overrides the password data for the
16559 router, but not for the transport.
16560
16561
16562
16563 oindex:[%self%]
16564 `..'=
16565 %self%, Use: 'routers', Type: 'string', Default: 'freeze'
16566 ===
16567
16568 cindex:[MX record,pointing to local host]
16569 cindex:[local host,MX pointing to]
16570 This option applies to those routers that use a recipient address to find a
16571 list of remote hosts. Currently, these are the ^dnslookup^, ^ipliteral^,
16572 and ^manualroute^ routers.
16573 Certain configurations of the ^queryprogram^ router can also specify a list
16574 of remote hosts.
16575 Usually such routers are configured to send the message to a remote host via an
16576 ^smtp^ transport. The %self% option specifies what happens when the first
16577 host on the list turns out to be the local host.
16578 The way in which Exim checks for the local host is described in section
16579 <<SECTreclocipadd>>.
16580
16581 Normally this situation indicates either an error in Exim's configuration (for
16582 example, the router should be configured not to process this domain), or an
16583 error in the DNS (for example, the MX should not point to this host). For this
16584 reason, the default action is to log the incident, defer the address, and
16585 freeze the message. The following alternatives are provided for use in special
16586 cases:
16587
16588 %defer%::
16589 Delivery of the message is tried again later, but the message is not frozen.
16590
16591 %reroute%: <'domain'>::
16592 The domain is changed to the given domain, and the address is passed back to
16593 be reprocessed by the routers. No rewriting of headers takes place. This
16594 behaviour is essentially a redirection.
16595
16596 %reroute: rewrite:% <'domain'>::
16597 The domain is changed to the given domain, and the address is passed back to be
16598 reprocessed by the routers. Any headers that contain the original domain are
16599 rewritten.
16600
16601 %pass%::
16602 The router passes the address to the next router, or to the router named in the
16603 %pass_router% option if it is set.
16604 cindex:[%more% option]
16605 This overrides %no_more%.
16606 +
16607 cindex:[$self_hostname$]
16608 During subsequent routing and delivery, the variable $self_hostname$ contains
16609 the name of the local host that the router encountered. This can be used to
16610 distinguish between different cases for hosts with multiple names. The
16611 combination
16612
16613   self = pass
16614   no_more
16615 +
16616 ensures that only those addresses that routed to the local host are passed on.
16617 Without %no_more%, addresses that were declined for other reasons would also
16618 be passed to the next router.
16619
16620 %fail%::
16621 Delivery fails and an error report is generated.
16622
16623 %send%::
16624 cindex:[local host,sending to]
16625 The anomaly is ignored and the address is queued for the transport. This
16626 setting should be used with extreme caution. For an ^smtp^ transport, it makes
16627 sense only in cases where the program that is listening on the SMTP port is not
16628 this version of Exim. That is, it must be some other MTA, or Exim with a
16629 different configuration file that handles the domain in another way.
16630
16631
16632
16633 oindex:[%senders%]
16634 `..'=
16635 %senders%, Use: 'routers'!?, Type: 'address list'!!, Default: 'unset'
16636 ===
16637
16638 cindex:[router,checking senders]
16639 If this option is set, the router is skipped unless the message's sender
16640 address matches something on the list.
16641 See section <<SECTrouprecon>> for a list of the order in which preconditions
16642 are evaluated.
16643
16644 There are issues concerning verification when the running of routers is
16645 dependent on the sender. When Exim is verifying the address in an %errors_to%
16646 setting, it sets the sender to the null string. When using the %-bt% option to
16647 check a configuration file, it is necessary also to use the %-f% option to set
16648 an appropriate sender. For incoming mail, the sender is unset when verifying
16649 the sender, but is available when verifying any recipients. If the SMTP
16650 VRFY command is enabled, it must be used after MAIL if the sender
16651 address matters.
16652
16653
16654 oindex:[%translate_ip_address%]
16655 `..'=
16656 %translate_ip_address%, Use: 'routers', Type: 'string'!!, Default: 'unset'
16657 ===
16658
16659 cindex:[IP address,translating]
16660 cindex:[packet radio]
16661 cindex:[router,IP address translation]
16662 There exist some rare networking situations (for example, packet radio) where
16663 it is helpful to be able to translate IP addresses generated by normal routing
16664 mechanisms into other IP addresses, thus performing a kind of manual IP
16665 routing. This should be done only if the normal IP routing of the TCP/IP stack
16666 is inadequate or broken. Because this is an extremely uncommon requirement, the
16667 code to support this option is not included in the Exim binary unless
16668 SUPPORT_TRANSLATE_IP_ADDRESS=yes is set in _Local/Makefile_.
16669
16670 cindex:[$host_address$]
16671 The %translate_ip_address% string is expanded for every IP address generated
16672 by the router, with the generated address set in $host_address$. If the
16673 expansion is forced to fail, no action is taken.
16674 For any other expansion error, delivery of the message is deferred.
16675 If the result of the expansion is an IP address, that replaces the original
16676 address; otherwise the result is assumed to be a host name -- this is looked up
16677 using 'gethostbyname()' (or 'getipnodebyname()' when available) to produce
16678 one or more replacement IP addresses. For example, to subvert all IP addresses
16679 in some specific networks, this could be added to a router:
16680
16681 ....
16682 translate_ip_address = \
16683   ${lookup{${mask:$host_address/26}}lsearch{/some/file}{$value}fail}}
16684 ....
16685
16686 The file would contain lines like
16687
16688   10.2.3.128/26    some.host
16689   10.8.4.34/26     10.44.8.15
16690
16691 You should not make use of this facility unless you really understand what you
16692 are doing.
16693
16694
16695
16696 oindex:[%transport%]
16697 `..'=
16698 %transport%, Use: 'routers', Type: 'string'!!, Default: 'unset'
16699 ===
16700
16701 This option specifies the transport to be used when a router accepts an address
16702 and sets it up for delivery. A transport is never needed if a router is used
16703 only for verification. The value of the option is expanded at routing time,
16704 after the expansion of %errors_to%, %headers_add%, and %headers_remove%, and
16705 result must be the name of one of the configured transports. If it is not,
16706 delivery is deferred.
16707
16708 The %transport% option is not used by the ^redirect^ router, but it does have
16709 some private options that set up transports for pipe and file deliveries (see
16710 chapter <<CHAPredirect>>).
16711
16712
16713
16714 oindex:[%transport_current_directory%]
16715 `..'=
16716 %transport_current_directory%, Use: 'routers', Type: 'string'!!, Default: 'unset'
16717 ===
16718
16719 cindex:[current directory for local transport]
16720 This option associates a current directory with any address that is routed
16721 to a local transport. This can happen either because a transport is
16722 explicitly configured for the router, or because it generates a delivery to a
16723 file or a pipe. During the delivery process (that is, at transport time), this
16724 option string is expanded and is set as the current directory, unless
16725 overridden by a setting on the transport.
16726 If the expansion fails for any reason, including forced failure, an error is
16727 logged, and delivery is deferred.
16728 See chapter <<CHAPenvironment>> for details of the local delivery environment.
16729
16730
16731
16732
16733 oindex:[%transport_home_directory%]
16734 `..'=
16735 %transport_home_directory%, Use: 'routers', Type: 'string'!!, Default: 'see below'
16736 ===
16737
16738 cindex:[home directory,for local transport]
16739 This option associates a home directory with any address that is routed to a
16740 local transport. This can happen either because a transport is explicitly
16741 configured for the router, or because it generates a delivery to a file or a
16742 pipe. During the delivery process (that is, at transport time), the option
16743 string is expanded and is set as the home directory, unless overridden by a
16744 setting of %home_directory% on the transport.
16745 If the expansion fails for any reason, including forced failure, an error is
16746 logged, and delivery is deferred.
16747
16748 If the transport does not specify a home directory, and
16749 %transport_home_directory% is not set for the router, the home directory for
16750 the tranport is taken from the password data if %check_local_user% is set for
16751 the router. Otherwise it is taken from %router_home_directory% if that option
16752 is set; if not, no home directory is set for the transport.
16753
16754 See chapter <<CHAPenvironment>> for further details of the local delivery
16755 environment.
16756
16757
16758
16759
16760 oindex:[%unseen%]
16761 `..'=
16762 %unseen%, Use: 'routers', Type: 'boolean'!!, Default: 'false'
16763 ===
16764
16765 cindex:[router,carrying on after success]
16766 The result of string expansion for this option must be a valid boolean value,
16767 that is, one of the strings ``yes'', ``no'', ``true'', or ``false''. Any other
16768 result causes an error, and delivery is deferred. If the expansion is forced to
16769 fail, the default value for the option (false) is used. Other failures cause
16770 delivery to be deferred.
16771
16772 When this option is set true, routing does not cease if the router accepts the
16773 address. Instead, a copy of the incoming address is passed to the next router,
16774 overriding a false setting of %more%. There is little point in setting %more%
16775 false if %unseen% is always true, but it may be useful in cases when the value
16776 of %unseen% contains expansion items (and therefore, presumably, is sometimes
16777 true and sometimes false).
16778
16779 [revisionflag="changed"]
16780 cindex:[copy of message (%unseen% option)]
16781 The %unseen% option can be used to cause copies of messages to be delivered to
16782 some other destination, while also carrying out a normal delivery. In effect,
16783 the current address is made into a ``parent'' that has two children -- one that
16784 is delivered as specified by this router, and a clone that goes on to be routed
16785 further. For this reason, %unseen% may not be combined with the %one_time%
16786 option in a ^redirect^ router.
16787
16788 *Warning*: Header lines added to the address (or specified for removal) by this
16789 router or by previous routers affect the ``unseen'' copy of the message only.
16790 The clone that continues to be processed by further routers starts with no
16791 added headers and none specified for removal. However, any data that was set by
16792 the %address_data% option in the current or previous routers is passed on.
16793 Setting the %unseen% option has a similar effect to the %unseen% command
16794 qualifier in filter files.
16795
16796
16797
16798 oindex:[%user%]
16799 `..'=
16800 %user%, Use: 'routers', Type: 'string'!!, Default: 'see below'
16801 ===
16802
16803 cindex:[uid (user id),local delivery]
16804 cindex:[local transports,uid and gid]
16805 cindex:[transport,local]
16806 cindex:[router,user for filter processing]
16807 cindex:[filter,user for processing]
16808 When a router queues an address for a transport, and the transport does not
16809 specify a user, the user given here is used when running the delivery process.
16810 The user may be specified numerically or by name. If expansion fails, the
16811 error is logged and delivery is deferred.
16812 This user is also used by the ^redirect^ router when running a filter file.
16813 The default is unset, except when %check_local_user% is set. In this case,
16814 the default is taken from the password information. If the user is specified as
16815 a name, and %group% is not set, the group associated with the user is used. See
16816 also %initgroups% and %group% and the discussion in chapter <<CHAPenvironment>>.
16817
16818
16819
16820 oindex:[%verify%]
16821 `..'=
16822 %verify%, Use: 'routers'!?, Type: 'boolean', Default: 'true'
16823 ===
16824
16825 Setting this option has the effect of setting %verify_sender% and
16826 %verify_recipient% to the same value.
16827
16828
16829 oindex:[%verify_only%]
16830 `..'=
16831 %verify_only%, Use: 'routers'!?, Type: 'boolean', Default: 'false'
16832 ===
16833
16834 cindex:[EXPN,with %verify_only%]
16835 cindex:[%-bv% option]
16836 cindex:[router,used only when verifying]
16837 If this option is set, the router is used only when verifying an address or
16838 testing with the %-bv% option, not when actually doing a delivery, testing
16839 with the %-bt% option, or running the SMTP EXPN command. It can be further
16840 restricted to verifying only senders or recipients by means of %verify_sender%
16841 and %verify_recipient%.
16842
16843 *Warning*: When the router is being run to verify addresses for an incoming
16844 SMTP message, Exim is not running as root, but under its own uid. If the router
16845 accesses any files, you need to make sure that they are accessible to the Exim
16846 user or group.
16847
16848
16849 oindex:[%verify_recipient%]
16850 `..'=
16851 %verify_recipient%, Use: 'routers'!?, Type: 'boolean', Default: 'true'
16852 ===
16853
16854 If this option is false, the router is skipped when verifying recipient
16855 addresses
16856 or testing recipient verification using %-bv%.
16857 See section <<SECTrouprecon>> for a list of the order in which preconditions
16858 are evaluated.
16859
16860
16861 oindex:[%verify_sender%]
16862 `..'=
16863 %verify_sender%, Use: 'routers'!?, Type: 'boolean', Default: 'true'
16864 ===
16865
16866 If this option is false, the router is skipped when verifying sender addresses
16867 or testing sender verification using %-bvs%.
16868 See section <<SECTrouprecon>> for a list of the order in which preconditions
16869 are evaluated.
16870
16871
16872
16873
16874
16875
16876 ////////////////////////////////////////////////////////////////////////////
16877 ////////////////////////////////////////////////////////////////////////////
16878
16879 The accept router
16880 -----------------
16881 cindex:[^accept^ router]
16882 cindex:[routers,^accept^]
16883 The ^accept^ router has no private options of its own. Unless it is being used
16884 purely for verification (see %verify_only%) a transport is required to be
16885 defined by the generic %transport% option. If the preconditions that are
16886 specified by generic options are met, the router accepts the address and queues
16887 it for the given transport. The most common use of this router is for setting
16888 up deliveries to local mailboxes. For example:
16889
16890   localusers:
16891     driver = accept
16892     domains = mydomain.example
16893     check_local_user
16894     transport = local_delivery
16895
16896 The %domains% condition in this example checks the domain of the address, and
16897 %check_local_user% checks that the local part is the login of a local user.
16898 When both preconditions are met, the ^accept^ router runs, and queues the
16899 address for the ^local_delivery^ transport.
16900
16901
16902
16903
16904
16905
16906 ////////////////////////////////////////////////////////////////////////////
16907 ////////////////////////////////////////////////////////////////////////////
16908
16909 [[CHAPdnslookup]]
16910 The dnslookup router
16911 --------------------
16912 cindex:[^dnslookup^ router]
16913 cindex:[routers,^dnslookup^]
16914 The ^dnslookup^ router looks up the hosts that handle mail for the
16915 recipient's domain in the DNS. A transport must always be set for this router,
16916 unless %verify_only% is set.
16917
16918 If SRV support is configured (see %check_srv% below), Exim first searches for
16919 SRV records. If none are found, or if SRV support is not configured,
16920 MX records are looked up. If no MX records exist, address records are sought.
16921 However, %mx_domains% can be set to disable the direct use of address records.
16922
16923 MX records of equal priority are sorted by Exim into a random order. Exim then
16924 looks for address records for the host names obtained from MX or SRV records.
16925 When a host has more than one IP address, they are sorted into a random order,
16926 except that IPv6 addresses are always sorted before IPv4 addresses. If all the
16927 IP addresses found are discarded by a setting of the %ignore_target_hosts%
16928 generic option, the router declines.
16929
16930 Unless they have the highest priority (lowest MX value), MX records that point
16931 to the local host, or to any host name that matches %hosts_treat_as_local%,
16932 are discarded, together with any other MX records of equal or lower priority.
16933
16934 cindex:[MX record,pointing to local host]
16935 cindex:[local host,MX pointing to]
16936 cindex:[%self% option,in ^dnslookup^ router]
16937 If the host pointed to by the highest priority MX record, or looked up as an
16938 address record, is the local host, or matches %hosts_treat_as_local%, what
16939 happens is controlled by the generic %self% option.
16940
16941
16942 [[SECTprowitdnsloo]]
16943 Problems with DNS lookups
16944 ~~~~~~~~~~~~~~~~~~~~~~~~~
16945 There have been problems with DNS servers when SRV records are looked up.
16946 Some mis-behaving servers return a DNS error or timeout when a non-existent
16947 SRV record is sought. Similar problems have in the past been reported for
16948 MX records. The global %dns_again_means_nonexist% option can help with this
16949 problem, but it is heavy-handed because it is a global option.
16950
16951 For this reason, there are two options, %srv_fail_domains% and
16952 %mx_fail_domains%, that control what happens when a DNS lookup in a
16953 ^dnslookup^ router results in a DNS failure or a ``try again'' response. If an
16954 attempt to look up an SRV or MX record causes one of these results, and the
16955 domain matches the relevant list, Exim behaves as if the DNS had responded ``no
16956 such record''. In the case of an SRV lookup, this means that the router proceeds
16957 to look for MX records; in the case of an MX lookup, it proceeds to look for A
16958 or AAAA records, unless the domain matches %mx_domains%, in which case routing
16959 fails.
16960
16961
16962
16963
16964 Private options for dnslookup
16965 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
16966 cindex:[options,^dnslookup^ router]
16967 The private options for the ^dnslookup^ router are as follows:
16968
16969 oindex:[%check_secondary_mx%]
16970 `..'=
16971 %check_secondary_mx%, Use: 'dnslookup', Type: 'boolean', Default: 'false'
16972 ===
16973
16974 cindex:[MX record,checking for secondary]
16975 If this option is set, the router declines unless the local host is found in
16976 (and removed from) the list of hosts obtained by MX lookup. This can be used to
16977 process domains for which the local host is a secondary mail exchanger
16978 differently to other domains. The way in which Exim decides whether a host is
16979 the local host is described in section <<SECTreclocipadd>>.
16980
16981
16982 oindex:[%check_srv%]
16983 `..'=
16984 %check_srv%, Use: 'dnslookup', Type: 'string'!!, Default: 'unset'
16985 ===
16986
16987 cindex:[SRV record,enabling use of]
16988 The ^dnslookup^ router supports the use of SRV records (see RFC 2782) in
16989 addition to MX and address records. The support is disabled by default. To
16990 enable SRV support, set the %check_srv% option to the name of the service
16991 required. For example,
16992
16993   check_srv = smtp
16994
16995 looks for SRV records that refer to the normal smtp service. The option is
16996 expanded, so the service name can vary from message to message or address
16997 to address. This might be helpful if SRV records are being used for a
16998 submission service. If the expansion is forced to fail, the %check_srv%
16999 option is ignored, and the router proceeds to look for MX records in the
17000 normal way.
17001
17002 When the expansion succeeds, the router searches first for SRV records for
17003 the given service (it assumes TCP protocol). A single SRV record with a
17004 host name that consists of just a single dot indicates ``no such service for
17005 this domain''; if this is encountered, the router declines. If other kinds of
17006 SRV record are found, they are used to construct a host list for delivery
17007 according to the rules of RFC 2782. MX records are not sought in this case.
17008
17009 When no SRV records are found, MX records (and address records) are sought in
17010 the traditional way. In other words, SRV records take precedence over MX
17011 records, just as MX records take precedence over address records. Note that
17012 this behaviour is not sanctioned by RFC 2782, though a previous draft RFC
17013 defined it. It is apparently believed that MX records are sufficient for email
17014 and that SRV records should not be used for this purpose. However, SRV records
17015 have an additional ``weight'' feature which some people might find useful when
17016 trying to split an SMTP load between hosts of different power.
17017
17018 See section <<SECTprowitdnsloo>> above for a discussion of Exim's behaviour when
17019 there is a DNS lookup error.
17020
17021
17022
17023 oindex:[%mx_domains%]
17024 `..'=
17025 %mx_domains%, Use: 'dnslookup', Type: 'domain list'!!, Default: 'unset'
17026 ===
17027
17028 cindex:[MX record,required to exist]
17029 cindex:[SRV record,required to exist]
17030 A domain that matches %mx_domains% is required to have either an MX or an SRV
17031 record in order to be recognised. (The name of this option could be improved.)
17032 For example, if all the mail hosts in 'fict.example' are known to have MX
17033 records, except for those in 'discworld.fict.example', you could use this
17034 setting:
17035
17036   mx_domains = ! *.discworld.fict.example : *.fict.example
17037
17038 This specifies that messages addressed to a domain that matches the list but
17039 has no MX record should be bounced immediately instead of being routed using
17040 the address record.
17041
17042
17043 oindex:[%mx_fail_domains%]
17044 `..'=
17045 %mx_fail_domains%, Use: 'dnslookup', Type: 'domain list'!!, Default: 'unset'
17046 ===
17047
17048 If the DNS lookup for MX records for one of the domains in this list causes a
17049 DNS lookup error, Exim behaves as if no MX records were found. See section
17050 <<SECTprowitdnsloo>> for more discussion.
17051
17052
17053
17054
17055 oindex:[%qualify_single%]
17056 `..'=
17057 %qualify_single%, Use: 'dnslookup', Type: 'boolean', Default: 'true'
17058 ===
17059
17060 cindex:[DNS,resolver options]
17061 cindex:[DNS,qualifying single-component names]
17062 When this option is true, the resolver option RES_DEFNAMES is set for DNS
17063 lookups. Typically, but not standardly, this causes the resolver to qualify
17064 single-component names with the default domain. For example, on a machine
17065 called 'dictionary.ref.example', the domain 'thesaurus' would be changed to
17066 'thesaurus.ref.example' inside the resolver. For details of what your resolver
17067 actually does, consult your man pages for 'resolver' and 'resolv.conf'.
17068
17069
17070
17071 oindex:[%rewrite_headers%]
17072 `..'=
17073 %rewrite_headers%, Use: 'dnslookup', Type: 'boolean', Default: 'true'
17074 ===
17075
17076 cindex:[rewriting,header lines]
17077 cindex:[header lines,rewriting]
17078 If the domain name in the address that is being processed is not fully
17079 qualified, it may be expanded to its full form by a DNS lookup. For example, if
17080 an address is specified as 'dormouse@teaparty', the domain might be
17081 expanded to 'teaparty.wonderland.fict.example'. Domain expansion can also
17082 occur as a result of setting the %widen_domains% option. If %rewrite_headers%
17083 is true, all occurrences of the abbreviated domain name in any 'Bcc:', 'Cc:',
17084 'From:', 'Reply-to:', 'Sender:', and 'To:' header lines of the message are
17085 rewritten with the full domain name.
17086
17087 This option should be turned off only when it is known that no message is
17088 ever going to be sent outside an environment where the abbreviation makes
17089 sense.
17090
17091 When an MX record is looked up in the DNS and matches a wildcard record, name
17092 servers normally return a record containing the name that has been looked up,
17093 making it impossible to detect whether a wildcard was present or not. However,
17094 some name servers have recently been seen to return the wildcard entry. If the
17095 name returned by a DNS lookup begins with an asterisk, it is not used for
17096 header rewriting.
17097
17098
17099 oindex:[%same_domain_copy_routing%]
17100 `..'=
17101 %same_domain_copy_routing%, Use: 'dnslookup', Type: 'boolean', Default: 'false'
17102 ===
17103
17104 cindex:[address,copying routing]
17105 Addresses with the same domain are normally routed by the ^dnslookup^ router
17106 to the same list of hosts. However, this cannot be presumed, because the router
17107 options and preconditions may refer to the local part of the address. By
17108 default, therefore, Exim routes each address in a message independently. DNS
17109 servers run caches, so repeated DNS lookups are not normally expensive, and in
17110 any case, personal messages rarely have more than a few recipients.
17111
17112 If you are running mailing lists with large numbers of subscribers at the same
17113 domain, and you are using a ^dnslookup^ router which is independent of the
17114 local part, you can set %same_domain_copy_routing% to bypass repeated DNS
17115 lookups for identical domains in one message. In this case, when ^dnslookup^
17116 routes an address to a remote transport, any other unrouted addresses in the
17117 message that have the same domain are automatically given the same routing
17118 without processing them independently,
17119 provided the following conditions are met:
17120
17121 - No router that processed the address specified %headers_add% or
17122 %headers_remove%.
17123
17124 - The router did not change the address in any way, for example, by ``widening''
17125 the domain.
17126
17127
17128
17129
17130 oindex:[%search_parents%]
17131 `..'=
17132 %search_parents%, Use: 'dnslookup', Type: 'boolean', Default: 'false'
17133 ===
17134
17135 cindex:[DNS,resolver options]
17136 When this option is true, the resolver option RES_DNSRCH is set for DNS
17137 lookups. This is different from the %qualify_single% option in that it applies
17138 to domains containing dots. Typically, but not standardly, it causes the
17139 resolver to search for the name in the current domain and in parent domains.
17140 For example, on a machine in the 'fict.example' domain, if looking up
17141 'teaparty.wonderland' failed, the resolver would try
17142 'teaparty.wonderland.fict.example'. For details of what your resolver
17143 actually does, consult your man pages for 'resolver' and 'resolv.conf'.
17144
17145 Setting this option true can cause problems in domains that have a wildcard MX
17146 record, because any domain that does not have its own MX record matches the
17147 local wildcard.
17148
17149
17150
17151 oindex:[%srv_fail_domains%]
17152 `..'=
17153 %srv_fail_domains%, Use: 'dnslookup', Type: 'domain list'!!, Default: 'unset'
17154 ===
17155
17156 If the DNS lookup for SRV records for one of the domains in this list causes a
17157 DNS lookup error, Exim behaves as if no SRV records were found. See section
17158 <<SECTprowitdnsloo>> for more discussion.
17159
17160
17161
17162
17163 oindex:[%widen_domains%]
17164 `..'=
17165 %widen_domains%, Use: 'dnslookup', Type: 'string list', Default: 'unset'
17166 ===
17167
17168 cindex:[domain,partial; widening]
17169 If a DNS lookup fails and this option is set, each of its strings in turn is
17170 added onto the end of the domain, and the lookup is tried again. For example,
17171 if
17172
17173   widen_domains = fict.example:ref.example
17174
17175 is set and a lookup of 'klingon.dictionary' fails,
17176 'klingon.dictionary.fict.example' is looked up, and if this fails,
17177 'klingon.dictionary.ref.example' is tried. Note that the %qualify_single%
17178 and %search_parents% options can cause some widening to be undertaken inside
17179 the DNS resolver.
17180
17181 [revisionflag="changed"]
17182 %widen_domains% is not applied to sender addresses when verifying, unless
17183 %rewrite_headers% is false (not the default).
17184
17185
17186
17187 Effect of qualify_single and search_parents
17188 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
17189 When a domain from an envelope recipient is changed by the resolver as a result
17190 of the %qualify_single% or %search_parents% options, Exim rewrites the
17191 corresponding address in the message's header lines unless %rewrite_headers%
17192 is set false. Exim then re-routes the address, using the full domain.
17193
17194 These two options affect only the DNS lookup that takes place inside the router
17195 for the domain of the address that is being routed. They do not affect lookups
17196 such as that implied by
17197
17198   domains = @mx_any
17199
17200 that may happen while processing a router precondition before the router is
17201 entered. No widening ever takes place for these lookups.
17202
17203
17204
17205
17206
17207
17208
17209
17210
17211 ////////////////////////////////////////////////////////////////////////////
17212 ////////////////////////////////////////////////////////////////////////////
17213
17214 The ipliteral router
17215 --------------------
17216 cindex:[^ipliteral^ router]
17217 cindex:[domain literal,routing]
17218 cindex:[routers,^ipliteral^]
17219 This router has no private options. Unless it is being used purely for
17220 verification (see %verify_only%) a transport is required to be defined by the
17221 generic %transport% option. The router accepts the address if its domain part
17222 takes the form of an RFC 2822 domain literal, that is, an IP address enclosed
17223 in square brackets. For example, this router handles the address
17224
17225   root@[192.168.1.1]
17226
17227 by setting up delivery to the host with that IP address.
17228
17229 cindex:[%self% option,in ^ipliteral^ router]
17230 If the IP address matches something in %ignore_target_hosts%, the router
17231 declines. If an IP literal turns out to refer to the local host, the generic
17232 %self% option determines what happens.
17233
17234 The RFCs require support for domain literals; however, their use is
17235 controversial in today's Internet. If you want to use this router, you must
17236 also set the main configuration option %allow_domain_literals%. Otherwise,
17237 Exim will not recognize the domain literal syntax in addresses.
17238
17239
17240
17241 ////////////////////////////////////////////////////////////////////////////
17242 ////////////////////////////////////////////////////////////////////////////
17243
17244 The iplookup router
17245 -------------------
17246 cindex:[^iplookup^ router]
17247 cindex:[routers,^iplookup^]
17248 The ^iplookup^ router was written to fulfil a specific requirement in
17249 Cambridge University (which in fact no longer exists). For this reason, it is
17250 not included in the binary of Exim by default. If you want to include it, you
17251 must set
17252
17253   ROUTER_IPLOOKUP=yes
17254
17255 in your _Local/Makefile_ configuration file.
17256
17257 The ^iplookup^ router routes an address by sending it over a TCP or UDP
17258 connection to one or more specific hosts. The host can then return the same or
17259 a different address -- in effect rewriting the recipient address in the
17260 message's envelope. The new address is then passed on to subsequent routers. If
17261 this process fails, the address can be passed on to other routers, or delivery
17262 can be deferred.
17263
17264 Background, for those that are interested: We have an Oracle database of all
17265 Cambridge users, and one of the items of data it maintains for each user is
17266 where to send mail addressed to 'user@cam.ac.uk'. The MX records for
17267 'cam.ac.uk' point to a central machine that has a large alias list that is
17268 abstracted from the database. Mail from outside is switched by this system, and
17269 originally internal mail was also done this way. However, this resulted in a
17270 fair number of messages travelling from some of our larger systems to the
17271 switch and back again. The Oracle machine now runs a UDP service that can be
17272 called by the ^iplookup^ router in Exim to find out where 'user@cam.ac.uk'
17273 addresses really have to go; this saves passing through the central switch, and
17274 in many cases saves doing any remote delivery at all.
17275
17276 Since ^iplookup^ is just a rewriting router, a transport must not be
17277 specified for it.
17278 cindex:[options,^iplookup^ router]
17279
17280
17281 oindex:[%hosts%]
17282 `..'=
17283 %hosts%, Use: 'iplookup', Type: 'string', Default: 'unset'
17284 ===
17285
17286 This option must be supplied. Its value is a colon-separated list of host
17287 names. The hosts are looked up using 'gethostbyname()'
17288 (or 'getipnodebyname()' when available)
17289 and are tried in order until one responds to the query. If none respond, what
17290 happens is controlled by %optional%.
17291
17292
17293 oindex:[%optional%]
17294 `..'=
17295 %optional%, Use: 'iplookup', Type: 'boolean', Default: 'false'
17296 ===
17297
17298 If %optional% is true, if no response is obtained from any host, the address is
17299 passed to the next router, overriding %no_more%. If %optional% is false,
17300 delivery to the address is deferred.
17301
17302
17303 oindex:[%port%]
17304 `..'=
17305 %port%, Use: 'iplookup', Type: 'integer', Default: '0'
17306 ===
17307
17308 cindex:[port,^iplookup^ router]
17309 This option must be supplied. It specifies the port number for the TCP or UDP
17310 call.
17311
17312
17313 oindex:[%protocol%]
17314 `..'=
17315 %protocol%, Use: 'iplookup', Type: 'string', Default: 'udp'
17316 ===
17317
17318 This option can be set to ``udp'' or ``tcp'' to specify which of the two protocols
17319 is to be used.
17320
17321
17322 oindex:[%query%]
17323 `..'=
17324 %query%, Use: 'iplookup', Type: 'string'!!, Default: `\$local_part@\$domain \$local_part@\$domain`
17325 ===
17326
17327 This defines the content of the query that is sent to the remote hosts. The
17328 repetition serves as a way of checking that a response is to the correct query
17329 in the default case (see %response_pattern% below).
17330
17331
17332 oindex:[%reroute%]
17333 `..'=
17334 %reroute%, Use: 'iplookup', Type: 'string'!!, Default: 'unset'
17335 ===
17336
17337 If this option is not set, the rerouted address is precisely the byte string
17338 returned by the remote host, up to the first white space, if any. If set, the
17339 string is expanded to form the rerouted address. It can include parts matched
17340 in the response by %response_pattern% by means of numeric variables such as
17341 $1$, $2$, etc. The variable $0$ refers to the entire input string,
17342 whether or not a pattern is in use. In all cases, the rerouted address must end
17343 up in the form 'local_part@domain'.
17344
17345
17346 oindex:[%response_pattern%]
17347 `..'=
17348 %response_pattern%, Use: 'iplookup', Type: 'string', Default: 'unset'
17349 ===
17350
17351 This option can be set to a regular expression that is applied to the string
17352 returned from the remote host. If the pattern does not match the response, the
17353 router declines. If %response_pattern% is not set, no checking of the response
17354 is done, unless the query was defaulted, in which case there is a check that
17355 the text returned after the first white space is the original address. This
17356 checks that the answer that has been received is in response to the correct
17357 question. For example, if the response is just a new domain, the following
17358 could be used:
17359
17360   response_pattern = ^([^@]+)$
17361   reroute = $local_part@$1
17362
17363
17364
17365 oindex:[%timeout%]
17366 `..'=
17367 %timeout%, Use: 'iplookup', Type: 'time', Default: '5s'
17368 ===
17369
17370 This specifies the amount of time to wait for a response from the remote
17371 machine. The same timeout is used for the 'connect()' function for a TCP
17372 call. It does not apply to UDP.
17373
17374
17375
17376
17377 ////////////////////////////////////////////////////////////////////////////
17378 ////////////////////////////////////////////////////////////////////////////
17379
17380 The manualroute router
17381 ----------------------
17382 cindex:[^manualroute^ router]
17383 cindex:[routers,^manualroute^]
17384 cindex:[domain,manually routing]
17385 The ^manualroute^ router is so-called because it provides a way of manually
17386 routing an address according to its domain. It is mainly used when you want to
17387 route addresses to remote hosts according to your own rules, bypassing the
17388 normal DNS routing that looks up MX records. However, ^manualroute^ can also
17389 route to local transports, a facility that may be useful if you want to save
17390 messages for dial-in hosts in local files.
17391
17392 The ^manualroute^ router compares a list of domain patterns with the domain it
17393 is trying to route. If there is no match, the router declines. Each pattern has
17394 associated with it a list of hosts and some other optional data, which may
17395 include a transport. The combination of a pattern and its data is called a
17396 ``routing rule''. For patterns that do not have an associated transport, the
17397 generic %transport% option must specify a transport, unless the router is being
17398 used purely for verification (see %verify_only%).
17399
17400 cindex:[$host$]
17401 In the case of verification, matching the domain pattern is sufficient for the
17402 router to accept the address. When actually routing an address for delivery,
17403 an address that matches a domain pattern is queued for the associated
17404 transport. If the transport is not a local one, a host list must be associated
17405 with the pattern; IP addresses are looked up for the hosts, and these are
17406 passed to the transport along with the mail address. For local transports, a
17407 host list is optional. If it is present, it is passed in $host$ as a single
17408 text string.
17409
17410 The list of routing rules can be provided as an inline string in %route_list%,
17411 or the data can be obtained by looking up the domain in a file or database by
17412 setting %route_data%. Only one of these settings may appear in any one
17413 instance of ^manualroute^. The format of routing rules is described below,
17414 following the list of private options.
17415
17416
17417 [[SECTprioptman]]
17418 Private options for manualroute
17419 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
17420
17421 cindex:[options,^manualroute^ router]
17422 The private options for the ^manualroute^ router are as follows:
17423
17424
17425 oindex:[%host_find_failed%]
17426 `..'=
17427 %host_find_failed%, Use: 'manualroute', Type: 'string', Default: 'freeze'
17428 ===
17429
17430 This option controls what happens when ^manualroute^ tries to find an IP
17431 address for a host, and the host does not exist. The option can be set to one
17432 of
17433
17434   decline
17435   defer
17436   fail
17437   freeze
17438   pass
17439
17440 The default assumes that this state is a serious configuration error. The
17441 difference between ``pass'' and ``decline'' is that the former forces the address
17442 to be passed to the next router (or the router defined by %pass_router%),
17443 cindex:[%more% option]
17444 overriding %no_more%, whereas the latter passes the address to the next router
17445 only if %more% is true.
17446
17447 This option applies only to a definite ``does not exist'' state; if a host lookup
17448 gets a temporary error, delivery is deferred unless the generic
17449 %pass_on_timeout% option is set.
17450
17451
17452 oindex:[%hosts_randomize%]
17453 `..'=
17454 %hosts_randomize%, Use: 'manualroute', Type: 'boolean', Default: 'false'
17455 ===
17456
17457 cindex:[randomized host list]
17458 cindex:[host,list of; randomized]
17459 If this option is set, the order of the items in a host list in a routing rule
17460 is randomized each time the list is used, unless an option in the routing rule
17461 overrides (see below). Randomizing the order of a host list can be used to do
17462 crude load sharing. However, if more than one mail address is routed by the
17463 same router to the same host list, the host lists are considered to be the same
17464 (even though they may be randomized into different orders) for the purpose of
17465 deciding whether to batch the deliveries into a single SMTP transaction.
17466
17467 When %hosts_randomize% is true, a host list may be split
17468 into groups whose order is separately randomized. This makes it possible to
17469 set up MX-like behaviour. The boundaries between groups are indicated by an
17470 item that is just `+` in the host list. For example:
17471
17472   route_list = * host1:host2:host3:+:host4:host5
17473
17474 The order of the first three hosts and the order of the last two hosts is
17475 randomized for each use, but the first three always end up before the last two.
17476 If %hosts_randomize% is not set, a `+` item in the list is ignored. If a
17477 randomized host list is passed to an ^smtp^ transport that also has
17478 %hosts_randomize set%, the list is not re-randomized.
17479
17480
17481 oindex:[%route_data%]
17482 `..'=
17483 %route_data%, Use: 'manualroute', Type: 'string'!!, Default: 'unset'
17484 ===
17485
17486 If this option is set, it must expand to yield the data part of a routing rule.
17487 Typically, the expansion string includes a lookup based on the domain. For
17488 example:
17489
17490   route_data = ${lookup{$domain}dbm{/etc/routes}}
17491
17492 If the expansion is forced to fail, or the result is an empty string, the
17493 router declines. Other kinds of expansion failure cause delivery to be
17494 deferred.
17495
17496
17497 oindex:[%route_list%]
17498 `..'=
17499 %route_list%, Use: 'manualroute', "Type: 'string list, semicolon-separated'", Default: 'unset'
17500 ===
17501
17502 This string is a list of routing rules, in the form defined below. Note that,
17503 unlike most string lists, the items are separated by semicolons. This is so
17504 that they may contain colon-separated host lists.
17505
17506
17507 oindex:[%same_domain_copy_routing%]
17508 `..'=
17509 %same_domain_copy_routing%, Use: 'manualroute', Type: 'boolean', Default: 'false'
17510 ===
17511
17512 cindex:[address,copying routing]
17513 Addresses with the same domain are normally routed by the ^manualroute^ router
17514 to the same list of hosts. However, this cannot be presumed, because the router
17515 options and preconditions may refer to the local part of the address. By
17516 default, therefore, Exim routes each address in a message independently. DNS
17517 servers run caches, so repeated DNS lookups are not normally expensive, and in
17518 any case, personal messages rarely have more than a few recipients.
17519
17520 If you are running mailing lists with large numbers of subscribers at the same
17521 domain, and you are using a ^manualroute^ router which is independent of the
17522 local part, you can set %same_domain_copy_routing% to bypass repeated DNS
17523 lookups for identical domains in one message. In this case, when ^manualroute^
17524 routes an address to a remote transport, any other unrouted addresses in the
17525 message that have the same domain are automatically given the same routing
17526 without processing them independently. However, this is only done if
17527 %headers_add% and %headers_remove% are unset.
17528
17529
17530
17531
17532 Routing rules in route_list
17533 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
17534 The value of %route_list% is a string consisting of a sequence of routing
17535 rules, separated by semicolons. If a semicolon is needed in a rule, it can be
17536 entered as two semicolons. Alternatively, the list separator can be changed as
17537 described (for colon-separated lists) in section <<SECTlistconstruct>>.
17538 Empty rules are ignored. The format of each rule is
17539
17540   <domain pattern>  <list of hosts>  <options>
17541
17542 The following example contains two rules, each with a simple domain pattern and
17543 no options:
17544
17545 ....
17546 route_list = \
17547   dict.ref.example  mail-1.ref.example:mail-2.ref.example ; \
17548   thes.ref.example  mail-3.ref.example:mail-4.ref.example
17549 ....
17550
17551 The three parts of a rule are separated by white space. The pattern and the
17552 list of hosts can be enclosed in quotes if necessary, and if they are, the
17553 usual quoting rules apply. Each rule in a %route_list% must start with a
17554 single domain pattern, which is the only mandatory item in the rule. The
17555 pattern is in the same format as one item in a domain list (see section
17556 <<SECTdomainlist>>),
17557 except that it may not be the name of an interpolated file.
17558 That is, it may be wildcarded, or a regular expression, or a file or database
17559 lookup (with semicolons doubled, because of the use of semicolon as a separator
17560 in a %route_list%).
17561
17562 The rules in %route_list% are searched in order until one of the patterns
17563 matches the domain that is being routed. The list of hosts and then options are
17564 then used as described below. If there is no match, the router declines. When
17565 %route_list% is set, %route_data% must not be set.
17566
17567
17568
17569 Routing rules in route_data
17570 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
17571 The use of %route_list% is convenient when there are only a small number of
17572 routing rules. For larger numbers, it is easier to use a file or database to
17573 hold the routing information, and use the %route_data% option instead.
17574 The value of %route_data% is a list of hosts, followed by (optional) options.
17575 Most commonly, %route_data% is set as a string that contains an
17576 expansion lookup. For example, suppose we place two routing rules in a file
17577 like this:
17578
17579   dict.ref.example:  mail-1.ref.example:mail-2.ref.example
17580   thes.ref.example:  mail-3.ref.example:mail-4.ref.example
17581
17582 This data can be accessed by setting
17583
17584   route_data = ${lookup{$domain}lsearch{/the/file/name}}
17585
17586 Failure of the lookup results in an empty string, causing the router to
17587 decline. However, you do not have to use a lookup in %route_data%. The only
17588 requirement is that the result of expanding the string is a list of hosts,
17589 possibly followed by options, separated by white space. The list of hosts must
17590 be enclosed in quotes if it contains white space.
17591
17592
17593
17594
17595 Format of the list of hosts
17596 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
17597 [revisionflag="changed"]
17598 A list of hosts, whether obtained via %route_data% or %route_list%, is always
17599 separately expanded before use. If the expansion fails, the router declines.
17600 The result of the expansion must be a colon-separated list of names and/or
17601 IP addresses, optionally also including ports. The format of each item in the
17602 list is described in the next section. The list separator can be changed as
17603 described in section <<SECTlistconstruct>>.
17604
17605 If the list of hosts was obtained from a %route_list% item, the following
17606 variables are set during its expansion:
17607
17608 - cindex:[numerical variables ($1$ $2$  etc),in ^manualroute^ router]
17609 If the domain was matched against a regular expression, the numeric variables
17610 $1$, $2$, etc. may be set. For example:
17611
17612 ....
17613       route_list = ^domain(\d+)   host-$1.text.example
17614 ....
17615
17616 - $0$ is always set to the entire domain.
17617
17618 - $1$ is also set when partial matching is done in a file lookup.
17619
17620 - cindex:[$value$]
17621 If the pattern that matched the domain was a lookup item, the data that was
17622 looked up is available in the expansion variable $value$. For example:
17623
17624 ....
17625       route_list = lsearch;;/some/file.routes  $value
17626 ....
17627
17628 Note the doubling of the semicolon in the pattern that is necessary because
17629 semicolon is the default route list separator.
17630
17631
17632
17633 [[SECTformatonehostitem]]
17634 Format of one host item
17635 ~~~~~~~~~~~~~~~~~~~~~~~
17636 [revisionflag="changed"]
17637 Each item in the list of hosts is either a host name or an IP address,
17638 optionally with an attached port number. When no port is given, an IP address
17639 is not enclosed in brackets. When a port is specified, it overrides the port
17640 specification on the transport. The port is separated from the name or address
17641 by a colon. This leads to some complications:
17642
17643 [revisionflag="changed"]
17644 - Because colon is the default separator for the list of hosts, either
17645 the colon that specifies a port must be doubled, or the list separator must
17646 be changed. The following two examples have the same effect:
17647 +
17648   route_list = * "host1.tld::1225 : host2.tld::1226"
17649   route_list = * "<+ host1.tld:1225 + host2.tld:1226"
17650
17651 [revisionflag="changed"]
17652 - When IPv6 addresses are involved, it gets worse, because they contain
17653 colons of their own. To make this case easier, it is permitted to
17654 enclose an IP address (either v4 or v6) in square brackets if a port
17655 number follows. For example:
17656 +
17657   route_list = * "</ [10.1.1.1]:1225 / [::1]:1226"
17658
17659
17660
17661 [[SECThostshowused]]
17662 How the list of hosts is used
17663 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
17664 When an address is routed to an ^smtp^ transport by ^manualroute^, each of
17665 the hosts is tried, in the order specified, when carrying out the SMTP
17666 delivery. However, the order can be changed by setting the %hosts_randomize%
17667 option, either on the router (see section <<SECTprioptman>> above), or on the
17668 transport.
17669
17670 Hosts may be listed by name or by IP address. An unadorned name in the list of
17671 hosts is interpreted as a host name. A name that is followed by `/MX` is
17672 interpreted as an indirection to a sublist of hosts obtained by looking up MX
17673 records in the DNS. For example:
17674
17675   route_list = *  x.y.z:p.q.r/MX:e.f.g
17676
17677 [revisionflag="changed"]
17678 If this feature is used with a port specifier, the port must come last. For
17679 example:
17680
17681      route_list = *  dom1.tld/mx::1225
17682
17683 If the %hosts_randomize% option is set, the order of the items in the list is
17684 randomized before any lookups are done. Exim then scans the list; for any name
17685 that is not followed by `/MX` it looks up an IP address. If this turns out to
17686 be an interface on the local host and the item is not the first in the list,
17687 Exim discards it and any subsequent items. If it is the first item, what
17688 happens is controlled by the
17689 cindex:[%self% option,in ^manualroute^ router]
17690 %self% option of the router.
17691
17692 A name on the list that is followed by `/MX` is replaced with the list of
17693 hosts obtained by looking up MX records for the name. This is always a DNS
17694 lookup; the %bydns% and %byname% options (see section <<SECThowoptused>> below)
17695 are not relevant here. The order of these hosts is determined by the preference
17696 values in the MX records, according to the usual rules. Because randomizing
17697 happens before the MX lookup, it does not affect the order that is defined by
17698 MX preferences.
17699
17700 If the local host is present in the sublist obtained from MX records, but is
17701 not the most preferred host in that list, it and any equally or less
17702 preferred hosts are removed before the sublist is inserted into the main list.
17703
17704 If the local host is the most preferred host in the MX list, what happens
17705 depends on where in the original list of hosts the `/MX` item appears. If it
17706 is not the first item (that is, there are previous hosts in the main list),
17707 Exim discards this name and any subsequent items in the main list.
17708
17709 If the MX item is first in the list of hosts, and the local host is the
17710 most preferred host, what happens is controlled by the %self% option of the
17711 router.
17712
17713 DNS failures when lookup up the MX records are treated in the same way as DNS
17714 failures when looking up IP addresses: %pass_on_timeout% and
17715 %host_find_failed% are used when relevant.
17716
17717 The generic %ignore_target_hosts% option applies to all hosts in the list,
17718 whether obtained from an MX lookup or not.
17719
17720
17721
17722 [[SECThowoptused]]
17723 How the options are used
17724 ~~~~~~~~~~~~~~~~~~~~~~~~
17725 The options are a sequence of words; in practice no more than three are ever
17726 present. One of the words can be the name of a transport; this overrides the
17727 %transport% option on the router for this particular routing rule only. The
17728 other words (if present) control randomization of the list of hosts on a
17729 per-rule basis, and how the IP addresses of the hosts are to be found when
17730 routing to a remote transport. These options are as follows:
17731
17732 - %randomize%: randomize the order of the hosts in this list, overriding the
17733 setting of %hosts_randomize% for this routing rule only.
17734
17735 - %no_randomize%: do not randomize the order of the hosts in this list,
17736 overriding the setting of %hosts_randomize% for this routing rule only.
17737
17738 - %byname%: use 'getipnodebyname()' ('gethostbyname()' on older systems) to
17739 find IP addresses. This function may ultimately cause a DNS lookup, but it may
17740 also look in _/etc/hosts_ or other sources of information.
17741
17742 - %bydns%: look up address records for the hosts directly in the DNS; fail if
17743 no address records are found. If there is a temporary DNS error (such as a
17744 timeout), delivery is deferred.
17745
17746 For example:
17747
17748 ....
17749 route_list = domain1  host1:host2:host3  randomize bydns;\
17750              domain2  host4:host5
17751 ....
17752
17753 If neither %byname% nor %bydns% is given, Exim behaves as follows: First, a DNS
17754 lookup is done. If this yields anything other than HOST_NOT_FOUND, that
17755 result is used. Otherwise, Exim goes on to try a call to 'getipnodebyname()'
17756 or 'gethostbyname()', and the result of the lookup is the result of that
17757 call.
17758
17759 *Warning*: It has been discovered that on some systems, if a DNS lookup
17760 called via 'getipnodebyname()' times out, HOST_NOT_FOUND is returned
17761 instead of TRY_AGAIN. That is why the default action is to try a DNS
17762 lookup first. Only if that gives a definite ``no such host'' is the local
17763 function called.
17764
17765
17766
17767 If no IP address for a host can be found, what happens is controlled by the
17768 %host_find_failed% option.
17769
17770 cindex:[$host$]
17771 When an address is routed to a local transport, IP addresses are not looked up.
17772 The host list is passed to the transport in the $host$ variable.
17773
17774
17775
17776 Manualroute examples
17777 ~~~~~~~~~~~~~~~~~~~~
17778 In some of the examples that follow, the presence of the %remote_smtp%
17779 transport, as defined in the default configuration file, is assumed:
17780
17781 - cindex:[smart host,example router]
17782 The ^manualroute^ router can be used to forward all external mail to a
17783 'smart host'. If you have set up, in the main part of the configuration, a
17784 named domain list that contains your local domains, for example,
17785
17786   domainlist local_domains = my.domain.example
17787 +
17788 you can arrange for all other domains to be routed to a smart host by making
17789 your first router something like this:
17790 +
17791   smart_route:
17792     driver = manualroute
17793     domains = !+local_domains
17794     transport = remote_smtp
17795     route_list = * smarthost.ref.example
17796 +
17797 This causes all non-local addresses to be sent to the single host
17798 'smarthost.ref.example'. If a colon-separated list of smart hosts is given,
17799 they are tried in order
17800 (but you can use %hosts_randomize% to vary the order each time).
17801 Another way of configuring the same thing is this:
17802 +
17803   smart_route:
17804     driver = manualroute
17805     transport = remote_smtp
17806     route_list = !+local_domains  smarthost.ref.example
17807 +
17808 There is no difference in behaviour between these two routers as they stand.
17809 However, they behave differently if %no_more% is added to them. In the first
17810 example, the router is skipped if the domain does not match the %domains%
17811 precondition; the following router is always tried. If the router runs, it
17812 always matches the domain and so can never decline. Therefore, %no_more% would
17813 have no effect. In the second case, the router is never skipped; it always
17814 runs. However, if it doesn't match the domain, it declines. In this case
17815 %no_more% would prevent subsequent routers from running.
17816
17817 - cindex:[mail hub example]
17818 A 'mail hub' is a host which receives mail for a number of domains via MX
17819 records in the DNS and delivers it via its own private routing mechanism. Often
17820 the final destinations are behind a firewall, with the mail hub being the one
17821 machine that can connect to machines both inside and outside the firewall. The
17822 ^manualroute^ router is usually used on a mail hub to route incoming messages
17823 to the correct hosts. For a small number of domains, the routing can be inline,
17824 using the %route_list% option, but for a larger number a file or database
17825 lookup is easier to manage.
17826 +
17827 If the domain names are in fact the names of the machines to which the mail is
17828 to be sent by the mail hub, the configuration can be quite simple. For
17829 example,
17830
17831   hub_route:
17832     driver = manualroute
17833     transport = remote_smtp
17834     route_list = *.rhodes.tvs.example  $domain
17835 +
17836 This configuration routes domains that match `*.rhodes.tvs.example` to hosts
17837 whose names are the same as the mail domains. A similar approach can be taken
17838 if the host name can be obtained from the domain name by a string manipulation
17839 that the expansion facilities can handle. Otherwise, a lookup based on the
17840 domain can be used to find the host:
17841
17842   through_firewall:
17843     driver = manualroute
17844     transport = remote_smtp
17845     route_data = ${lookup {$domain} cdb {/internal/host/routes}}
17846 +
17847 The result of the lookup must be the name or IP address of the host (or
17848 hosts) to which the address is to be routed. If the lookup fails, the route
17849 data is empty, causing the router to decline. The address then passes to the
17850 next router.
17851
17852 - cindex:[batched SMTP output example]
17853 cindex:[SMTP,batched outgoing; example]
17854 You can use ^manualroute^ to deliver messages to pipes or files in batched
17855 SMTP format for onward transportation by some other means. This is one way of
17856 storing mail for a dial-up host when it is not connected. The route list entry
17857 can be as simple as a single domain name in a configuration like this:
17858
17859   save_in_file:
17860     driver = manualroute
17861     transport = batchsmtp_appendfile
17862     route_list = saved.domain.example
17863 +
17864 though often a pattern is used to pick up more than one domain. If there are
17865 several domains or groups of domains with different transport requirements,
17866 different transports can be listed in the routing information:
17867 +
17868 ....
17869 save_in_file:
17870   driver = manualroute
17871   route_list = \
17872     *.saved.domain1.example  $domain  batch_appendfile; \
17873     *.saved.domain2.example  \
17874       ${lookup{$domain}dbm{/domain2/hosts}{$value}fail} \
17875       batch_pipe
17876 ....
17877 +
17878 cindex:[$domain$]
17879 cindex:[$host$]
17880 The first of these just passes the domain in the $host$ variable, which
17881 doesn't achieve much (since it is also in $domain$), but the second does a
17882 file lookup to find a value to pass, causing the router to decline to handle
17883 the address if the lookup fails.
17884
17885 - cindex:[UUCP,example of router for]
17886 Routing mail directly to UUCP software is a specific case of the use of
17887 ^manualroute^ in a gateway to another mail environment. This is an example of
17888 one way it can be done:
17889 +
17890 ....
17891 # Transport
17892 uucp:
17893   driver = pipe
17894   user = nobody
17895   command = /usr/local/bin/uux -r - \
17896     ${substr_-5:$host}!rmail ${local_part}
17897   return_fail_output = true
17898
17899 # Router
17900 uucphost:
17901   transport = uucp
17902   driver = manualroute
17903   route_data = \
17904     ${lookup{$domain}lsearch{/usr/local/exim/uucphosts}}
17905 ....
17906 +
17907 The file _/usr/local/exim/uucphosts_ contains entries like
17908
17909   darksite.ethereal.example:           darksite.UUCP
17910 +
17911 It can be set up more simply without adding and removing ``.UUCP'' but this way
17912 makes clear the distinction between the domain name
17913 'darksite.ethereal.example' and the UUCP host name 'darksite'.
17914
17915
17916
17917
17918
17919
17920
17921
17922 ////////////////////////////////////////////////////////////////////////////
17923 ////////////////////////////////////////////////////////////////////////////
17924
17925 [[CHAPdriverlast]]
17926 The queryprogram router
17927 -----------------------
17928 cindex:[^queryprogram^ router]
17929 cindex:[routers,^queryprogram^]
17930 cindex:[routing,by external program]
17931 The ^queryprogram^ router routes an address by running an external command and
17932 acting on its output. This is an expensive way to route, and is intended mainly
17933 for use in lightly-loaded systems, or for performing experiments. However, if
17934 it is possible to use the precondition options (%domains%, %local_parts%,
17935 etc) to skip this router for most addresses, it could sensibly be used in
17936 special cases, even on a busy host. There are the following private options:
17937 cindex:[options,^queryprogram^ router]
17938
17939 oindex:[%command%]
17940 `..'=
17941 %command%, Use: 'queryprogram', Type: 'string'!!, Default: 'unset'
17942 ===
17943
17944 This option must be set. It specifies the command that is to be run. The
17945 command is split up into a command name and arguments, and then each is
17946 expanded separately (exactly as for a ^pipe^ transport, described in chapter
17947 <<CHAPpipetransport>>).
17948
17949
17950 oindex:[%command_group%]
17951 `..'=
17952 %command_group%, Use: 'queryprogram', Type: 'string', Default: 'unset'
17953 ===
17954
17955 cindex:[gid (group id),in ^queryprogram^ router]
17956 This option specifies a gid to be set when running the command. It must be set
17957 if %command_user% specifies a numerical uid. If it begins with a digit, it is
17958 interpreted as the numerical value of the gid. Otherwise it is looked up using
17959 'getgrnam()'.
17960
17961
17962 oindex:[%command_user%]
17963 `..'=
17964 %command_user%, Use: 'queryprogram', Type: 'string', Default: 'unset'
17965 ===
17966
17967 cindex:[uid (user id),for ^queryprogram^]
17968 This option must be set. It specifies the uid which is set when running the
17969 command. If it begins with a digit it is interpreted as the numerical value of
17970 the uid. Otherwise, it is looked up using 'getpwnam()' to obtain a value for
17971 the uid and, if %command_group% is not set, a value for the gid also.
17972
17973
17974 oindex:[%current_directory%]
17975 `..'=
17976 %current_directory%, Use: 'queryprogram', Type: 'string', Default: '/'
17977 ===
17978
17979 This option specifies an absolute path which is made the current directory
17980 before running the command.
17981
17982
17983 oindex:[%timeout%]
17984 `..'=
17985 %timeout%, Use: 'queryprogram', Type: 'time', Default: '1h'
17986 ===
17987
17988 If the command does not complete within the timeout period, its process group
17989 is killed and the message is frozen. A value of zero time specifies no
17990 timeout.
17991
17992
17993 The standard output of the command is connected to a pipe, which is read when
17994 the command terminates. It should consist of a single line of output,
17995 containing up to five fields, separated by white space. The maximum length of
17996 the line is 1023 characters. Longer lines are silently truncated. The first
17997 field is one of the following words (case-insensitive):
17998
17999 - 'Accept': routing succeeded; the remaining fields specify what to do (see
18000 below).
18001
18002 - 'Decline': the router declines; pass the address to the next router, unless
18003 %no_more% is set.
18004
18005 - 'Fail': routing failed; do not pass the address to any more routers. Any
18006 subsequent text on the line is an error message. If the router is run as part
18007 of address verification during an incoming SMTP message, the message is
18008 included in the SMTP response.
18009
18010 - 'Defer': routing could not be completed at this time; try again later. Any
18011 subsequent text on the line is an error message which is logged. It is not
18012 included in any SMTP response.
18013
18014 - 'Freeze': the same as 'defer', except that the message is frozen.
18015
18016 - 'Pass': pass the address to the next router (or the router specified by
18017 %pass_router%), overriding %no_more%.
18018
18019 - 'Redirect': the message is redirected. The remainder of the line is a list of
18020 new addresses, which are routed independently, starting with the first router,
18021 or the router specified by %redirect_router%, if set.
18022
18023 When the first word is 'accept', the remainder of the line consists of a
18024 number of keyed data values, as follows (split into two lines here, to fit on
18025 the page):
18026
18027   ACCEPT TRANSPORT=<transport> HOSTS=<list of hosts>
18028          LOOKUP=byname|bydns DATA=<text>
18029
18030 The data items can be given in any order, and all are optional. If no transport
18031 is included, the transport specified by the generic %transport% option is used.
18032 The list of hosts and the lookup type are needed only if the transport is an
18033 ^smtp^ transport that does not itself supply a list of hosts.
18034
18035 The format of the list of hosts is the same as for the ^manualroute^ router.
18036 As well as host names and IP addresses with optional port numbers, as described
18037 in section <<SECTformatonehostitem>>, it may contain names followed by `/MX` to
18038 specify sublists of hosts that are obtained by looking up MX records (see
18039 section <<SECThostshowused>>).
18040
18041 If the lookup type is not specified, Exim behaves as follows when trying to
18042 find an IP address for each host: First, a DNS lookup is done. If this yields
18043 anything other than HOST_NOT_FOUND, that result is used. Otherwise, Exim
18044 goes on to try a call to 'getipnodebyname()' or 'gethostbyname()', and the
18045 result of the lookup is the result of that call.
18046
18047 cindex:[$address_data$]
18048 If the DATA field is set, its value is placed in the $address_data$
18049 variable. For example, this return line
18050
18051   accept hosts=x1.y.example:x2.y.example data="rule1"
18052
18053 routes the address to the default transport, passing a list of two hosts. When
18054 the transport runs, the string ``rule1'' is in $address_data$.
18055
18056
18057
18058
18059 ////////////////////////////////////////////////////////////////////////////
18060 ////////////////////////////////////////////////////////////////////////////
18061
18062 [[CHAPredirect]]
18063 The redirect router
18064 -------------------
18065 cindex:[^redirect^ router]
18066 cindex:[routers,^redirect^]
18067 cindex:[alias file,in a ^redirect^ router]
18068 cindex:[address redirection,^redirect^ router]
18069 The ^redirect^ router handles several kinds of address redirection. Its most
18070 common uses are for resolving local part aliases from a central alias file
18071 (usually called _/etc/aliases_) and for handling users' personal _.forward_
18072 files, but it has many other potential uses. The incoming address can be
18073 redirected in several different ways:
18074
18075 - It can be replaced by one or more new addresses which are themselves routed
18076 independently.
18077
18078 - It can be routed to be delivered to a given file or directory.
18079
18080 - It can be routed to be delivered to a specified pipe command.
18081
18082 - It can cause an automatic reply to be generated.
18083
18084 - It can be forced to fail, with a custom error message.
18085
18086 - It can be temporarily deferred.
18087
18088 - It can be discarded.
18089
18090 The generic %transport% option must not be set for ^redirect^ routers.
18091 However, there are some private options which define transports for delivery to
18092 files and pipes, and for generating autoreplies. See the %file_transport%,
18093 %pipe_transport% and %reply_transport% descriptions below.
18094
18095
18096
18097 Redirection data
18098 ~~~~~~~~~~~~~~~~
18099 The router operates by interpreting a text string which it obtains either by
18100 expanding the contents of the %data% option, or by reading the entire contents
18101 of a file whose name is given in the %file% option. These two options are
18102 mutually exclusive. The first is commonly used for handling system aliases, in
18103 a configuration like this:
18104
18105   system_aliases:
18106     driver = redirect
18107     data = ${lookup{$local_part}lsearch{/etc/aliases}}
18108
18109 If the lookup fails, the expanded string in this example is empty. When the
18110 expansion of %data% results in an empty string, the router declines. A forced
18111 expansion failure also causes the router to decline; other expansion failures
18112 cause delivery to be deferred.
18113
18114 A configuration using %file% is commonly used for handling users' _.forward_
18115 files, like this:
18116
18117   userforward:
18118     driver = redirect
18119     check_local_user
18120     file = $home/.forward
18121     no_verify
18122
18123 If the file does not exist, or causes no action to be taken (for example, it is
18124 empty or consists only of comments), the router declines. *Warning*: This
18125 is not the case when the file contains syntactically valid items that happen to
18126 yield empty addresses, for example, items containing only RFC 2822 address
18127 comments.
18128
18129
18130
18131 Forward files and address verification
18132 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
18133 cindex:[address redirection,while verifying]
18134 It is usual to set %no_verify% on ^redirect^ routers which handle users'
18135 _.forward_ files, as in the example above. There are two reasons for this:
18136
18137 - When Exim is receiving an incoming SMTP message from a remote host, it is
18138 running under the Exim uid, not as root.
18139 No additional groups are set up, even if the Exim uid is a member of other
18140 groups (that is, the 'initgroups()' function is not run).
18141 Exim is unable to change uid to read the file as the user, and it may not be
18142 able to read it as the Exim user. So in practice the router may not be able to
18143 operate.
18144
18145 - However, even when the router can operate, the existence of a _.forward_ file
18146 is unimportant when verifying an address. What should be checked is whether the
18147 local part is a valid user name or not. Cutting out the redirection processing
18148 saves some resources.
18149
18150
18151
18152
18153
18154
18155 Interpreting redirection data
18156 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
18157 cindex:[Sieve filter,specifying in redirection data]
18158 cindex:[filter,specifying in redirection data]
18159 The contents of the data string, whether obtained from %data% or %file%, can be
18160 interpreted in two different ways:
18161
18162 - If the %allow_filter% option is set true, and the data begins with the text
18163 ``#Exim filter'' or ``#Sieve filter'', it is interpreted as a list of
18164 'filtering' instructions in the form of an Exim or Sieve filter file,
18165 respectively. Details of the syntax and semantics of filter files are described
18166 in a separate document entitled 'Exim's interfaces to mail filtering'; this
18167 document is intended for use by end users.
18168
18169 - Otherwise, the data must be a comma-separated list of redirection items, as
18170 described in the next section.
18171
18172 When a message is redirected to a file (a ``mail folder''), the file name given
18173 in a non-filter redirection list must always be an absolute path. A filter may
18174 generate a relative path -- how this is handled depends on the transport's
18175 configuration. See section <<SECTfildiropt>> for a discussion of this issue for
18176 the ^appendfile^ transport.
18177
18178
18179
18180 [[SECTitenonfilred]]
18181 Items in a non-filter redirection list
18182 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
18183 cindex:[address redirection,non-filter list items]
18184 When the redirection data is not an Exim or Sieve filter, for example, if it
18185 comes from a conventional alias or forward file, it consists of a list of
18186 addresses, file names, pipe commands, or certain special items (see section
18187 <<SECTspecitredli>> below). The special items can be individually enabled or
18188 disabled by means of options whose names begin with %allow_% or %forbid_%,
18189 depending on their default values. The items in the list are separated by
18190 commas or newlines.
18191 If a comma is required in an item, the entire item must be enclosed in double
18192 quotes.
18193
18194 Lines starting with a # character are comments, and are ignored, and # may
18195 also appear following a comma, in which case everything between the # and the
18196 next newline character is ignored.
18197
18198 If an item is entirely enclosed in double quotes, these are removed. Otherwise
18199 double quotes are retained because some forms of mail address require their use
18200 (but never to enclose the entire address). In the following description,
18201 ``item'' refers to what remains after any surrounding double quotes have been
18202 removed.
18203
18204 cindex:[$local_part$]
18205 *Warning*: If you use an Exim expansion to construct a redirection address,
18206 and the expansion contains a reference to $local_part$, you should make use
18207 of the %quote_local_part% expansion operator, in case the local part contains
18208 special characters. For example, to redirect all mail for the domain
18209 'obsolete.example', retaining the existing local part, you could use this
18210 setting:
18211
18212   data = ${quote_local_part:$local_part}@newdomain.example
18213
18214
18215
18216
18217 [[SECTredlocmai]]
18218 Redirecting to a local mailbox
18219 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
18220 cindex:[routing,loops in]
18221 cindex:[loop while routing, avoidance of]
18222 cindex:[address redirection,to local mailbox]
18223 A redirection item may safely be the same as the address currently under
18224 consideration. This does not cause a routing loop, because a router is
18225 automatically skipped if any ancestor of the address that is being processed
18226 is the same as the current address and was processed by the current router.
18227 Such an address is therefore passed to the following routers, so it is handled
18228 as if there were no redirection. When making this loop-avoidance test, the
18229 complete local part, including any prefix or suffix, is used.
18230
18231 cindex:[address redirection,local part without domain]
18232 Specifying the same local part without a domain is a common usage in personal
18233 filter files when the user wants to have messages delivered to the local
18234 mailbox and also forwarded elsewhere. For example, the user whose login is
18235 'cleo' might have a _.forward_ file containing this:
18236
18237   cleo, cleopatra@egypt.example
18238
18239 cindex:[backslash in alias file]
18240 cindex:[alias file,backslash in]
18241 For compatibility with other MTAs, such unqualified local parts may be
18242 preceeded by ``\'', but this is not a requirement for loop prevention. However,
18243 it does make a difference if more than one domain is being handled
18244 synonymously.
18245
18246 If an item begins with ``\'' and the rest of the item parses as a valid RFC 2822
18247 address that does not include a domain, the item is qualified using the domain
18248 of the incoming address. In the absence of a leading ``\'', unqualified
18249 addresses are qualified using the value in %qualify_recipient%, but you can
18250 force the incoming domain to be used by setting %qualify_preserve_domain%.
18251
18252 Care must be taken if there are alias names for local users.
18253 Consider an MTA handling a single local domain where the system alias file
18254 contains:
18255
18256   Sam.Reman: spqr
18257
18258 Now suppose that Sam (whose login id is 'spqr') wants to save copies of
18259 messages in the local mailbox, and also forward copies elsewhere. He creates
18260 this forward file:
18261
18262   Sam.Reman, spqr@reme.elsewhere.example
18263
18264 With these settings, an incoming message addressed to 'Sam.Reman' fails. The
18265 ^redirect^ router for system aliases does not process 'Sam.Reman' the
18266 second time round, because it has previously routed it,
18267 and the following routers presumably cannot handle the alias. The forward file
18268 should really contain
18269
18270   spqr, spqr@reme.elsewhere.example
18271
18272 but because this is such a common error, the %check_ancestor% option (see
18273 below) exists to provide a way to get round it. This is normally set on a
18274 ^redirect^ router that is handling users' _.forward_ files.
18275
18276
18277
18278 [[SECTspecitredli]]
18279 Special items in redirection lists
18280 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
18281 In addition to addresses, the following types of item may appear in redirection
18282 lists (that is, in non-filter redirection data):
18283
18284 - cindex:[pipe,in redirection list]
18285 cindex:[address redirection,to pipe]
18286 An item is treated as a pipe command if it begins with ``|'' and does not parse
18287 as a valid RFC 2822 address that includes a domain. A transport for running the
18288 command must be specified by the %pipe_transport% option.
18289 Normally, either the router or the transport specifies a user and a group under
18290 which to run the delivery. The default is to use the Exim user and group.
18291 +
18292 Single or double quotes can be used for enclosing the individual arguments of
18293 the pipe command; no interpretation of escapes is done for single quotes. If
18294 the command contains a comma character, it is necessary to put the whole item
18295 in double quotes, for example:
18296
18297   "|/some/command ready,steady,go"
18298 +
18299 since items in redirection lists are terminated by commas. Do not, however,
18300 quote just the command. An item such as
18301
18302   |"/some/command ready,steady,go"
18303 +
18304 is interpreted as a pipe with a rather strange command name, and no arguments.
18305
18306 - cindex:[file,in redirection list]
18307 cindex:[address redirection,to file]
18308 An item is interpreted as a path name if it begins with ``/'' and does not parse
18309 as a valid RFC 2822 address that includes a domain. For example,
18310
18311   /home/world/minbari
18312 +
18313 is treated as a file name, but
18314
18315   /s=molari/o=babylon/@x400gate.way
18316 +
18317 is treated as an address. For a file name, a transport must be specified using
18318 the %file_transport% option. However, if the generated path name ends with a
18319 forward slash character, it is interpreted as a directory name rather than a
18320 file name, and %directory_transport% is used instead.
18321 +
18322 Normally, either the router or the transport specifies a user and a group under
18323 which to run the delivery. The default is to use the Exim user and group.
18324 +
18325 cindex:[_/dev/null_]
18326 However, if a redirection item is the path _/dev/null_, delivery to it is
18327 bypassed at a high level, and the log entry shows ``\*\*bypassed\*\*''
18328 instead of a transport name. In this case the user and group are not used.
18329
18330 - cindex:[included address list]
18331 cindex:[address redirection,included external list]
18332 If an item is of the form
18333
18334   :include:<path name>
18335 +
18336 a list of further items is taken from the given file and included at that
18337 point. *Note*: such a file can not be a filter file; it is just an out-of-line
18338 addition to the list. The items in the included list are separated by commas or
18339 newlines and are not subject to expansion. If this is the first item in an
18340 alias list in an ^lsearch^ file, a colon must be used to terminate the alias
18341 name. This example is incorrect:
18342
18343   list1    :include:/opt/lists/list1
18344 +
18345 It must be given as
18346
18347   list1:   :include:/opt/lists/list1
18348 +
18349 - cindex:[address redirection,to black hole]
18350 Sometimes you want to throw away mail to a particular local part. Making the
18351 %data% option expand to an empty string does not work, because that causes the
18352 router to decline. Instead, the alias item
18353 cindex:[black hole]
18354 cindex:[abandoning mail]
18355
18356   :blackhole:
18357 +
18358 can be used. It does what its name implies. No delivery is done, and no error
18359 message is generated. This has the same effect as specifing _/dev/null_, but
18360 can be independently disabled.
18361 +
18362 *Warning*: If `:blackhole:` appears anywhere in a redirection list, no
18363 delivery is done for the original local part, even if other redirection items
18364 are present. If you are generating a multi-item list (for example, by reading a
18365 database) and need the ability to provide a no-op item, you must use
18366 _/dev/null_.
18367
18368 - cindex:[delivery,forcing failure]
18369 cindex:[delivery,forcing deferral]
18370 cindex:[failing delivery,forcing]
18371 cindex:[deferred delivery, forcing]
18372 cindex:[customizing,failure message]
18373 An attempt to deliver a particular address can be deferred or forced to fail by
18374 redirection items of the form
18375
18376   :defer:
18377   :fail:
18378 +
18379 respectively. When a redirection list contains such an item, it applies to the
18380 entire redirection; any other items in the list are ignored (':blackhole:' is
18381 different). Any text following ':fail:' or ':defer:' is placed in the error
18382 text associated with the failure. For example, an alias file might contain:
18383
18384   X.Employee:  :fail: Gone away, no forwarding address
18385 +
18386 In the case of an address that is being verified from an ACL or as the subject
18387 of a
18388 cindex:[VRFY error text, display of]
18389 VRFY command, the text is included in the SMTP error response by
18390 default.
18391 cindex:[EXPN error text, display of]
18392 The text is not included in the response to an EXPN command.
18393 +
18394 cindex:[$acl_verify_message$]
18395 In an ACL, an explicitly provided message overrides the default, but the
18396 default message is available in the variable $acl_verify_message$ and can
18397 therefore be included in a custom message if this is desired. Exim sends a 451
18398 SMTP code for a ':defer:', and 550 for ':fail:'. In non-SMTP cases the text
18399 is included in the error message that Exim generates.
18400 +
18401 Normally the error text is the rest of the redirection list -- a comma does not
18402 terminate it -- but a newline does act as a terminator. Newlines are not
18403 normally present in alias expansions. In ^lsearch^ lookups they are removed as
18404 part of the continuation process, but they may exist in other kinds of lookup
18405 and in ':include:' files.
18406 +
18407 During routing for message delivery (as opposed to verification), a redirection
18408 containing ':fail:' causes an immediate failure of the incoming address,
18409 whereas ':defer:' causes the message to remain on the queue so that a
18410 subsequent delivery attempt can happen at a later time. If an address is
18411 deferred for too long, it will ultimately fail, because the normal retry
18412 rules still apply.
18413
18414 - cindex:[alias file,exception to default]
18415 Sometimes it is useful to use a single-key search type with a default (see
18416 chapter <<CHAPfdlookup>>) to look up aliases. However, there may be a need for
18417 exceptions to the default. These can be handled by aliasing them to
18418
18419   :unknown:
18420 +
18421 This differs from ':fail:' in that it causes the ^redirect^ router to decline,
18422 whereas ':fail:' forces routing to fail. A lookup which results in an empty
18423 redirection list has the same effect.
18424
18425
18426
18427 Duplicate addresses
18428 ~~~~~~~~~~~~~~~~~~~
18429 cindex:[duplicate addresses]
18430 cindex:[address duplicate, discarding]
18431 cindex:[pipe,duplicated]
18432 Exim removes duplicate addresses from the list to which it is delivering, so as
18433 to deliver just one copy to each address. This does not apply to deliveries
18434 routed to pipes by different immediate parent addresses, but an indirect
18435 aliasing scheme of the type
18436
18437   pipe:       |/some/command $local_part
18438   localpart1: pipe
18439   localpart2: pipe
18440
18441 does not work with a message that is addressed to both local parts, because
18442 when the second is aliased to the intermediate local part ``pipe'' it gets
18443 discarded as being the same as a previously handled address. However, a scheme
18444 such as
18445
18446   localpart1: |/some/command $local_part
18447   localpart2: |/some/command $local_part
18448
18449 does result in two different pipe deliveries, because the immediate parents of
18450 the pipes are distinct.
18451
18452
18453
18454 Repeated redirection expansion
18455 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
18456 cindex:[repeated redirection expansion]
18457 cindex:[address redirection,repeated for each delivery attempt]
18458 When a message cannot be delivered to all of its recipients immediately,
18459 leading to two or more delivery attempts, redirection expansion is carried out
18460 afresh each time for those addresses whose children were not all previously
18461 delivered. If redirection is being used as a mailing list, this can lead to new
18462 members of the list receiving copies of old messages. The %one_time% option
18463 can be used to avoid this.
18464
18465
18466 Errors in redirection lists
18467 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
18468 cindex:[address redirection,errors]
18469 If %skip_syntax_errors% is set, a malformed address that causes a parsing
18470 error is skipped, and an entry is written to the main log. This may be useful
18471 for mailing lists that are automatically managed. Otherwise, if an error is
18472 detected while generating the list of new addresses, the original address is
18473 deferred. See also %syntax_errors_to%.
18474
18475
18476
18477 Private options for the redirect router
18478 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
18479
18480 cindex:[options,^redirect^ router]
18481 The private options for the ^redirect^ router are as follows:
18482
18483
18484 oindex:[%allow_defer%]
18485 `..'=
18486 %allow_defer%, Use: 'redirect', Type: 'boolean', Default: 'false'
18487 ===
18488
18489 Setting this option allows the use of ':defer:' in non-filter redirection
18490 data,
18491 or the %defer% command in an Exim filter file.
18492
18493
18494 oindex:[%allow_fail%]
18495 `..'=
18496 %allow_fail%, Use: 'redirect', Type: 'boolean', Default: 'false'
18497 ===
18498
18499 cindex:[failing delivery,from filter]
18500 If this option is true, the ':fail:' item can be used in a redirection list,
18501 and the %fail% command may be used in a filter file.
18502
18503
18504 oindex:[%allow_filter%]
18505 `..'=
18506 %allow_filter%, Use: 'redirect', Type: 'boolean', Default: 'false'
18507 ===
18508
18509 cindex:[filter,enabling use of]
18510 cindex:[Sieve filter,enabling use of]
18511 Setting this option allows Exim to interpret redirection data that starts with
18512 ``#Exim filter'' or ``#Sieve filter'' as a set of filtering instructions. There
18513 are some features of Exim filter files that some administrators may wish to
18514 lock out; see the %forbid_filter_xxx% options below.
18515
18516 It is also possible to lock out Exim filters or Sieve filters while allowing
18517 the other type; see %forbid_exim_filter% and %forbid_sieve_filter%.
18518
18519
18520 The filter is run using the uid and gid set by the generic %user% and %group%
18521 options. These take their defaults from the password data if
18522 %check_local_user% is set, so in the normal case of users' personal filter
18523 files, the filter is run as the relevant user. When %allow_filter% is set
18524 true, Exim insists that either %check_local_user% or %user% is set.
18525
18526
18527
18528 oindex:[%allow_freeze%]
18529 `..'=
18530 %allow_freeze%, Use: 'redirect', Type: 'boolean', Default: 'false'
18531 ===
18532
18533 cindex:[freezing messages,allowing in filter]
18534 Setting this option allows the use of the %freeze% command in an Exim filter.
18535 This command is more normally encountered in system filters, and is disabled by
18536 default for redirection filters because it isn't something you usually want to
18537 let ordinary users do.
18538
18539
18540
18541 oindex:[%check_ancestor%]
18542 `..'=
18543 %check_ancestor%, Use: 'redirect', Type: 'boolean', Default: 'false'
18544 ===
18545
18546 This option is concerned with handling generated addresses that are the same
18547 as some address in the list of redirection ancestors of the current address.
18548 Although it is turned off by default in the code, it is set in the default
18549 configuration file for handling users' _.forward_ files. It is recommended
18550 for this use of the ^redirect^ router.
18551
18552 When %check_ancestor% is set, if a generated address (including the domain) is
18553 the same as any ancestor of the current address, it is replaced by a copy of
18554 the current address. This helps in the case where local part A is aliased to B,
18555 and B has a _.forward_ file pointing back to A. For example, within a single
18556 domain, the local part ``Joe.Bloggs'' is aliased to ``jb'' and _~jb/.forward_
18557 contains:
18558
18559   \Joe.Bloggs, <other item(s)>
18560
18561 Without the %check_ancestor% setting, either local part (``jb'' or ``joe.bloggs'')
18562 gets processed once by each router and so ends up as it was originally. If ``jb''
18563 is the real mailbox name, mail to ``jb'' gets delivered (having been turned into
18564 ``joe.bloggs'' by the _.forward_ file and back to ``jb'' by the alias), but mail
18565 to ``joe.bloggs'' fails. Setting %check_ancestor% on the ^redirect^ router that
18566 handles the _.forward_ file prevents it from turning ``jb'' back into
18567 ``joe.bloggs'' when that was the original address. See also the %repeat_use%
18568 option below.
18569
18570
18571 oindex:[%check_group%]
18572 `..'=
18573 %check_group%, Use: 'redirect', Type: 'boolean', Default: 'see below'
18574 ===
18575
18576 When the %file% option is used, the group owner of the file is checked only
18577 when this option is set. The permitted groups are those listed in the
18578 %owngroups% option, together with the user's default group if
18579 %check_local_user% is set. If the file has the wrong group, routing is
18580 deferred. The default setting for this option is true if %check_local_user%
18581 is set and the %modemask% option permits the group write bit, or if the
18582 %owngroups% option is set. Otherwise it is false, and no group check occurs.
18583
18584
18585
18586 oindex:[%check_owner%]
18587 `..'=
18588 %check_owner%, Use: 'redirect', Type: 'boolean', Default: 'see below'
18589 ===
18590
18591 When the %file% option is used, the owner of the file is checked only when this
18592 option is set. If %check_local_user% is set, the local user is permitted;
18593 otherwise the owner must be one of those listed in the %owners% option. The
18594 default value for this option is true if %check_local_user% or %owners% is
18595 set. Otherwise the default is false, and no owner check occurs.
18596
18597
18598 oindex:[%data%]
18599 `..'=
18600 %data%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
18601 ===
18602
18603 This option is mutually exclusive with %file%. One or other of them must be
18604 set, but not both. The contents of %data% are expanded, and then used as the
18605 list of forwarding items, or as a set of filtering instructions. If the
18606 expansion is forced to fail, or the result is an empty string or a string that
18607 has no effect (consists entirely of comments), the router declines.
18608
18609 When filtering instructions are used, the string must begin with ``#Exim
18610 filter'', and all comments in the string, including this initial one, must be
18611 terminated with newline characters. For example:
18612
18613 ....
18614 data = #Exim filter\n\
18615        if $h_to: contains Exim then save $home/mail/exim endif
18616 ....
18617
18618 If you are reading the data from a database where newlines cannot be included,
18619 you can use the $\{sg\}$ expansion item to turn the escape string of your
18620 choice into a newline.
18621
18622
18623 oindex:[%directory_transport%]
18624 `..'=
18625 %directory_transport%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
18626 ===
18627
18628 A ^redirect^ router sets up a direct delivery to a directory when a path name
18629 ending with a slash is specified as a new ``address''. The transport used is
18630 specified by this option, which, after expansion, must be the name of a
18631 configured transport. This should normally be an ^appendfile^ transport.
18632
18633
18634 oindex:[%file%]
18635 `..'=
18636 %file%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
18637 ===
18638
18639 This option specifies the name of a file that contains the redirection data. It
18640 is mutually exclusive with the %data% option. The string is expanded before
18641 use; if the expansion is forced to fail, the router declines. Other expansion
18642 failures cause delivery to be deferred. The result of a successful expansion
18643 must be an absolute path. The entire file is read and used as the redirection
18644 data. If the data is an empty string or a string that has no effect (consists
18645 entirely of comments), the router declines.
18646
18647 cindex:[NFS,checking for file existence]
18648 If the attempt to open the file fails with a ``does not exist'' error, Exim
18649 runs a check on the containing directory,
18650 unless %ignore_enotdir% is true (see below).
18651 If the directory does not appear to exist, delivery is deferred. This can
18652 happen when users' _.forward_ files are in NFS-mounted directories, and there
18653 is a mount problem. If the containing directory does exist, but the file does
18654 not, the router declines.
18655
18656
18657 oindex:[%file_transport%]
18658 `..'=
18659 %file_transport%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
18660 ===
18661
18662 cindex:[$address_file$]
18663 A ^redirect^ router sets up a direct delivery to a file when a path name not
18664 ending in a slash is specified as a new ``address''. The transport used is
18665 specified by this option, which, after expansion, must be the name of a
18666 configured transport. This should normally be an ^appendfile^ transport. When
18667 it is running, the file name is in $address_file$.
18668
18669
18670 oindex:[%forbid_blackhole%]
18671 `..'=
18672 %forbid_blackhole%, Use: 'redirect', Type: 'boolean', Default: 'false'
18673 ===
18674
18675 If this option is true, the ':blackhole:' item may not appear in a redirection
18676 list.
18677
18678
18679 oindex:[%forbid_exim_filter%]
18680 `..'=
18681 %forbid_exim_filter%, Use: 'redirect', Type: 'boolean', Default: 'false'
18682 ===
18683
18684 If this option is set true, only Sieve filters are permitted when
18685 %allow_filter% is true.
18686
18687
18688
18689
18690 oindex:[%forbid_file%]
18691 `..'=
18692 %forbid_file%, Use: 'redirect', Type: 'boolean', Default: 'false'
18693 ===
18694
18695 cindex:[delivery,to file; forbidding]
18696 cindex:[Sieve filter,forbidding delivery to a file]
18697 cindex:[Sieve filter,``keep'' facility; disabling]
18698 If this option is true, this router may not generate a new address that
18699 specifies delivery to a local file or directory, either from a filter or from a
18700 conventional forward file. This option is forced to be true if %one_time% is
18701 set. It applies to Sieve filters as well as to Exim filters, but if true, it
18702 locks out the Sieve's ``keep'' facility.
18703
18704
18705 oindex:[%forbid_filter_dlfunc%]
18706 `..'=
18707 %forbid_filter_dlfunc%, Use: 'redirect', Type: 'boolean', Default: 'false'
18708 ===
18709
18710 [revisionflag="changed"]
18711 cindex:[filter,locking out certain features]
18712 If this option is true, string expansions in Exim filters are not allowed to
18713 make use of the %dlfunc% expansion facility to run dynamically loaded
18714 functions.
18715
18716
18717 oindex:[%forbid_filter_existstest%]
18718 `..'=
18719 %forbid_filter_existstest%, Use: 'redirect', Type: 'boolean', Default: 'false'
18720 ===
18721
18722 [revisionflag="changed"]
18723 cindex:[expansion,statting a file]
18724 If this option is true, string expansions in Exim filters are not allowed to
18725 make use of the %exists% condition or the %stat% expansion item.
18726
18727
18728 oindex:[%forbid_filter_logwrite%]
18729 `..'=
18730 %forbid_filter_logwrite%, Use: 'redirect', Type: 'boolean', Default: 'false'
18731 ===
18732
18733 If this option is true, use of the logging facility in Exim filters is not
18734 permitted. Logging is in any case available only if the filter is being run
18735 under some unprivileged uid (which is normally the case for ordinary users'
18736 _.forward_ files).
18737
18738
18739 oindex:[%forbid_filter_lookup%]
18740 `..'=
18741 %forbid_filter_lookup%, Use: 'redirect', Type: 'boolean', Default: 'false'
18742 ===
18743
18744 If this option is true, string expansions in Exim filter files are not allowed
18745 to make use of %lookup% items.
18746
18747
18748 oindex:[%forbid_filter_perl%]
18749 `..'=
18750 %forbid_filter_perl%, Use: 'redirect', Type: 'boolean', Default: 'false'
18751 ===
18752
18753 This option has an effect only if Exim is built with embedded Perl support. If
18754 it is true, string expansions in Exim filter files are not allowed to make use
18755 of the embedded Perl support.
18756
18757
18758 oindex:[%forbid_filter_readfile%]
18759 `..'=
18760 %forbid_filter_readfile%, Use: 'redirect', Type: 'boolean', Default: 'false'
18761 ===
18762
18763 If this option is true, string expansions in Exim filter files are not allowed
18764 to make use of %readfile% items.
18765
18766
18767 oindex:[%forbid_filter_readsocket%]
18768 `..'=
18769 %forbid_filter_readsocket%, Use: 'redirect', Type: 'boolean', Default: 'false'
18770 ===
18771
18772 If this option is true, string expansions in Exim filter files are not allowed
18773 to make use of %readsocket% items.
18774
18775
18776 oindex:[%forbid_filter_reply%]
18777 `..'=
18778 %forbid_filter_reply%, Use: 'redirect', Type: 'boolean', Default: 'false'
18779 ===
18780
18781 If this option is true, this router may not generate an automatic reply
18782 message. Automatic replies can be generated only from Exim
18783
18784 or Sieve filter files, not from traditional forward files.
18785
18786 This option is forced to be true if %one_time% is set.
18787
18788
18789 oindex:[%forbid_filter_run%]
18790 `..'=
18791 %forbid_filter_run%, Use: 'redirect', Type: 'boolean', Default: 'false'
18792 ===
18793
18794 If this option is true, string expansions in Exim filter files are not allowed
18795 to make use of %run% items.
18796
18797
18798 oindex:[%forbid_include%]
18799 `..'=
18800 %forbid_include%, Use: 'redirect', Type: 'boolean', Default: 'false'
18801 ===
18802
18803 If this option is true, items of the form
18804
18805   :include:<path name>
18806
18807 are not permitted in non-filter redirection lists.
18808
18809
18810 oindex:[%forbid_pipe%]
18811 `..'=
18812 %forbid_pipe%, Use: 'redirect', Type: 'boolean', Default: 'false'
18813 ===
18814
18815 cindex:[delivery,to pipe; forbidding]
18816 If this option is true, this router may not generate a new address which
18817 specifies delivery to a pipe, either from an Exim filter or from a conventional
18818 forward file. This option is forced to be true if %one_time% is set.
18819
18820
18821 oindex:[%forbid_sieve_filter%]
18822 `..'=
18823 %forbid_sieve_filter%, Use: 'redirect', Type: 'boolean', Default: 'false'
18824 ===
18825
18826 If this option is set true, only Exim filters are permitted when
18827 %allow_filter% is true.
18828
18829
18830
18831
18832 oindex:[%hide_child_in_errmsg%]
18833 `..'=
18834 %hide_child_in_errmsg%, Use: 'redirect', Type: 'boolean', Default: 'false'
18835 ===
18836
18837 cindex:[bounce message,redirection details; suppressing]
18838 If this option is true, it prevents Exim from quoting a child address if it
18839 generates a bounce or delay message for it. Instead it says ``an address
18840 generated from <''the top level address'>'. Of course, this applies only to
18841 bounces generated locally. If a message is forwarded to another host, 'its'
18842 bounce may well quote the generated address.
18843
18844
18845 oindex:[%ignore_eacces%]
18846 `..'=
18847 %ignore_eacces%, Use: 'redirect', Type: 'boolean', Default: 'false'
18848 ===
18849
18850 cindex:[EACCES]
18851 If this option is set and an attempt to open a redirection file yields the
18852 EACCES error (permission denied), the ^redirect^ router behaves as if the
18853 file did not exist.
18854
18855
18856 oindex:[%ignore_enotdir%]
18857 `..'=
18858 %ignore_enotdir%, Use: 'redirect', Type: 'boolean', Default: 'false'
18859 ===
18860
18861 cindex:[ENOTDIR]
18862 If this option is set and an attempt to open a redirection file yields the
18863 ENOTDIR error (something on the path is not a directory), the ^redirect^
18864 router behaves as if the file did not exist.
18865
18866 Setting %ignore_enotdir% has another effect as well: When a ^redirect^
18867 router that has the %file% option set discovers that the file does not exist
18868 (the ENOENT error), it tries to 'stat()' the parent directory, as a check
18869 against unmounted NFS directories. If the parent can not be statted, delivery
18870 is deferred. However, it seems wrong to do this check when %ignore_enotdir% is
18871 set, because that option tells Exim to ignore ``something on the path is not a
18872 directory'' (the ENOTDIR error). This is a confusing area, because it seems
18873 that some operating systems give ENOENT where others give ENOTDIR.
18874
18875
18876
18877 oindex:[%include_directory%]
18878 `..'=
18879 %include_directory%, Use: 'redirect', Type: 'string', Default: 'unset'
18880 ===
18881
18882 If this option is set, the path names of any ':include:' items in a redirection
18883 list must start with this directory.
18884
18885
18886 oindex:[%modemask%]
18887 `..'=
18888 %modemask%, Use: 'redirect', Type: 'octal integer', Default: '022'
18889 ===
18890
18891 This specifies mode bits which must not be set for a file specified by the
18892 %file% option. If any of the forbidden bits are set, delivery is deferred.
18893
18894
18895 oindex:[%one_time%]
18896 `..'=
18897 %one_time%, Use: 'redirect', Type: 'boolean', Default: 'false'
18898 ===
18899
18900 cindex:[one-time aliasing/forwarding expansion]
18901 cindex:[alias file,one-time expansion]
18902 cindex:[forward file,one-time expansion]
18903 cindex:[mailing lists,one-time expansion]
18904 cindex:[address redirection,one-time expansion]
18905 Sometimes the fact that Exim re-evaluates aliases and reprocesses redirection
18906 files each time it tries to deliver a message causes a problem when one or more
18907 of the generated addresses fails be delivered at the first attempt. The problem
18908 is not one of duplicate delivery -- Exim is clever enough to handle that -- but
18909 of what happens when the redirection list changes during the time that the
18910 message is on Exim's queue. This is particularly true in the case of mailing
18911 lists, where new subscribers might receive copies of messages that were posted
18912 before they subscribed.
18913
18914 If %one_time% is set and any addresses generated by the router fail to deliver
18915 at the first attempt, the failing addresses are added to the message as ``top
18916 level'' addresses, and the parent address that generated them is marked
18917 ``delivered''. Thus, redirection does not happen again at the next delivery
18918 attempt.
18919
18920 *Warning 1*: Any header line addition or removal that is specified by this
18921 router would be lost if delivery did not succeed at the first attempt. For this
18922 reason, the %headers_add% and %headers_remove% generic options are not
18923 permitted when %one_time% is set.
18924
18925 *Warning 2*: To ensure that the router generates only addresses (as opposed
18926 to pipe or file deliveries or auto-replies) %forbid_file%, %forbid_pipe%,
18927 and %forbid_filter_reply% are forced to be true when %one_time% is set.
18928
18929 [revisionflag="changed"]
18930 *Warning 3*: The %unseen% generic router option may not be set with %one_time%.
18931
18932 The original top-level address is remembered with each of the generated
18933 addresses, and is output in any log messages. However, any intermediate parent
18934 addresses are not recorded. This makes a difference to the log only if
18935 %all_parents% log selector is set. It is expected that %one_time% will
18936 typically be used for mailing lists, where there is normally just one level of
18937 expansion.
18938
18939
18940 oindex:[%owners%]
18941 `..'=
18942 %owners%, Use: 'redirect', Type: 'string list', Default: 'unset'
18943 ===
18944
18945 cindex:[ownership,alias file]
18946 cindex:[ownership,forward file]
18947 cindex:[alias file,ownership]
18948 cindex:[forward file,ownership]
18949 This specifies a list of permitted owners for the file specified by %file%.
18950 This list is in addition to the local user when %check_local_user% is set.
18951 See %check_owner% above.
18952
18953
18954 oindex:[%owngroups%]
18955 `..'=
18956 %owngroups%, Use: 'redirect', Type: 'string list', Default: 'unset'
18957 ===
18958
18959 This specifies a list of permitted groups for the file specified by %file%. The
18960 list is in addition to the local user's primary group when %check_local_user%
18961 is set. See %check_group% above.
18962
18963
18964 oindex:[%pipe_transport%]
18965 `..'=
18966 %pipe_transport%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
18967 ===
18968
18969 cindex:[$address_pipe$]
18970 A ^redirect^ router sets up a direct delivery to a pipe when a string starting
18971 with a vertical bar character is specified as a new ``address''. The transport
18972 used is specified by this option, which, after expansion, must be the name of a
18973 configured transport. This should normally be a ^pipe^ transport. When the
18974 transport is run, the pipe command is in $address_pipe$.
18975
18976
18977 oindex:[%qualify_domain%]
18978 `..'=
18979 %qualify_domain%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
18980 ===
18981
18982 cindex:[$qualify_recipient$]
18983 If this option is set and an unqualified address (one without a domain) is
18984 generated, it is qualified with the domain specified by expanding this string,
18985 instead of the global setting in %qualify_recipient%. If the expansion fails,
18986 the router declines. If you want to revert to the default, you can have the
18987 expansion generate $qualify_recipient$.
18988
18989
18990 oindex:[%qualify_preserve_domain%]
18991 `..'=
18992 %qualify_preserve_domain%, Use: 'redirect', Type: 'boolean', Default: 'false'
18993 ===
18994
18995 cindex:[domain,in redirection; preserving]
18996 cindex:[preserving domain in redirection]
18997 cindex:[address redirection,domain; preserving]
18998 If this is set and an unqualified address (one without a domain) is generated,
18999 it is qualified with the domain of the
19000 parent address (the immediately preceding ancestor) instead of the local
19001 %qualify_domain% or global %qualify_recipient% value.
19002
19003
19004 oindex:[%repeat_use%]
19005 `..'=
19006 %repeat_use%, Use: 'redirect', Type: 'boolean', Default: 'true'
19007 ===
19008
19009 If this option is set false, the router is skipped for a child address that has
19010 any ancestor that was routed by this router. This test happens before any of
19011 the other preconditions are tested. Exim's default anti-looping rules skip
19012 only when the ancestor is the same as the current address. See also
19013 %check_ancestor% above and the generic %redirect_router% option.
19014
19015
19016 oindex:[%reply_transport%]
19017 `..'=
19018 %reply_transport%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
19019 ===
19020
19021 A ^redirect^ router sets up an automatic reply when a %mail% or %vacation%
19022 command is used in a filter file. The transport used is specified by this
19023 option, which, after expansion, must be the name of a configured transport.
19024 This should normally be an ^autoreply^ transport. Other transports are
19025 unlikely to do anything sensible or useful.
19026
19027
19028 oindex:[%rewrite%]
19029 `..'=
19030 %rewrite%, Use: 'redirect', Type: 'boolean', Default: 'true'
19031 ===
19032
19033 cindex:[address redirection,disabling rewriting]
19034 If this option is set false, addresses generated by the router are not
19035 subject to address rewriting. Otherwise, they are treated like new addresses
19036 and are rewritten according to the global rewriting rules.
19037
19038
19039 oindex:[%sieve_subaddress%]
19040 `..'=
19041 %sieve_subaddress%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
19042 ===
19043
19044 [revisionflag="changed"]
19045 The value of this option is passed to a Sieve filter to specify the
19046 :subaddress part of an address.
19047
19048
19049 oindex:[%sieve_useraddress%]
19050 `..'=
19051 %sieve_useraddress%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
19052 ===
19053
19054 [revisionflag="changed"]
19055 The value of this option is passed to a Sieve filter to specify the :user part
19056 of an address. However, if it is unset, the entire original local part
19057 (including any prefix or suffix) is used for :user.
19058
19059
19060
19061 oindex:[%sieve_vacation_directory%]
19062 `..'=
19063 %sieve_vacation_directory%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
19064 ===
19065
19066 [revisionflag="changed"]
19067 cindex:[Sieve filter,vacation directory]
19068 To enable the ``vacation'' extension for Sieve filters, you must set
19069 %sieve_vacation_directory% to the directory where vacation databases are held
19070 (do not put anything else in that directory), and ensure that the
19071 %reply_transport% option refers to an ^autoreply^ transport. Each user needs
19072 their own directory; Exim will create it if necessary.
19073
19074
19075
19076
19077 oindex:[%skip_syntax_errors%]
19078 `..'=
19079 %skip_syntax_errors%, Use: 'redirect', Type: 'boolean', Default: 'false'
19080 ===
19081
19082 cindex:[forward file,broken]
19083 cindex:[address redirection,broken files]
19084 cindex:[alias file,broken]
19085 cindex:[broken alias or forward files]
19086 cindex:[ignoring faulty addresses]
19087 cindex:[skipping faulty addresses]
19088 cindex:[error,skipping bad syntax]
19089 If %skip_syntax_errors% is set, syntactically malformed addresses in
19090 non-filter redirection data are skipped, and each failing address is logged. If
19091 %syntax_errors_to% is set, a message is sent to the address it defines,
19092 giving details of the failures. If %syntax_errors_text% is set, its contents
19093 are expanded and placed at the head of the error message generated by
19094 %syntax_errors_to%. Usually it is appropriate to set %syntax_errors_to% to
19095 be the same address as the generic %errors_to% option. The
19096 %skip_syntax_errors% option is often used when handling mailing lists.
19097
19098 If all the addresses in a redirection list are skipped because of syntax
19099 errors, the router declines to handle the original address, and it is passed to
19100 the following routers.
19101
19102 If %skip_syntax_errors% is set when an Exim filter is interpreted, any syntax
19103 error in the filter causes filtering to be abandoned without any action being
19104 taken. The incident is logged, and the router declines to handle the address,
19105 so it is passed to the following routers.
19106
19107 cindex:[Sieve filter,syntax errors in]
19108 Syntax errors in a Sieve filter file cause the ``keep'' action to occur. This
19109 action is specified by RFC 3028. The values of %skip_syntax_errors%,
19110 %syntax_errors_to%, and %syntax_errors_text% are not used.
19111
19112 %skip_syntax_errors% can be used to specify that errors in users' forward
19113 lists or filter files should not prevent delivery. The %syntax_errors_to%
19114 option, used with an address that does not get redirected, can be used to
19115 notify users of these errors, by means of a router like this:
19116
19117 ....
19118 userforward:
19119   driver = redirect
19120   allow_filter
19121   check_local_user
19122   file = $home/.forward
19123   file_transport = address_file
19124   pipe_transport = address_pipe
19125   reply_transport = address_reply
19126   no_verify
19127   skip_syntax_errors
19128   syntax_errors_to = real-$local_part\$domain
19129   syntax_errors_text = \
19130     This is an automatically generated message. An error has\n\
19131     been found in your .forward file. Details of the error are\n\
19132     reported below. While this error persists, you will receive\n\
19133     a copy of this message for every message that is addressed\n\
19134     to you. If your .forward file is a filter file, or if it is\n\
19135     a non-filter file containing no valid forwarding addresses,\n\
19136     a copy of each incoming message will be put in your normal\n\
19137     mailbox. If a non-filter file contains at least one valid\n\
19138     forwarding address, forwarding to the valid addresses will\n\
19139     happen, and those will be the only deliveries that occur.
19140 ....
19141
19142 You also need a router to ensure that local addresses that are prefixed by
19143 `real-` are recognized, but not forwarded or filtered. For example, you could
19144 put this immediately before the ^userforward^ router:
19145
19146   real_localuser:
19147     driver = accept
19148     check_local_user
19149     local_part_prefix = real-
19150     transport = local_delivery
19151
19152
19153
19154 oindex:[%syntax_errors_text%]
19155 `..'=
19156 %syntax_errors_text%, Use: 'redirect', Type: 'string'!!, Default: 'unset'
19157 ===
19158
19159 See %skip_syntax_errors% above.
19160
19161
19162 oindex:[%syntax_errors_to%]
19163 `..'=
19164 %syntax_errors_to%, Use: 'redirect', Type: 'string', Default: 'unset'
19165 ===
19166
19167 See %skip_syntax_errors% above.
19168
19169
19170
19171
19172
19173
19174 ////////////////////////////////////////////////////////////////////////////
19175 ////////////////////////////////////////////////////////////////////////////
19176
19177 [[CHAPenvironment]]
19178 [titleabbrev="Environment for local transports"]
19179 Environment for running local transports
19180 ----------------------------------------
19181 cindex:[local transports,environment for]
19182 cindex:[environment for local transports]
19183 cindex:[transport,local; environment for]
19184 Local transports handle deliveries to files and pipes. (The ^autoreply^
19185 transport can be thought of as similar to a pipe.) Exim always runs transports
19186 in subprocesses, under specified uids and gids. Typical deliveries to local
19187 mailboxes run under the uid and gid of the local user.
19188
19189 Exim also sets a specific current directory while running the transport; for
19190 some transports a home directory setting is also relevant. The ^pipe^
19191 transport is the only one that sets up environment variables; see section
19192 <<SECTpipeenv>> for details.
19193
19194 The values used for the uid, gid, and the directories may come from several
19195 different places. In many cases, the router that handles the address associates
19196 settings with that address as a result of its %check_local_user%, %group%, or
19197 %user% options. However, values may also be given in the transport's own
19198 configuration, and these override anything that comes from the router.
19199
19200
19201
19202 Concurrent deliveries
19203 ~~~~~~~~~~~~~~~~~~~~~
19204 cindex:[concurrent deliveries]
19205 cindex:[simultaneous deliveries]
19206 If two different messages for the same local recpient arrive more or less
19207 simultaneously, the two delivery processes are likely to run concurrently. When
19208 the ^appendfile^ transport is used to write to a file, Exim applies locking
19209 rules to stop concurrent processes from writing to the same file at the same
19210 time.
19211
19212 However, when you use a ^pipe^ transport, it is up to you to arrange any
19213 locking that is needed. Here is a silly example:
19214
19215   my_transport:
19216     driver = pipe
19217     command = /bin/sh -c 'cat >>/some/file'
19218
19219 This is supposed to write the message at the end of the file. However, if two
19220 messages arrive at the same time, the file will be scrambled. You can use the
19221 %exim_lock% utility program (see section <<SECTmailboxmaint>>) to lock a file
19222 using the same algorithm that Exim itself uses.
19223
19224
19225
19226
19227 [[SECTenvuidgid]]
19228 Uids and gids
19229 ~~~~~~~~~~~~~
19230 cindex:[local transports,uid and gid]
19231 cindex:[transport,local; uid and gid]
19232 All transports have the options %group% and %user%. If %group% is set, it
19233 overrides any group that the router set in the address, even if %user% is not
19234 set for the transport. This makes it possible, for example, to run local mail
19235 delivery under the uid of the recipient (set by the router), but in a special
19236 group (set by the transport). For example:
19237
19238   # Routers ...
19239   # User/group are set by check_local_user in this router
19240   local_users:
19241     driver = accept
19242     check_local_user
19243     transport = group_delivery
19244
19245   # Transports ...
19246   # This transport overrides the group
19247   group_delivery:
19248     driver = appendfile
19249     file = /var/spool/mail/$local_part
19250     group = mail
19251
19252 If %user% is set for a transport, its value overrides what is set in the
19253 address. If %user% is non-numeric and %group% is not set, the gid associated
19254 with the user is used. If %user% is numeric, %group% must be set.
19255
19256 cindex:[%initgroups% option]
19257 When the uid is taken from the transport's configuration, the 'initgroups()'
19258 function is called for the groups associated with that uid if the %initgroups%
19259 option is set for the transport. When the uid is not specified by the
19260 transport, but is associated with the address by a router, the option for
19261 calling 'initgroups()' is taken from the router configuration.
19262
19263 cindex:[^pipe^ transport,uid for]
19264 The ^pipe^ transport contains the special option %pipe_as_creator%. If this
19265 is set and %user% is not set, the uid of the process that called Exim to
19266 receive the message is used, and if %group% is not set, the corresponding
19267 original gid is also used.
19268
19269
19270
19271 Current and home directories
19272 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
19273 cindex:[current directory for local transport]
19274 cindex:[home directory,for local transport]
19275 cindex:[transport,local; home directory for]
19276 cindex:[transport,local; current directory for]
19277 Routers may set current and home directories for local transports by means of
19278 the %transport_current_directory% and %transport_home_directory% options.
19279 However, if the transport's %current_directory% or %home_directory% options
19280 are set, they override the router's values. In detail, the home directory
19281 for a local transport is taken from the first of these values that is set:
19282
19283 - The %home_directory% option on the transport;
19284
19285 - The %transport_home_directory% option on the router;
19286
19287 - The password data if %check_local_user% is set on the router;
19288
19289 - The %router_home_directory% option on the router.
19290
19291 The current directory is taken from the first of these values that is set:
19292
19293 - The %current_directory% option on the transport;
19294
19295 - The %transport_current_directory% option on the router.
19296
19297
19298 If neither the router nor the transport sets a current directory, Exim uses the
19299 value of the home directory, if it is set. Otherwise it sets the current
19300 directory to _/_ before running a local transport.
19301
19302
19303
19304 Expansion variables derived from the address
19305 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
19306 cindex:[$domain$]
19307 cindex:[$local_part$]
19308 cindex:[$original_domain$]
19309 Normally a local delivery is handling a single address, and in that case the
19310 variables such as $domain$ and $local_part$ are set during local deliveries.
19311 However, in some circumstances more than one address may be handled at once
19312 (for example, while writing batch SMTP for onward transmission by some other
19313 means). In this case, the variables associated with the local part are never
19314 set, $domain$ is set only if all the addresses have the same domain, and
19315 $original_domain$ is never set.
19316
19317
19318
19319
19320
19321
19322
19323 ////////////////////////////////////////////////////////////////////////////
19324 ////////////////////////////////////////////////////////////////////////////
19325
19326 [[CHAPtransportgeneric]]
19327 Generic options for transports
19328 ------------------------------
19329
19330 cindex:[generic options,transport]
19331 cindex:[options,generic; for transports]
19332 cindex:[transport,generic options for]
19333 The following generic options apply to all transports:
19334
19335
19336 oindex:[%body_only%]
19337 `..'=
19338 %body_only%, Use: 'transports', Type: 'boolean', Default: 'false'
19339 ===
19340
19341 cindex:[transport,body only]
19342 cindex:[message,transporting body only]
19343 cindex:[body of message,transporting]
19344 If this option is set, the message's headers are not transported. It is
19345 mutually exclusive with %headers_only%. If it is used with the ^appendfile^ or
19346 ^pipe^ transports, the settings of %message_prefix% and %message_suffix%
19347 should be checked, because this option does not automatically suppress them.
19348
19349
19350 oindex:[%current_directory%]
19351 `..'=
19352 %current_directory%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19353 ===
19354
19355 cindex:[transport,current directory for]
19356 This specifies the current directory that is to be set while running the
19357 transport, overriding any value that may have been set by the router.
19358 If the expansion fails for any reason, including forced failure, an error is
19359 logged, and delivery is deferred.
19360
19361
19362 oindex:[%disable_logging%]
19363 `..'=
19364 %disable_logging%, Use: 'transports', Type: 'boolean', Default: 'false'
19365 ===
19366
19367 If this option is set true, nothing is logged for any
19368 deliveries by the transport or for any
19369 transport errors. You should not set this option unless you really, really know
19370 what you are doing.
19371
19372
19373 oindex:[%debug_print%]
19374 `..'=
19375 %debug_print%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19376 ===
19377
19378 cindex:[testing,variables in drivers]
19379 If this option is set and debugging is enabled (see the %-d% command line
19380 option), the string is expanded and included in the debugging output when the
19381 transport is run.
19382 If expansion of the string fails, the error message is written to the debugging
19383 output, and Exim carries on processing.
19384 This facility is provided to help with checking out the values of variables and
19385 so on when debugging driver configurations. For example, if a %headers_add%
19386 option is not working properly, %debug_print% could be used to output the
19387 variables it references. A newline is added to the text if it does not end with
19388 one.
19389
19390
19391 oindex:[%delivery_date_add%]
19392 `..'=
19393 %delivery_date_add%, Use: 'transports', Type: 'boolean', Default: 'false'
19394 ===
19395
19396 cindex:['Delivery-date:' header line]
19397 If this option is true, a 'Delivery-date:' header is added to the message. This
19398 gives the actual time the delivery was made. As this is not a standard header,
19399 Exim has a configuration option (%delivery_date_remove%) which requests its
19400 removal from incoming messages, so that delivered messages can safely be resent
19401 to other recipients.
19402
19403
19404 oindex:[%driver%]
19405 `..'=
19406 %driver%, Use: 'transports', Type: 'string', Default: 'unset'
19407 ===
19408
19409 This specifies which of the available transport drivers is to be used.
19410 There is no default, and this option must be set for every transport.
19411
19412
19413 oindex:[%envelope_to_add%]
19414 `..'=
19415 %envelope_to_add%, Use: 'transports', Type: 'boolean', Default: 'false'
19416 ===
19417
19418 cindex:['Envelope-to:' header line]
19419 If this option is true, an 'Envelope-to:' header is added to the message. This
19420 gives the original address(es) in the incoming envelope that caused this
19421 delivery to happen. More than one address may be present if the transport is
19422 configured to handle several addresses at once, or if more than one original
19423 address was redirected to the same final address. As this is not a standard
19424 header, Exim has a configuration option (%envelope_to_remove%) which requests
19425 its removal from incoming messages, so that delivered messages can safely be
19426 resent to other recipients.
19427
19428
19429 oindex:[%group%]
19430 `..'=
19431 %group%, Use: 'transports', Type: 'string'!!, Default: 'Exim group'
19432 ===
19433
19434 cindex:[transport,group; specifying]
19435 This option specifies a gid for running the transport process, overriding any
19436 value that the router supplies, and also overriding any value associated with
19437 %user% (see below).
19438
19439
19440 oindex:[%headers_add%]
19441 `..'=
19442 %headers_add%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19443 ===
19444
19445 cindex:[header lines,adding in transport]
19446 cindex:[transport,header lines; adding]
19447 This option specifies a string of text that is expanded and added to the header
19448 portion of a message as it is transported, as described in section
19449 <<SECTheadersaddrem>>. Additional header lines can also be specified by routers.
19450 If the result of the expansion is an empty string, or if the expansion is
19451 forced to fail, no action is taken. Other expansion failures are treated as
19452 errors and cause the delivery to be deferred.
19453
19454
19455
19456 oindex:[%headers_only%]
19457 `..'=
19458 %headers_only%, Use: 'transports', Type: 'boolean', Default: 'false'
19459 ===
19460
19461 cindex:[transport,header lines only]
19462 cindex:[message,transporting headers only]
19463 cindex:[header lines,transporting]
19464 If this option is set, the message's body is not transported. It is mutually
19465 exclusive with %body_only%. If it is used with the ^appendfile^ or ^pipe^
19466 transports, the settings of %message_prefix% and %message_suffix% should be
19467 checked, since this option does not automatically suppress them.
19468
19469
19470 oindex:[%headers_remove%]
19471 `..'=
19472 %headers_remove%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19473 ===
19474
19475 cindex:[header lines,removing]
19476 cindex:[transport,header lines; removing]
19477 This option specifies a string that is expanded into a list of header names;
19478 these headers are omitted from the message as it is transported, as described
19479 in section <<SECTheadersaddrem>>. Header removal can also be specified by
19480 routers. If the result of the expansion is an empty string, or if the expansion
19481 is forced to fail, no action is taken. Other expansion failures are treated as
19482 errors and cause the delivery to be deferred.
19483
19484
19485
19486 oindex:[%headers_rewrite%]
19487 `..'=
19488 %headers_rewrite%, Use: 'transports', Type: 'string', Default: 'unset'
19489 ===
19490
19491 cindex:[transport,header lines; rewriting]
19492 cindex:[rewriting,at transport time]
19493 This option allows addresses in header lines to be rewritten at transport time,
19494 that is, as the message is being copied to its destination. The contents of the
19495 option are a colon-separated list of rewriting rules. Each rule is in exactly
19496 the same form as one of the general rewriting rules that are applied when a
19497 message is received. These are described in chapter <<CHAPrewrite>>. For example,
19498
19499 ....
19500 headers_rewrite = a@b c@d f : \
19501                   x@y w@z
19502 ....
19503
19504 changes %a@b% into %c@d% in 'From:' header lines, and %x@y% into %w@z% in
19505 all address-bearing header lines. The rules are applied to the header lines
19506 just before they are written out at transport time, so they affect only those
19507 copies of the message that pass through the transport. However, only the
19508 message's original header lines, and any that were added by a system filter,
19509 are rewritten. If a router or transport adds header lines, they are
19510 not affected by this option. These rewriting rules are 'not' applied to the
19511 envelope. You can change the return path using %return_path%, but you cannot
19512 change envelope recipients at this time.
19513
19514
19515 oindex:[%home_directory%]
19516 `..'=
19517 %home_directory%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19518 ===
19519
19520 cindex:[transport,home directory for]
19521 cindex:[$home$]
19522 This option specifies a home directory setting for the transport, overriding
19523 any value that may be set by the router. The home directory is placed in
19524 $home$ while expanding the transport's private options. It is also used as
19525 the current directory if no current directory is set by the
19526 %current_directory% option on the transport or the
19527 %transport_current_directory% option on the router.
19528 If the expansion fails for any reason, including forced failure, an error is
19529 logged, and delivery is deferred.
19530
19531
19532 oindex:[%initgroups%]
19533 `..'=
19534 %initgroups%, Use: 'transports', Type: 'boolean', Default: 'false'
19535 ===
19536
19537 cindex:[additional groups]
19538 cindex:[groups, additional]
19539 cindex:[transport,group; additional]
19540 If this option is true and the uid for the delivery process is provided by the
19541 transport, the 'initgroups()' function is called when running the transport
19542 to ensure that any additional groups associated with the uid are set up.
19543
19544
19545 oindex:[%message_size_limit%]
19546 `..'=
19547 %message_size_limit%, Use: 'transports', Type: 'string'!!, Default: '0'
19548 ===
19549
19550 cindex:[limit,message size per transport]
19551 cindex:[size of message, limit]
19552 cindex:[transport,message size; limiting]
19553 This option controls the size of messages passed through the transport. It is
19554 expanded before use; the result of the expansion must be a sequence of digits,
19555 optionally followed by K or M.
19556 If the expansion fails for any reason, including forced failure, or if the
19557 result is not of the required form, delivery is deferred.
19558 If the value is greater than zero and the size of a message exceeds this
19559 limit, the address is failed. If there is any chance that the resulting bounce
19560 message could be routed to the same transport, you should ensure that
19561 %return_size_limit% is less than the transport's %message_size_limit%, as
19562 otherwise the bounce message will fail to get delivered.
19563
19564
19565
19566 oindex:[%rcpt_include_affixes%]
19567 `..'=
19568 %rcpt_include_affixes%, Use: 'transports', Type: 'boolean', Default: 'false'
19569 ===
19570
19571 cindex:[prefix,for local part; including in envelope]
19572 cindex:[suffix,for local part; including in envelope]
19573 cindex:[local part,prefix]
19574 cindex:[local part,suffix]
19575 When this option is false (the default), and an address that has had any
19576 affixes (prefixes or suffixes) removed from the local part is delivered by any
19577 form of SMTP or LMTP, the affixes are not included. For example, if a router
19578 that contains
19579
19580   local_part_prefix = *-
19581
19582 routes the address 'abc-xyz@some.domain' to an SMTP transport, the envelope
19583 is delivered with
19584
19585   RCPT TO:<xyz@some.domain>
19586
19587 [revisionflag="changed"]
19588 This is also the case when an ACL-time callout is being used to verify a
19589 recipient address.
19590
19591 If %rcpt_include_affixes% is set true, the whole local part is included in
19592 the RCPT command. This option applies to BSMTP deliveries by the
19593 ^appendfile^ and ^pipe^ transports as well as to the ^lmtp^ and ^smtp^
19594 transports.
19595
19596
19597 oindex:[%retry_use_local_part%]
19598 `..'=
19599 %retry_use_local_part%, Use: 'transports', Type: 'boolean', Default: 'see below'
19600 ===
19601
19602 cindex:[hints database,retry keys]
19603 When a delivery suffers a temporary failure, a retry record is created
19604 in Exim's hints database. For remote deliveries, the key for the retry record
19605 is based on the name and/or IP address of the failing remote host. For local
19606 deliveries, the key is normally the entire address, including both the local
19607 part and the domain. This is suitable for most common cases of local delivery
19608 temporary failure -- for example, exceeding a mailbox quota should delay only
19609 deliveries to that mailbox, not to the whole domain.
19610
19611 However, in some special cases you may want to treat a temporary local delivery
19612 as a failure associated with the domain, and not with a particular local part.
19613 (For example, if you are storing all mail for some domain in files.) You can do
19614 this by setting %retry_use_local_part% false.
19615
19616 For all the local transports, its default value is true. For remote transports,
19617 the default value is false for tidiness, but changing the value has no effect
19618 on a remote transport in the current implementation.
19619
19620
19621 oindex:[%return_path%]
19622 `..'=
19623 %return_path%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19624 ===
19625
19626 cindex:[envelope sender]
19627 cindex:[transport,return path; changing]
19628 cindex:[return path,changing in transport]
19629 If this option is set, the string is expanded at transport time and replaces
19630 the existing return path (envelope sender) value in the copy of the message
19631 that is being delivered. An empty return path is permitted. This feature is
19632 designed for remote deliveries, where the value of this option is used in the
19633 SMTP MAIL command. If you set %return_path% for a local transport, the
19634 only effect is to change the address that is placed in the 'Return-path:'
19635 header line, if one is added to the message (see the next option).
19636
19637 cindex:[$return_path$]
19638 The expansion can refer to the existing value via $return_path$. This is
19639 either the message's envelope sender, or an address set by the
19640 %errors_to% option on a router. If the expansion is forced to fail, no
19641 replacement occurs; if it fails for another reason, delivery is deferred. This
19642 option can be used to support VERP (Variable Envelope Return Paths) -- see
19643 chapter <<CHAPSMTP>>.
19644
19645 *Note*: If a delivery error is detected locally,
19646 including the case when a remote server rejects a message at SMTP time,
19647 the bounce message is not sent to the value of this option, but to the
19648 previously set errors address (which defaults to the incoming sender address).
19649
19650
19651
19652 oindex:[%return_path_add%]
19653 `..'=
19654 %return_path_add%, Use: 'transports', Type: 'boolean', Default: 'false'
19655 ===
19656
19657 cindex:['Return-path:' header line]
19658 If this option is true, a 'Return-path:' header is added to the message.
19659 Although the return path is normally available in the prefix line of BSD
19660 mailboxes, this is commonly not displayed by MUAs, and so the user does not
19661 have easy access to it.
19662
19663 RFC 2821 states that the 'Return-path:' header is added to a message ``when the
19664 delivery SMTP server makes the final delivery''. This implies that this header
19665 should not be present in incoming messages. Exim has a configuration option,
19666 %return_path_remove%, which requests removal of this header from incoming
19667 messages, so that delivered messages can safely be resent to other recipients.
19668
19669
19670 oindex:[%shadow_condition%]
19671 `..'=
19672 %shadow_condition%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19673 ===
19674
19675 See %shadow_transport% below.
19676
19677
19678 oindex:[%shadow_transport%]
19679 `..'=
19680 %shadow_transport%, Use: 'transports', Type: 'string', Default: 'unset'
19681 ===
19682
19683 cindex:[shadow transport]
19684 cindex:[transport,shadow]
19685 A local transport may set the %shadow_transport% option to the name of another
19686 local transport. Shadow remote transports are not supported.
19687
19688 Whenever a delivery to the main transport succeeds, and either
19689 %shadow_condition% is unset, or its expansion does not result in the empty
19690 string or one of the strings ``0'' or ``no'' or ``false'', the message is also passed
19691 to the shadow transport, with the same delivery address or addresses.
19692 If expansion fails, no action is taken except that non-forced expansion
19693 failures cause a log line to be written.
19694
19695 The result of the shadow transport is discarded and does not affect the
19696 subsequent processing of the message. Only a single level of shadowing is
19697 provided; the %shadow_transport% option is ignored on any transport when it is
19698 running as a shadow. Options concerned with output from pipes are also ignored.
19699
19700 The log line for the successful delivery has an item added on the end, of the
19701 form
19702
19703   ST=<shadow transport name>
19704
19705 If the shadow transport did not succeed, the error message is put in
19706 parentheses afterwards.
19707
19708 Shadow transports can be used for a number of different purposes, including
19709 keeping more detailed log information than Exim normally provides, and
19710 implementing automatic acknowledgement policies based on message headers that
19711 some sites insist on.
19712
19713
19714 oindex:[%transport_filter%]
19715 `..'=
19716 %transport_filter%, Use: 'transports', Type: 'string'!!, Default: 'unset'
19717 ===
19718
19719 cindex:[transport,filter]
19720 cindex:[filter,transport filter]
19721 This option sets up a filtering (in the Unix shell sense) process for messages
19722 at transport time. It should not be confused with mail filtering as set up by
19723 individual users or via a system filter.
19724
19725 When the message is about to be written out, the command specified by
19726 %transport_filter% is started up in a separate process, and the entire message,
19727 including the header lines, is passed to it on its standard input (this in fact
19728 is done from a third process, to avoid deadlock). The command must be specified
19729 as an absolute path.
19730
19731 The lines of the message that are written to the transport filter are
19732 terminated by newline (``\n''). The message is passed to the filter before any
19733 SMTP-specific processing, such as turning ``\n'' into ``\r\n'' and escaping
19734 lines beginning with a dot, and also before any processing implied by the
19735 settings of %check_string% and %escape_string% in the ^appendfile^ or ^pipe^
19736 transports.
19737
19738 The standard error for the filter process is set to the same destination as its
19739 standard output; this is read and written to the message's ultimate
19740 destination. The filter can perform any transformations it likes, but of course
19741 should take care not to break RFC 2822 syntax. A demonstration Perl script is
19742 provided in _util/transport-filter.pl_; this makes a few arbitrary
19743 modifications just to show the possibilities. Exim does not check the result,
19744 except to test for a final newline when SMTP is in use. All messages
19745 transmitted over SMTP must end with a newline, so Exim supplies one if it is
19746 missing.
19747
19748 [revisionflag="changed"]
19749 cindex:[content scanning,per user]
19750 A transport filter can be used to provide content-scanning on a per-user basis
19751 at delivery time if the only required effect of the scan is to modify the
19752 message. For example, a content scan could insert a new header line containing
19753 a spam score. This could be interpreted by a filter in the user's MUA. It is
19754 not possible to discard a message at this stage.
19755
19756 cindex:[SMTP,SIZE]
19757 A problem might arise if the filter increases the size of a message that is
19758 being sent down an SMTP connection. If the receiving SMTP server has indicated
19759 support for the SIZE parameter, Exim will have sent the size of the message
19760 at the start of the SMTP session. If what is actually sent is substantially
19761 more, the server might reject the message. This can be worked round by setting
19762 the %size_addition% option on the ^smtp^ transport, either to allow for
19763 additions to the message, or to disable the use of SIZE altogether.
19764
19765 cindex:[$pipe_addresses$]
19766 The value of the %transport_filter% option is the command string for starting
19767 the filter, which is run directly from Exim, not under a shell. The string is
19768 parsed by Exim in the same way as a command string for the ^pipe^ transport:
19769 Exim breaks it up into arguments and then expands each argument separately. The
19770 special argument $pipe_addresses$ is replaced by a number of arguments, one
19771 for each address that applies to this delivery. (This isn't an ideal name for
19772 this feature here, but as it was already implemented for the ^pipe^
19773 transport, it seemed sensible not to change it.)
19774
19775 cindex:[$host$]
19776 cindex:[$host_address$]
19777 The expansion variables $host$ and $host_address$ are available when the
19778 transport is a remote one. They contain the name and IP address of the host to
19779 which the message is being sent. For example:
19780
19781 ....
19782 transport_filter = /some/directory/transport-filter.pl \
19783   $host $host_address $sender_address $pipe_addresses
19784 ....
19785
19786 The filter process is run under the same uid and gid as the normal delivery.
19787 For remote deliveries this is the Exim uid/gid by default.
19788
19789 The command should normally yield a zero return code. A non-zero code is taken
19790 to mean that the transport filter failed in some way. Delivery of the message
19791 is deferred. It is not possible to cause a message to be bounced from a
19792 transport filter.
19793
19794
19795 If a transport filter is set on an autoreply transport, the original message is
19796 passed through the filter as it is being copied into the newly generated
19797 message, which happens if the %return_message% option is set.
19798
19799
19800 oindex:[%transport_filter_timeout%]
19801 `..'=
19802 %transport_filter_timeout%, Use: 'transports', Type: 'time', Default: '5m'
19803 ===
19804
19805 [revisionflag="changed"]
19806 cindex:[transport filter, timeout]
19807 When Exim is reading the output of a transport filter, it a applies a timeout
19808 that can be set by this option. Exceeding the timeout is normally treated as a
19809 temporary delivery failure. However, if a transport filter is used with a
19810 ^pipe^ transport, a timeout in the transport filter is treated in the same way
19811 as a timeout in the pipe command itself. By default, a timeout is a hard error,
19812 but if the ^pipe^ transport's %timeout_defer% option is set true, it becomes a
19813 temporary error.
19814
19815
19816
19817 oindex:[%user%]
19818 `..'=
19819 %user%, Use: 'transports', Type: 'string'!!, Default: 'Exim user'
19820 ===
19821
19822 cindex:[uid (user id),local delivery]
19823 cindex:[transport user, specifying]
19824 This option specifies the user under whose uid the delivery process is to be
19825 run, overriding any uid that may have been set by the router. If the user is
19826 given as a name, the uid is looked up from the password data, and the
19827 associated group is taken as the value of the gid to be used if the %group%
19828 option is not set.
19829
19830 For deliveries that use local transports, a user and group are normally
19831 specified explicitly or implicitly (for example, as a result of
19832 %check_local_user%) by the router or transport.
19833
19834 cindex:[hints database,access by remote transport]
19835 For remote transports, you should leave this option unset unless you really are
19836 sure you know what you are doing. When a remote transport is running, it needs
19837 to be able to access Exim's hints databases, because each host may have its own
19838 retry data.
19839
19840
19841
19842
19843
19844
19845 ////////////////////////////////////////////////////////////////////////////
19846 ////////////////////////////////////////////////////////////////////////////
19847
19848 [[CHAPbatching]]
19849 [titleabbrev="Address batching"]
19850 Address batching in local transports
19851 ------------------------------------
19852 cindex:[transport,local; address batching in]
19853 The only remote transport (^smtp^) is normally configured to handle more than
19854 one address at a time, so that when several addresses are routed to the same
19855 remote host, just one copy of the message is sent. Local transports, however,
19856 normally handle one address at a time. That is, a separate instance of the
19857 transport is run for each address that is routed to the transport. A separate
19858 copy of the message is delivered each time.
19859
19860 cindex:[batched local delivery]
19861 cindex:[%batch_max%]
19862 cindex:[%batch_id%]
19863 In special cases, it may be desirable to handle several addresses at once in a
19864 local transport, for example:
19865
19866 - In an ^appendfile^ transport, when storing messages in files for later
19867 delivery by some other means, a single copy of the message with multiple
19868 recipients saves space.
19869
19870 - In an ^lmtp^ transport, when delivering over ``local SMTP'' to some process,
19871 a single copy saves time, and is the normal way LMTP is expected to work.
19872
19873 - In a ^pipe^ transport, when passing the message
19874 to a scanner program or
19875 to some other delivery mechanism such as UUCP, multiple recipients may be
19876 acceptable.
19877
19878 The three local transports (^appendfile^, ^lmtp^, and ^pipe^) all have
19879 the same options for controlling multiple (``batched'') deliveries, namely
19880 %batch_max% and %batch_id%. To save repeating the information for each
19881 transport, these options are described here.
19882
19883 The %batch_max% option specifies the maximum number of addresses that can be
19884 delivered together in a single run of the transport. Its default value is one.
19885 When more than one address is routed to a transport that has a %batch_max%
19886 value greater than one, the addresses are delivered in a batch (that is, in a
19887 single run of the transport), subject to certain conditions:
19888
19889 - cindex:[$local_part$]
19890 If any of the transport's options contain a reference to $local_part$, no
19891 batching is possible.
19892
19893 - cindex:[$domain$]
19894 If any of the transport's options contain a reference to $domain$, only
19895 addresses with the same domain are batched.
19896
19897 - cindex:[customizing,batching condition]
19898 If %batch_id% is set, it is expanded for each address, and only those
19899 addresses with the same expanded value are batched. This allows you to specify
19900 customized batching conditions.
19901 Failure of the expansion for any reason, including forced failure, disables
19902 batching, but it does not stop the delivery from taking place.
19903
19904 - Batched addresses must also have the same errors address (where to send
19905 delivery errors), the same header additions and removals, the same user and
19906 group for the transport, and if a host list is present, the first host must
19907 be the same.
19908
19909 cindex:['Envelope-to:' header line]
19910 If the generic %envelope_to_add% option is set for the transport, the
19911 'Envelope-to:' header that is added to the message contains all the addresses
19912 that are batched together.
19913
19914 The ^appendfile^ and ^pipe^ transports have an option called %use_bsmtp%,
19915 which causes them to deliver the message in ``batched SMTP'' format, with the
19916 envelope represented as SMTP commands. The %check_string% and %escape_string%
19917 options are forced to the values
19918
19919   check_string = "."
19920   escape_string = ".."
19921
19922 when batched SMTP is in use. A full description of the batch SMTP mechanism is
19923 given in section <<SECTbatchSMTP>>. The ^lmtp^ transport does not have a
19924 %use_bsmtp% option, because it always delivers using the SMTP protocol.
19925
19926 cindex:[^pipe^ transport,with multiple addresses]
19927 cindex:[$pipe_addresses$]
19928 If you are not using BSMTP, but are using a ^pipe^ transport, you can include
19929 $pipe_addresses$ as part of the command. This is not a true variable; it is
19930 a bit of magic that causes each of the recipient addresses to be inserted into
19931 the command as a separate argument. This provides a way of accessing all the
19932 addresses that are being delivered in the batch.
19933
19934 If you are using a batching ^appendfile^ transport without %use_bsmtp%, the
19935 only way to preserve the recipient addresses is to set the %envelope_to_add%
19936 option. This causes an 'Envelope-to:' header line to be added to the message,
19937 containing all the recipients.
19938
19939
19940
19941 ////////////////////////////////////////////////////////////////////////////
19942 ////////////////////////////////////////////////////////////////////////////
19943
19944 [[CHAPappendfile]]
19945 The appendfile transport
19946 ------------------------
19947 cindex:[^appendfile^ transport]
19948 cindex:[transports,^appendfile^]
19949 cindex:[directory creation]
19950 cindex:[creating directories]
19951 The ^appendfile^ transport delivers a message by appending it to an existing
19952 file, or by creating an entirely new file in a specified directory. Single
19953 files to which messages are appended can be in the traditional Unix mailbox
19954 format, or optionally in the MBX format supported by the Pine MUA and
19955 University of Washington IMAP daemon, 'inter alia'. When each message is
19956 being delivered as a separate file, ``maildir'' format can optionally be used to
19957 give added protection against failures that happen part-way through the
19958 delivery. A third form of separate-file delivery known as ``mailstore'' is also
19959 supported. For all file formats, Exim attempts to create as many levels of
19960 directory as necessary, provided that %create_directory% is set.
19961
19962 The code for the optional formats is not included in the Exim binary by
19963 default. It is necessary to set SUPPORT_MBX, SUPPORT_MAILDIR and/or
19964 SUPPORT_MAILSTORE in _Local/Makefile_ to have the appropriate code
19965 included.
19966
19967 cindex:[quota,system]
19968 Exim recognises system quota errors, and generates an appropriate message. Exim
19969 also supports its own quota control within the transport, for use when the
19970 system facility is unavailable or cannot be used for some reason.
19971
19972 If there is an error while appending to a file (for example, quota exceeded or
19973 partition filled), Exim attempts to reset the file's length and last
19974 modification time back to what they were before. If there is an error while
19975 creating an entirely new file, the new file is removed.
19976
19977 Before appending to a file, a number of security checks are made, and the
19978 file is locked. A detailed description is given below, after the list of
19979 private options.
19980
19981 ^appendfile^ is most commonly used for local deliveries to users' mailboxes.
19982 However, it can also be used as a pseudo-remote transport for putting messages
19983 into files for remote delivery by some means other than Exim. ``Batch SMTP''
19984 format is often used in this case (see the %use_bsmtp% option).
19985
19986
19987
19988 [[SECTfildiropt]]
19989 The file and directory options
19990 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
19991 The %file% option specifies a single file, to which the message is appended;
19992 the %directory% option specifies a directory, in which a new file containing
19993 the message is created. Only one of these two options can be set, and for
19994 normal deliveries to mailboxes, one of them 'must' be set.
19995
19996 cindex:[$address_file$]
19997 cindex:[$local_part$]
19998 However, ^appendfile^ is also used for delivering messages to files or
19999 directories whose names (or parts of names) are obtained from alias,
20000 forwarding, or filtering operations (for example, a %save% command in a user's
20001 Exim filter). When such a transport is running, $local_part$ contains the
20002 local part that was aliased or forwarded, and $address_file$ contains the
20003 name (or partial name) of the file or directory generated by the redirection
20004 operation. There are two cases:
20005
20006 - If neither %file% nor %directory% is set, the redirection operation
20007 must specify an absolute path (one that begins with `/`). This is the most
20008 common case when users with local accounts use filtering to sort mail into
20009 different folders. See for example, the ^address_file^ transport in the
20010 default configuration. If the path ends with a slash, it is assumed to be the
20011 name of a directory. A delivery to a directory can also be forced by setting
20012 %maildir_format% or %mailstore_format%.
20013
20014 - If %file% or %directory% is set for a delivery from a redirection, it is used
20015 to determine the file or directory name for the delivery. Normally, the
20016 contents of $address_file$ are used in some way in the string expansion.
20017
20018
20019 cindex:[Sieve filter,configuring ^appendfile^]
20020 cindex:[Sieve filter,relative mailbox path handling]
20021 As an example of the second case, consider an environment where users do not
20022 have home directories. They may be permitted to use Exim filter commands of the
20023 form:
20024
20025   save folder23
20026
20027 or Sieve filter commands of the form:
20028
20029   require "fileinto";
20030   fileinto "folder23";
20031
20032 In this situation, the expansion of %file% or %directory% in the transport must
20033 transform the relative path into an appropriate absolute file name. In the case
20034 of Sieve filters, the name 'inbox' must be handled. It is the name that is
20035 used as a result of a ``keep'' action in the filter. This example shows one way
20036 of handling this requirement:
20037
20038 ....
20039 file = ${if eq{$address_file}{inbox} \
20040             {/var/mail/$local_part} \
20041             {${if eq{${substr_0_1:$address_file}}{/} \
20042                   {$address_file} \
20043                   {$home/mail/$address_file} \
20044             }} \
20045        }
20046 ....
20047
20048 With this setting of %file%, 'inbox' refers to the standard mailbox location,
20049 absolute paths are used without change, and other folders are in the _mail_
20050 directory within the home directory.
20051
20052 *Note 1*: While processing an Exim filter, a relative path such as
20053 _folder23_ is turned into an absolute path if a home directory is known to
20054 the router. In particular, this is the case if %check_local_user% is set. If
20055 you want to prevent this happening at routing time, you can set
20056 %router_home_directory% empty. This forces the router to pass the relative
20057 path to the transport.
20058
20059 *Note 2*: An absolute path in $address_file$ is not treated specially;
20060 the %file% or %directory% option is still used if it is set.
20061
20062
20063
20064
20065 Private options for appendfile
20066 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
20067 cindex:[options,^appendfile^ transport]
20068
20069
20070
20071 oindex:[%allow_fifo%]
20072 `..'=
20073 %allow_fifo%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20074 ===
20075
20076 cindex:[fifo (named pipe)]
20077 cindex:[named pipe (fifo)]
20078 cindex:[pipe,named (fifo)]
20079 Setting this option permits delivery to named pipes (FIFOs) as well as to
20080 regular files. If no process is reading the named pipe at delivery time, the
20081 delivery is deferred.
20082
20083
20084 oindex:[%allow_symlink%]
20085 `..'=
20086 %allow_symlink%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20087 ===
20088
20089 cindex:[symbolic link,to mailbox]
20090 cindex:[mailbox,symbolic link]
20091 By default, ^appendfile^ will not deliver if the path name for the file is
20092 that of a symbolic link. Setting this option relaxes that constraint, but there
20093 are security issues involved in the use of symbolic links. Be sure you know
20094 what you are doing if you set this. Details of exactly what this option affects
20095 are included in the discussion which follows this list of options.
20096
20097
20098 oindex:[%batch_id%]
20099 `..'=
20100 %batch_id%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20101 ===
20102
20103 See the description of local delivery batching in chapter <<CHAPbatching>>.
20104 However, batching is automatically disabled for ^appendfile^ deliveries that
20105 happen as a result of forwarding or aliasing or other redirection directly to a
20106 file.
20107
20108
20109 oindex:[%batch_max%]
20110 `..'=
20111 %batch_max%, Use: 'appendfile', Type: 'integer', Default: '1'
20112 ===
20113
20114 See the description of local delivery batching in chapter <<CHAPbatching>>.
20115
20116
20117 oindex:[%check_group%]
20118 `..'=
20119 %check_group%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20120 ===
20121
20122 When this option is set, the group owner of the file defined by the %file%
20123 option is checked to see that it is the same as the group under which the
20124 delivery process is running. The default setting is false because the default
20125 file mode is 0600, which means that the group is irrelevant.
20126
20127
20128 oindex:[%check_owner%]
20129 `..'=
20130 %check_owner%, Use: 'appendfile', Type: 'boolean', Default: 'true'
20131 ===
20132
20133 When this option is set, the owner of the file defined by the %file% option is
20134 checked to ensure that it is the same as the user under which the delivery
20135 process is running.
20136
20137
20138 oindex:[%check_string%]
20139 `..'=
20140 %check_string%, Use: 'appendfile', Type: 'string', Default: 'see below'
20141 ===
20142
20143 cindex:[``From'' line]
20144 As ^appendfile^ writes the message, the start of each line is tested for
20145 matching %check_string%, and if it does, the initial matching characters are
20146 replaced by the contents of %escape_string%. The value of %check_string% is a
20147 literal string, not a regular expression, and the case of any letters it
20148 contains is significant.
20149
20150 If %use_bsmtp% is set the values of %check_string% and %escape_string% are
20151 forced to ``.'' and ``..'' respectively, and any settings in the configuration are
20152 ignored. Otherwise, they default to ``From '' and ``>From '' when the %file% option
20153 is set, and unset when
20154 any of the %directory%, %maildir%, or %mailstore% options are set.
20155
20156 The default settings, along with %message_prefix% and %message_suffix%, are
20157 suitable for traditional ``BSD'' mailboxes, where a line beginning with ``From
20158 '' indicates the start of a new message. All four options need changing if
20159 another format is used. For example, to deliver to mailboxes in MMDF format:
20160 cindex:[MMDF format mailbox]
20161 cindex:[mailbox,MMDF format]
20162
20163   check_string = "\1\1\1\1\n"
20164   escape_string = "\1\1\1\1 \n"
20165   message_prefix = "\1\1\1\1\n"
20166   message_suffix = "\1\1\1\1\n"
20167
20168 oindex:[%create_directory%]
20169 `..'=
20170 %create_directory%, Use: 'appendfile', Type: 'boolean', Default: 'true'
20171 ===
20172
20173 cindex:[directory creation]
20174 When this option is true, Exim attempts to create any missing superior
20175 directories for the file that it is about to write. A created directory's mode
20176 is given by the %directory_mode% option.
20177
20178 The group ownership of a newly created directory is highly dependent on the
20179 operating system (and possibly the file system) that is being used. For
20180 example, in Solaris, if the parent directory has the setgid bit set, its group
20181 is propagated to the child; if not, the currently set group is used. However,
20182 in FreeBSD, the parent's group is always used.
20183
20184
20185
20186 oindex:[%create_file%]
20187 `..'=
20188 %create_file%, Use: 'appendfile', Type: 'string', Default: 'anywhere'
20189 ===
20190
20191 This option constrains the location of files and directories that are created
20192 by this transport. It applies to files defined by the %file% option and
20193 directories defined by the %directory% option. In the case of maildir delivery,
20194 it applies to the top level directory, not the maildir directories beneath.
20195
20196 The option must be set to one of the words ``anywhere'', ``inhome'', or
20197 ``belowhome''. In the second and third cases, a home directory must have been set
20198 for the transport. This option is not useful when an explicit file name is
20199 given for normal mailbox deliveries. It is intended for the case when file
20200 names are generated from users' _.forward_ files. These are usually handled
20201 by an ^appendfile^ transport called %address_file%. See also
20202 %file_must_exist%.
20203
20204
20205 oindex:[%directory%]
20206 `..'=
20207 %directory%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20208 ===
20209
20210 This option is mutually exclusive with the %file% option, but one of %file% or
20211 %directory% must be set, unless the delivery is the direct result of a
20212 redirection (see section <<SECTfildiropt>>).
20213
20214 When %directory% is set, the string is expanded, and the message is delivered
20215 into a new file or files in or below the given directory, instead of being
20216 appended to a single mailbox file. A number of different formats are provided
20217 (see %maildir_format% and %mailstore_format%), and see section <<SECTopdir>>
20218 for further details of this form of delivery.
20219
20220
20221 oindex:[%directory_file%]
20222 `..'=
20223 %directory_file%, Use: 'appendfile', Type: 'string'!!, Default: `q\$\{base62{co}\$tod_epoch\}-\$inode`
20224 ===
20225
20226 cindex:[base62]
20227 cindex:[$inode$]
20228 When %directory% is set, but neither %maildir_format% nor %mailstore_format%
20229 is set, ^appendfile^ delivers each message into a file whose name is obtained
20230 by expanding this string. The default value generates a unique name from the
20231 current time, in base 62 form, and the inode of the file. The variable
20232 $inode$ is available only when expanding this option.
20233
20234
20235 oindex:[%directory_mode%]
20236 `..'=
20237 %directory_mode%, Use: 'appendfile', Type: 'octal integer', Default: '0700'
20238 ===
20239
20240 If ^appendfile^ creates any directories as a result of the %create_directory%
20241 option, their mode is specified by this option.
20242
20243
20244 oindex:[%escape_string%]
20245 `..'=
20246 %escape_string%, Use: 'appendfile', Type: 'string', Default: 'see description'
20247 ===
20248
20249 See %check_string% above.
20250
20251
20252 oindex:[%file%]
20253 `..'=
20254 %file%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20255 ===
20256
20257 This option is mutually exclusive with the %directory% option, but one of
20258 %file% or %directory% must be set, unless the delivery is the direct result of
20259 a redirection (see section <<SECTfildiropt>>). The %file% option specifies a
20260 single file, to which the message is appended. One or more of
20261 %use_fcntl_lock%, %use_flock_lock%, or %use_lockfile% must be set with
20262 %file%.
20263
20264 cindex:[NFS,lock file]
20265 cindex:[locking files]
20266 cindex:[lock files]
20267 If you are using more than one host to deliver over NFS into the same
20268 mailboxes, you should always use lock files.
20269
20270 The string value is expanded for each delivery, and must yield an absolute
20271 path. The most common settings of this option are variations on one of these
20272 examples:
20273
20274   file = /var/spool/mail/$local_part
20275   file = /home/$local_part/inbox
20276   file = $home/inbox
20277
20278 cindex:[``sticky'' bit]
20279 In the first example, all deliveries are done into the same directory. If Exim
20280 is configured to use lock files (see %use_lockfile% below) it must be able to
20281 create a file in the directory, so the ``sticky'' bit must be turned on for
20282 deliveries to be possible, or alternatively the %group% option can be used to
20283 run the delivery under a group id which has write access to the directory.
20284
20285
20286
20287 oindex:[%file_format%]
20288 `..'=
20289 %file_format%, Use: 'appendfile', Type: 'string', Default: 'unset'
20290 ===
20291
20292 cindex:[file,mailbox; checking existing format]
20293 This option requests the transport to check the format of an existing file
20294 before adding to it. The check consists of matching a specific string at the
20295 start of the file. The value of the option consists of an even number of
20296 colon-separated strings. The first of each pair is the test string, and the
20297 second is the name of a transport. If the transport associated with a matched
20298 string is not the current transport, control is passed over to the other
20299 transport. For example, suppose the standard ^local_delivery^ transport has
20300 this added to it:
20301
20302 ....
20303 file_format = "From       : local_delivery :\
20304                \1\1\1\1\n : local_mmdf_delivery"
20305 ....
20306
20307 Mailboxes that begin with ``From'' are still handled by this transport, but if a
20308 mailbox begins with four binary ones followed by a newline, control is passed
20309 to a transport called %local_mmdf_delivery%, which presumably is configured
20310 to do the delivery in MMDF format. If a mailbox does not exist or is empty, it
20311 is assumed to match the current transport. If the start of a mailbox doesn't
20312 match any string, or if the transport named for a given string is not defined,
20313 delivery is deferred.
20314
20315
20316 oindex:[%file_must_exist%]
20317 `..'=
20318 %file_must_exist%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20319 ===
20320
20321 If this option is true, the file specified by the %file% option must exist, and
20322 an error occurs if it does not. Otherwise, it is created if it does not exist.
20323
20324
20325 oindex:[%lock_fcntl_timeout%]
20326 `..'=
20327 %lock_fcntl_timeout%, Use: 'appendfile', Type: 'time', Default: '0s'
20328 ===
20329
20330 cindex:[timeout,mailbox locking]
20331 cindex:[mailbox locking,blocking and non-blocking]
20332 cindex:[locking files]
20333 By default, the ^appendfile^ transport uses non-blocking calls to 'fcntl()'
20334 when locking an open mailbox file. If the call fails, the delivery process
20335 sleeps for %lock_interval% and tries again, up to %lock_retries% times.
20336 Non-blocking calls are used so that the file is not kept open during the wait
20337 for the lock; the reason for this is to make it as safe as possible for
20338 deliveries over NFS in the case when processes might be accessing an NFS
20339 mailbox without using a lock file. This should not be done, but
20340 misunderstandings and hence misconfigurations are not unknown.
20341
20342 On a busy system, however, the performance of a non-blocking lock approach is
20343 not as good as using a blocking lock with a timeout. In this case, the waiting
20344 is done inside the system call, and Exim's delivery process acquires the lock
20345 and can proceed as soon as the previous lock holder releases it.
20346
20347 If %lock_fcntl_timeout% is set to a non-zero time, blocking locks, with that
20348 timeout, are used. There may still be some retrying: the maximum number of
20349 retries is
20350
20351   (lock_retries * lock_interval) / lock_fcntl_timeout
20352
20353 rounded up to the next whole number. In other words, the total time during
20354 which ^appendfile^ is trying to get a lock is roughly the same, unless
20355 %lock_fcntl_timeout% is set very large.
20356
20357 You should consider setting this option if you are getting a lot of delayed
20358 local deliveries because of errors of the form
20359
20360   failed to lock mailbox /some/file (fcntl)
20361
20362
20363
20364 oindex:[%lock_flock_timeout%]
20365 `..'=
20366 %lock_flock_timeout%, Use: 'appendfile', Type: 'time', Default: '0s'
20367 ===
20368
20369 This timeout applies to file locking when using 'flock()' (see %use_flock%);
20370 the timeout operates in a similar manner to %lock_fcntl_timeout%.
20371
20372
20373 oindex:[%lock_interval%]
20374 `..'=
20375 %lock_interval%, Use: 'appendfile', Type: 'time', Default: '3s'
20376 ===
20377
20378 This specifies the time to wait between attempts to lock the file. See below
20379 for details of locking.
20380
20381
20382 oindex:[%lock_retries%]
20383 `..'=
20384 %lock_retries%, Use: 'appendfile', Type: 'integer', Default: '10'
20385 ===
20386
20387 This specifies the maximum number of attempts to lock the file. A value of zero
20388 is treated as 1. See below for details of locking.
20389
20390
20391 oindex:[%lockfile_mode%]
20392 `..'=
20393 %lockfile_mode%, Use: 'appendfile', Type: 'octal integer', Default: '0600'
20394 ===
20395
20396 This specifies the mode of the created lock file, when a lock file is being
20397 used (see %use_lockfile%).
20398
20399
20400 oindex:[%lockfile_timeout%]
20401 `..'=
20402 %lockfile_timeout%, Use: 'appendfile', Type: 'time', Default: '30m'
20403 ===
20404
20405 cindex:[timeout,mailbox locking]
20406 When a lock file is being used (see %use_lockfile%), if a lock file already
20407 exists and is older than this value, it is assumed to have been left behind by
20408 accident, and Exim attempts to remove it.
20409
20410
20411 oindex:[%mailbox_filecount%]
20412 `..'=
20413 %mailbox_filecount%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20414 ===
20415
20416 cindex:[mailbox,specifying size of]
20417 cindex:[size,of mailbox]
20418 If this option is set, it is expanded, and the result is taken as the current
20419 number of files in the mailbox. It must be a decimal number, optionally
20420 followed by K or M. This provides a way of obtaining this information from an
20421 external source that maintains the data.
20422
20423
20424 oindex:[%mailbox_size%]
20425 `..'=
20426 %mailbox_size%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20427 ===
20428
20429 cindex:[mailbox,specifying size of]
20430 cindex:[size,of mailbox]
20431 If this option is set, it is expanded, and the result is taken as the current
20432 size the mailbox. It must be a decimal number, optionally followed by K or M.
20433 This provides a way of obtaining this information from an external source that
20434 maintains the data. This is likely to be helpful for maildir deliveries where
20435 it is computationally expensive to compute the size of a mailbox.
20436
20437
20438
20439 oindex:[%maildir_format%]
20440 `..'=
20441 %maildir_format%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20442 ===
20443
20444 cindex:[maildir format,specifying]
20445 If this option is set with the %directory% option, the delivery is into a new
20446 file, in the ``maildir'' format that is used by other mail software. When the
20447 transport is activated directly from a ^redirect^ router (for example, the
20448 ^address_file^ transport in the default configuration), setting
20449 %maildir_format% causes the path received from the router to be treated as a
20450 directory, whether or not it ends with `/`. This option is available only if
20451 SUPPORT_MAILDIR is present in _Local/Makefile_. See section
20452 <<SECTmaildirdelivery>> below for further details.
20453
20454
20455 oindex:[%maildir_quota_directory_regex%]
20456 `..'=
20457 %maildir_quota_directory_regex%, Use: 'appendfile', Type: 'string', Default: 'See below'
20458 ===
20459
20460 cindex:[maildir format,quota; directories included in]
20461 cindex:[quota,maildir; directories included in]
20462 This option is relevant only when %maildir_use_size_file% is set. It defines
20463 a regular expression for specifying directories that should be included in the
20464 quota calculation. The default value is
20465
20466   maildir_quota_directory_regex = ^(?:cur|new|\..*)$
20467
20468 which includes the _cur_ and _new_ directories, and any maildir++ folders
20469 (directories whose names begin with a dot). If you want to exclude the
20470 _Trash_
20471 folder from the count (as some sites do), you need to change this setting to
20472
20473   maildir_quota_directory_regex = ^(?:cur|new|\.(?!Trash).*)$
20474
20475 This uses a negative lookahead in the regular expression to exclude the
20476 directory whose name is _.Trash_.
20477
20478
20479 oindex:[%maildir_retries%]
20480 `..'=
20481 %maildir_retries%, Use: 'appendfile', Type: 'integer', Default: '10'
20482 ===
20483
20484 This option specifies the number of times to retry when writing a file in
20485 ``maildir'' format. See section <<SECTmaildirdelivery>> below.
20486
20487
20488 oindex:[%maildir_tag%]
20489 `..'=
20490 %maildir_tag%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20491 ===
20492
20493 This option applies only to deliveries in maildir format, and is described in
20494 section <<SECTmaildirdelivery>> below.
20495
20496
20497 oindex:[%maildir_use_size_file%]
20498 `..'=
20499 %maildir_use_size_file%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20500 ===
20501
20502 cindex:[maildir format,_maildirsize_ file]
20503 Setting this option true enables support for _maildirsize_ files. Exim
20504 creates a _maildirsize_ file in a maildir if one does not exist, taking the
20505 quota from the %quota% option of the transport. If %quota% is unset, the value
20506 is zero. See section <<SECTmaildirdelivery>> below for further details.
20507
20508
20509 oindex:[%mailstore_format%]
20510 `..'=
20511 %mailstore_format%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20512 ===
20513
20514 cindex:[mailstore format,specifying]
20515 If this option is set with the %directory% option, the delivery is into two new
20516 files in  ``mailstore'' format. The option is available only if
20517 SUPPORT_MAILSTORE is present in _Local/Makefile_. See section
20518 <<SECTopdir>> below for further details.
20519
20520
20521 oindex:[%mailstore_prefix%]
20522 `..'=
20523 %mailstore_prefix%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20524 ===
20525
20526 This option applies only to deliveries in mailstore format, and is described in
20527 section <<SECTopdir>> below.
20528
20529
20530 oindex:[%mailstore_suffix%]
20531 `..'=
20532 %mailstore_suffix%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20533 ===
20534
20535 This option applies only to deliveries in mailstore format, and is described in
20536 section <<SECTopdir>> below.
20537
20538
20539 oindex:[%mbx_format%]
20540 `..'=
20541 %mbx_format%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20542 ===
20543
20544 cindex:[locking files]
20545 cindex:[file,locking]
20546 cindex:[file,MBX format]
20547 cindex:[MBX format, specifying]
20548 This option is available only if Exim has been compiled with SUPPORT_MBX
20549 set in _Local/Makefile_. If %mbx_format% is set with the %file% option,
20550 the message is appended to the mailbox file in MBX format instead of
20551 traditional Unix format. This format is supported by Pine4 and its associated
20552 IMAP and POP daemons, by means of the 'c-client' library that they all use.
20553
20554 *Note*: The %message_prefix% and %message_suffix% options are not
20555 automatically changed by the use of %mbx_format%. They should normally be set
20556 empty when using MBX format, so this option almost always appears in this
20557 combination:
20558
20559   mbx_format = true
20560   message_prefix =
20561   message_suffix =
20562
20563
20564 If none of the locking options are mentioned in the configuration,
20565 %use_mbx_lock% is assumed and the other locking options default to false. It
20566 is possible to specify the other kinds of locking with %mbx_format%, but
20567 %use_fcntl_lock% and %use_mbx_lock% are mutually exclusive. MBX locking
20568 interworks with 'c-client', providing for shared access to the mailbox. It
20569 should not be used if any program that does not use this form of locking is
20570 going to access the mailbox, nor should it be used if the mailbox file is NFS
20571 mounted, because it works only when the mailbox is accessed from a single host.
20572
20573 If you set %use_fcntl_lock% with an MBX-format mailbox, you cannot use
20574 the standard version of 'c-client', because as long as it has a mailbox open
20575 (this means for the whole of a Pine or IMAP session), Exim will not be able to
20576 append messages to it.
20577
20578
20579 oindex:[%message_prefix%]
20580 `..'=
20581 %message_prefix%, Use: 'appendfile', Type: 'string'!!, Default: 'see below'
20582 ===
20583
20584 cindex:[``From'' line]
20585 The string specified here is expanded and output at the start of every message.
20586 The default is unset unless %file% is specified and %use_bsmtp% is not set, in
20587 which case it is:
20588
20589 ....
20590 message_prefix = "From ${if def:return_path{$return_path}\
20591   {MAILER-DAEMON}} $tod_bsdinbox\n"
20592 ....
20593
20594
20595
20596 oindex:[%message_suffix%]
20597 `..'=
20598 %message_suffix%, Use: 'appendfile', Type: 'string'!!, Default: 'see below'
20599 ===
20600
20601 The string specified here is expanded and output at the end of every message.
20602 The default is unset unless %file% is specified and %use_bsmtp% is not set, in
20603 which case it is a single newline character. The suffix can be suppressed by
20604 setting
20605
20606   message_suffix =
20607
20608
20609
20610 oindex:[%mode%]
20611 `..'=
20612 %mode%, Use: 'appendfile', Type: 'octal integer', Default: '0600'
20613 ===
20614
20615 If the output file is created, it is given this mode. If it already exists and
20616 has wider permissions, they are reduced to this mode. If it has narrower
20617 permissions, an error occurs unless %mode_fail_narrower% is false. However,
20618 if the delivery is the result of a %save% command in a filter file specifing a
20619 particular mode, the mode of the output file is always forced to take that
20620 value, and this option is ignored.
20621
20622
20623 oindex:[%mode_fail_narrower%]
20624 `..'=
20625 %mode_fail_narrower%, Use: 'appendfile', Type: 'boolean', Default: 'true'
20626 ===
20627
20628 This option applies in the case when an existing mailbox file has a narrower
20629 mode than that specified by the %mode% option. If %mode_fail_narrower% is
20630 true, the delivery is deferred (``mailbox has the wrong mode''); otherwise Exim
20631 continues with the delivery attempt, using the existing mode of the file.
20632
20633
20634 oindex:[%notify_comsat%]
20635 `..'=
20636 %notify_comsat%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20637 ===
20638
20639 If this option is true, the 'comsat' daemon is notified after every successful
20640 delivery to a user mailbox. This is the daemon that notifies logged on users
20641 about incoming mail.
20642
20643
20644 oindex:[%quota%]
20645 `..'=
20646 %quota%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20647 ===
20648
20649 cindex:[quota,imposed by Exim]
20650 This option imposes a limit on the size of the file to which Exim is appending,
20651 or to the total space used in the directory tree when the %directory% option is
20652 set. In the latter case, computation of the space used is expensive, because
20653 all the files in the directory (and any sub-directories) have to be
20654 individually inspected and their sizes summed.
20655 (See %quota_size_regex% and %maildir_use_size_file% for ways to avoid this
20656 in environments where users have no shell access to their mailboxes).
20657
20658 As there is no interlock against two simultaneous deliveries into a
20659 multi-file mailbox, it is possible for the quota to be overrun in this case.
20660 For single-file mailboxes, of course, an interlock is a necessity.
20661
20662 A file's size is taken as its 'used' value. Because of blocking effects, this
20663 may be a lot less than the actual amount of disk space allocated to the file.
20664 If the sizes of a number of files are being added up, the rounding effect can
20665 become quite noticeable, especially on systems that have large block sizes.
20666 Nevertheless, it seems best to stick to the 'used' figure, because this is
20667 the obvious value which users understand most easily.
20668
20669 [revisionflag="changed"]
20670 The value of the option is expanded, and must then be a numerical value
20671 (decimal point allowed), optionally followed by one of the letters K, M, or G,
20672 for kilobytes, megabytes, or gigabytes. If Exim is running on a system with
20673 large file support (Linux and FreeBSD have this), mailboxes larger than 2G can
20674 be handled.
20675
20676 *Note*: A value of zero is interpreted as ``no quota''.
20677
20678 The expansion happens while Exim is running as root, before it changes uid for
20679 the delivery. This means that files that are inaccessible to the end user can
20680 be used to hold quota values that are looked up in the expansion. When delivery
20681 fails because this quota is exceeded, the handling of the error is as for
20682 system quota failures.
20683
20684 By default, Exim's quota checking mimics system quotas, and restricts the
20685 mailbox to the specified maximum size, though the value is not accurate to the
20686 last byte, owing to separator lines and additional headers that may get added
20687 during message delivery. When a mailbox is nearly full, large messages may get
20688 refused even though small ones are accepted, because the size of the current
20689 message is added to the quota when the check is made. This behaviour can be
20690 changed by setting %quota_is_inclusive% false. When this is done, the check
20691 for exceeding the quota does not include the current message. Thus, deliveries
20692 continue until the quota has been exceeded; thereafter, no further messages are
20693 delivered. See also %quota_warn_threshold%.
20694
20695
20696 oindex:[%quota_directory%]
20697 `..'=
20698 %quota_directory%, Use: 'appendfile', Type: 'string'!!, Default: 'unset'
20699 ===
20700
20701 This option defines the directory to check for quota purposes when delivering
20702 into individual files. The default is the delivery directory, or, if a file
20703 called _maildirfolder_ exists in a maildir directory, the parent of the
20704 delivery directory.
20705
20706
20707 oindex:[%quota_filecount%]
20708 `..'=
20709 %quota_filecount%, Use: 'appendfile', Type: 'string'!!, Default: '0'
20710 ===
20711
20712 This option applies when the %directory% option is set. It limits the total
20713 number of files in the directory (compare the inode limit in system quotas). It
20714 can only be used if %quota% is also set. The value is expanded; an expansion
20715 failure causes delivery to be deferred.
20716
20717
20718 oindex:[%quota_is_inclusive%]
20719 `..'=
20720 %quota_is_inclusive%, Use: 'appendfile', Type: 'boolean', Default: 'true'
20721 ===
20722
20723 See %quota% above.
20724
20725
20726 oindex:[%quota_size_regex%]
20727 `..'=
20728 %quota_size_regex%, Use: 'appendfile', Type: 'string', Default: 'unset'
20729 ===
20730
20731 This option applies when one of the delivery modes that writes a separate file
20732 for each message is being used. When Exim wants to find the size of one of
20733 these files in order to test the quota, it first checks %quota_size_regex%.
20734 If this is set to a regular expression that matches the file name, and it
20735 captures one string, that string is interpreted as a representation of the
20736 file's size. The value of %quota_size_regex% is not expanded.
20737
20738 This feature is useful only when users have no shell access to their mailboxes
20739 -- otherwise they could defeat the quota simply by renaming the files. This
20740 facility can be used with maildir deliveries, by setting %maildir_tag% to add
20741 the file length to the file name. For example:
20742
20743   maildir_tag = ,S=$message_size
20744   quota_size_regex = ,S=(\d+)
20745
20746 [revisionflag="changed"]
20747 An alternative to $message_size$ is $message_linecount$, which contains the
20748 number of lines in the message.
20749
20750 The regular expression should not assume that the length is at the end of the
20751 file name (even though %maildir_tag% puts it there) because maildir MUAs
20752 sometimes add other information onto the ends of message file names.
20753
20754
20755
20756 oindex:[%quota_warn_message%]
20757 `..'=
20758 %quota_warn_message%, Use: 'appendfile', Type: 'string'!!, Default: 'see below'
20759 ===
20760
20761 See below for the use of this option. If it is not set when
20762 %quota_warn_threshold% is set, it defaults to
20763
20764 ....
20765 quota_warn_message = "\
20766   To: $local_part@$domain\n\
20767   Subject: Your mailbox\n\n\
20768   This message is automatically created \
20769   by mail delivery software.\n\n\
20770   The size of your mailbox has exceeded \
20771   a warning threshold that is\n\
20772   set by the system administrator.\n"
20773 ....
20774
20775
20776
20777 oindex:[%quota_warn_threshold%]
20778 `..'=
20779 %quota_warn_threshold%, Use: 'appendfile', Type: 'string'!!, Default: '0'
20780 ===
20781
20782 cindex:[quota,warning threshold]
20783 cindex:[mailbox,size warning]
20784 cindex:[size,of mailbox]
20785 This option is expanded in the same way as %quota% (see above). If the
20786 resulting value is greater than zero, and delivery of the message causes the
20787 size of the file or total space in the directory tree to cross the given
20788 threshold, a warning message is sent. If %quota% is also set, the threshold may
20789 be specified as a percentage of it by following the value with a percent sign.
20790 For example:
20791
20792   quota = 10M
20793   quota_warn_threshold = 75%
20794
20795 If %quota% is not set, a setting of %quota_warn_threshold% that ends with a
20796 percent sign is ignored.
20797
20798 [revisionflag="changed"]
20799 The warning message itself is specified by the %quota_warn_message% option,
20800 and it must start with a 'To:' header line containing the recipient(s) of the
20801 warning message. These do not necessarily have to include the recipient(s) of
20802 the original message. A 'Subject:' line should also normally be supplied. You
20803 can include any other header lines that you want.
20804
20805 The %quota% option does not have to be set in order to use this option; they
20806 are independent of one another except when the threshold is specified as a
20807 percentage.
20808
20809
20810 oindex:[%use_bsmtp%]
20811 `..'=
20812 %use_bsmtp%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20813 ===
20814
20815 cindex:[envelope sender]
20816 If this option is set true, ^appendfile^ writes messages in ``batch SMTP''
20817 format, with the envelope sender and recipient(s) included as SMTP commands. If
20818 you want to include a leading HELO command with such messages, you can do
20819 so by setting the %message_prefix% option. See section <<SECTbatchSMTP>> for
20820 details of batch SMTP.
20821
20822
20823 oindex:[%use_crlf%]
20824 `..'=
20825 %use_crlf%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20826 ===
20827
20828 cindex:[carriage return]
20829 cindex:[linefeed]
20830 This option causes lines to be terminated with the two-character CRLF sequence
20831 (carriage return, linefeed) instead of just a linefeed character. In the case
20832 of batched SMTP, the byte sequence written to the file is then an exact image
20833 of what would be sent down a real SMTP connection.
20834
20835 The contents of the %message_prefix% and %message_suffix% options are written
20836 verbatim, so must contain their own carriage return characters if these are
20837 needed. In cases where these options have non-empty defaults, the values end
20838 with a single linefeed, so they
20839 must
20840 be changed to end with `\r\n` if %use_crlf% is set.
20841
20842
20843 oindex:[%use_fcntl_lock%]
20844 `..'=
20845 %use_fcntl_lock%, Use: 'appendfile', Type: 'boolean', Default: 'see below'
20846 ===
20847
20848 This option controls the use of the 'fcntl()' function to lock a file for
20849 exclusive use when a message is being appended. It is set by default unless
20850 %use_flock_lock% is set. Otherwise, it should be turned off only if you know
20851 that all your MUAs use lock file locking. When both %use_fcntl_lock% and
20852 %use_flock_lock% are unset, %use_lockfile% must be set.
20853
20854
20855 oindex:[%use_flock_lock%]
20856 `..'=
20857 %use_flock_lock%, Use: 'appendfile', Type: 'boolean', Default: 'false'
20858 ===
20859
20860 This option is provided to support the use of 'flock()' for file locking, for
20861 the few situations where it is needed. Most modern operating systems support
20862 'fcntl()' and 'lockf()' locking, and these two functions interwork with
20863 each other. Exim uses 'fcntl()' locking by default.
20864
20865 This option is required only if you are using an operating system where
20866 'flock()' is used by programs that access mailboxes (typically MUAs), and
20867 where 'flock()' does not correctly interwork with 'fcntl()'. You can use
20868 both 'fcntl()' and 'flock()' locking simultaneously if you want.
20869
20870 cindex:[Solaris,'flock()' support]
20871 Not all operating systems provide 'flock()'. Some versions of Solaris do not
20872 have it (and some, I think, provide a not quite right version built on top of
20873 'lockf()'). If the OS does not have 'flock()', Exim will be built without
20874 the ability to use it, and any attempt to do so will cause a configuration
20875 error.
20876
20877 *Warning*: 'flock()' locks do not work on NFS files (unless 'flock()'
20878 is just being mapped onto 'fcntl()' by the OS).
20879
20880
20881 oindex:[%use_lockfile%]
20882 `..'=
20883 %use_lockfile%, Use: 'appendfile', Type: 'boolean', Default: 'see below'
20884 ===
20885
20886 If this option is turned off, Exim does not attempt to create a lock file when
20887 appending to a mailbox file. In this situation, the only locking is by
20888 'fcntl()'. You should only turn %use_lockfile% off if you are absolutely
20889 sure that every MUA that is ever going to look at your users' mailboxes uses
20890 'fcntl()' rather than a lock file, and even then only when you are not
20891 delivering over NFS from more than one host.
20892
20893 cindex:[NFS,lock file]
20894 In order to append to an NFS file safely from more than one host, it is
20895 necessary to take out a lock 'before' opening the file, and the lock file
20896 achieves this. Otherwise, even with 'fcntl()' locking, there is a risk of
20897 file corruption.
20898
20899 The %use_lockfile% option is set by default unless %use_mbx_lock% is set. It
20900 is not possible to turn both %use_lockfile% and %use_fcntl_lock% off, except
20901 when %mbx_format% is set.
20902
20903
20904 oindex:[%use_mbx_lock%]
20905 `..'=
20906 %use_mbx_lock%, Use: 'appendfile', Type: 'boolean', Default: 'see below'
20907 ===
20908
20909 This option is available only if Exim has been compiled with SUPPORT_MBX
20910 set in _Local/Makefile_. Setting the option specifies that special MBX
20911 locking rules be used. It is set by default if %mbx_format% is set and none of
20912 the locking options are mentioned in the configuration. The locking rules are
20913 the same as are used by the 'c-client' library that underlies Pine and the
20914 IMAP4 and POP daemons that come with it (see the discussion below). The rules
20915 allow for shared access to the mailbox. However, this kind of locking does not
20916 work when the mailbox is NFS mounted.
20917
20918 You can set %use_mbx_lock% with either (or both) of %use_fcntl_lock% and
20919 %use_flock_lock% to control what kind of locking is used in implementing the
20920 MBX locking rules. The default is to use 'fcntl()' if %use_mbx_lock% is set
20921 without %use_fcntl_lock% or %use_flock_lock%.
20922
20923
20924
20925
20926 [[SECTopappend]]
20927 Operational details for appending
20928 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
20929 cindex:[appending to a file]
20930 cindex:[file,appending]
20931 Before appending to a file, the following preparations are made:
20932
20933 - If the name of the file is _/dev/null_, no action is taken, and a success
20934 return is given.
20935
20936 - cindex:[directory creation]
20937 If any directories on the file's path are missing, Exim creates them if the
20938 %create_directory% option is set. A created directory's mode is given by the
20939 %directory_mode% option.
20940
20941 - If %file_format% is set, the format of an existing file is checked. If this
20942 indicates that a different transport should be used, control is passed to that
20943 transport.
20944
20945 - cindex:[file,locking]
20946 cindex:[locking files]
20947 cindex:[NFS,lock file]
20948 If %use_lockfile% is set, a lock file is built in a way that will work
20949 reliably over NFS, as follows:
20950 +
20951 --
20952 . Create a ``hitching post'' file whose name is that of the lock file with the
20953 current time, primary host name, and process id added, by opening for writing
20954 as a new file. If this fails with an access error, delivery is deferred.
20955
20956 . Close the hitching post file, and hard link it to the lock file name.
20957
20958 . If the call to 'link()' succeeds, creation of the lock file has succeeded.
20959 Unlink the hitching post name.
20960
20961 . Otherwise, use 'stat()' to get information about the hitching post file, and
20962 then unlink hitching post name. If the number of links is exactly two, creation
20963 of the lock file succeeded but something (for example, an NFS server crash and
20964 restart) caused this fact not to be communicated to the 'link()' call.
20965
20966 . If creation of the lock file failed, wait for %lock_interval% and try again,
20967 up to %lock_retries% times. However, since any program that writes to a
20968 mailbox should complete its task very quickly, it is reasonable to time out old
20969 lock files that are normally the result of user agent and system crashes. If an
20970 existing lock file is older than %lockfile_timeout% Exim attempts to unlink it
20971 before trying again.
20972 --
20973 +
20974 - A call is made to 'lstat()' to discover whether the main file exists, and if
20975 so, what its characteristics are. If 'lstat()' fails for any reason other
20976 than non-existence, delivery is deferred.
20977
20978 - cindex:[symbolic link,to mailbox]
20979 cindex:[mailbox,symbolic link]
20980 If the file does exist and is a symbolic link, delivery is deferred, unless the
20981 %allow_symlink% option is set, in which case the ownership of the link is
20982 checked, and then 'stat()' is called to find out about the real file, which
20983 is then subjected to the checks below. The check on the top-level link
20984 ownership prevents one user creating a link for another's mailbox in a sticky
20985 directory, though allowing symbolic links in this case is definitely not a good
20986 idea. If there is a chain of symbolic links, the intermediate ones are not
20987 checked.
20988
20989 - If the file already exists but is not a regular file, or if the file's owner
20990 and group (if the group is being checked -- see %check_group% above) are
20991 different from the user and group under which the delivery is running,
20992 delivery is deferred.
20993
20994 - If the file's permissions are more generous than specified, they are reduced.
20995 If they are insufficient, delivery is deferred, unless %mode_fail_narrower%
20996 is set false, in which case the delivery is tried using the existing
20997 permissions.
20998
20999 - The file's inode number is saved, and the file is then opened for appending.
21000 If this fails because the file has vanished, ^appendfile^ behaves as if it
21001 hadn't existed (see below). For any other failures, delivery is deferred.
21002
21003 - If the file is opened successfully, check that the inode number hasn't
21004 changed, that it is still a regular file, and that the owner and permissions
21005 have not changed. If anything is wrong, defer delivery and freeze the message.
21006
21007 - If the file did not exist originally, defer delivery if the %file_must_exist%
21008 option is set. Otherwise, check that the file is being created in a permitted
21009 directory if the %create_file% option is set (deferring on failure), and then
21010 open for writing as a new file, with the O_EXCL and O_CREAT options,
21011 except when dealing with a symbolic link (the %allow_symlink% option must be
21012 set). In this case, which can happen if the link points to a non-existent file,
21013 the file is opened for writing using O_CREAT but not O_EXCL, because
21014 that prevents link following.
21015
21016 - cindex:[loop,while file testing]
21017 If opening fails because the file exists, obey the tests given above for
21018 existing files. However, to avoid looping in a situation where the file is
21019 being continuously created and destroyed, the exists/not-exists loop is broken
21020 after 10 repetitions, and the message is then frozen.
21021
21022 - If opening fails with any other error, defer delivery.
21023
21024 - cindex:[file,locking]
21025 cindex:[locking files]
21026 Once the file is open, unless both %use_fcntl_lock% and %use_flock_lock%
21027 are false, it is locked using 'fcntl()' or 'flock()' or both. If
21028 %use_mbx_lock% is false, an exclusive lock is requested in each case.
21029 However, if %use_mbx_lock% is true,
21030 Exim takes out a shared lock on the open file,
21031 and an exclusive lock on the file whose name is
21032
21033   /tmp/.<device-number>.<inode-number>
21034 +
21035 using the device and inode numbers of the open mailbox file, in accordance with
21036 the MBX locking rules.
21037 +
21038 If Exim fails to lock the file, there are two possible courses of action,
21039 depending on the value of the locking timeout. This is obtained from
21040 %lock_fcntl_timeout% or %lock_flock_timeout%, as appropriate.
21041 +
21042 If the timeout value is zero, the file is closed, Exim waits for
21043 %lock_interval%, and then goes back and re-opens the file as above and tries
21044 to lock it again. This happens up to %lock_retries% times, after which the
21045 delivery is deferred.
21046 +
21047 If the timeout has a value greater than zero, blocking calls to 'fcntl()' or
21048 'flock()' are used (with the given timeout), so there has already been some
21049 waiting involved by the time locking fails. Nevertheless, Exim does not give up
21050 immediately. It retries up to
21051
21052   (lock_retries * lock_interval) / <timeout>
21053 +
21054 times (rounded up).
21055
21056
21057 At the end of delivery, Exim closes the file (which releases the 'fcntl()'
21058 and/or 'flock()' locks) and then deletes the lock file if one was created.
21059
21060
21061 [[SECTopdir]]
21062 Operational details for delivery to a new file
21063 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
21064 cindex:[delivery,to single file]
21065 cindex:[``From'' line]
21066 When the %directory% option is set instead of %file%, each message is delivered
21067 into a newly-created file or set of files. When ^appendfile^ is activated
21068 directly from a ^redirect^ router, neither %file% nor %directory% is normally
21069 set, because the path for delivery is supplied by the router. (See for example,
21070 the ^address_file^ transport in the default configuration.) In this case,
21071 delivery is to a new file if either the path name ends in `/`, or the
21072 %maildir_format% or %mailstore_format% option is set.
21073
21074 No locking is required while writing the message to a new file, so the various
21075 locking options of the transport are ignored. The ``From'' line that by default
21076 separates messages in a single file is not normally needed, nor is the escaping
21077 of message lines that start with ``From'', and there is no need to ensure a
21078 newline at the end of each message. Consequently, the default values for
21079 %check_string%, %message_prefix%, and %message_suffix% are all unset when
21080 any of %directory%, %maildir_format%, or %mailstore_format% is set.
21081
21082 If Exim is required to check a %quota% setting, it adds up the sizes of all the
21083 files in the delivery directory by default. However, you can specify a
21084 different directory by setting %quota_directory%. Also, for maildir deliveries
21085 (see below) the _maildirfolder_ convention is honoured.
21086
21087
21088 cindex:[maildir format]
21089 cindex:[mailstore format]
21090 There are three different ways in which delivery to individual files can be
21091 done, controlled by the settings of the %maildir_format% and
21092 %mailstore_format% options. Note that code to support maildir or mailstore
21093 formats is not included in the binary unless SUPPORT_MAILDIR or
21094 SUPPORT_MAILSTORE, respectively, is set in _Local/Makefile_.
21095
21096 cindex:[directory creation]
21097 In all three cases an attempt is made to create the directory and any necessary
21098 sub-directories if they do not exist, provided that the %create_directory%
21099 option is set (the default). The location of a created directory can be
21100 constrained by setting %create_file%. A created directory's mode is given by
21101 the %directory_mode% option. If creation fails, or if the %create_directory%
21102 option is not set when creation is required, delivery is deferred.
21103
21104
21105
21106 [[SECTmaildirdelivery]]
21107 Maildir delivery
21108 ~~~~~~~~~~~~~~~~
21109 cindex:[maildir format,description of]
21110 If the %maildir_format% option is true, Exim delivers each message by writing
21111 it to a file whose name is _tmp/<stime>.H<mtime>P<pid>.<host>_ in the
21112 given directory. If the delivery is successful, the file is renamed into the
21113 _new_ subdirectory.
21114
21115 In the file name, <'stime'> is the current time of day in seconds, and
21116 <'mtime'> is the microsecond fraction of the time. After a maildir delivery,
21117 Exim checks that the time-of-day clock has moved on by at least one microsecond
21118 before terminating the delivery process. This guarantees uniqueness for the
21119 file name. However, as a precaution, Exim calls 'stat()' for the file before
21120 opening it. If any response other than ENOENT (does not exist) is given,
21121 Exim waits 2 seconds and tries again, up to %maildir_retries% times.
21122
21123 cindex:[quota,in maildir delivery]
21124 cindex:[maildir++]
21125 If Exim is required to check a %quota% setting before a maildir delivery, and
21126 %quota_directory% is not set, it looks for a file called _maildirfolder_ in
21127 the maildir directory (alongside _new_, _cur_, _tmp_). If this exists,
21128 Exim assumes the directory is a maildir++ folder directory, which is one level
21129 down from the user's top level mailbox directory. This causes it to start at
21130 the parent directory instead of the current directory when calculating the
21131 amount of space used.
21132
21133 One problem with delivering into a multi-file mailbox is that it is
21134 computationally expensive to compute the size of the mailbox for quota
21135 checking. Various approaches have been taken to reduce the amount of work
21136 needed. The next two sections describe two of them. A third alternative is to
21137 use some external process for maintaining the size data, and use the expansion
21138 of the %mailbox_size% option as a way of importing it into Exim.
21139
21140
21141
21142
21143 Using tags to record message sizes
21144 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
21145 If %maildir_tag% is set, the string is expanded for each delivery.
21146 When the maildir file is renamed into the _new_ sub-directory, the
21147 tag is added to its name. However, if adding the tag takes the length of the
21148 name to the point where the test 'stat()' call fails with ENAMETOOLONG,
21149 the tag is dropped and the maildir file is created with no tag.
21150
21151 cindex:[$message_size$]
21152 Tags can be used to encode the size of files in their names; see
21153 %quota_size_regex% above for an example. The expansion of %maildir_tag% happens
21154 after the message has been written. The value of the $message_size$ variable is
21155 set to the number of bytes actually written. If the expansion is forced to
21156 fail, the tag is ignored, but a non-forced failure causes delivery to be
21157 deferred. The expanded tag may contain any printing characters except ``/''.
21158 Non-printing characters in the string are ignored; if the resulting string is
21159 empty, it is ignored. If it starts with an alphanumeric character, a leading
21160 colon is inserted.
21161
21162
21163
21164 Using a maildirsize file
21165 ~~~~~~~~~~~~~~~~~~~~~~~~
21166 cindex:[quota,in maildir delivery]
21167 cindex:[maildir format,_maildirsize_ file]
21168 If %maildir_use_size_file% is true, Exim implements the maildir++ rules for
21169 storing quota and message size information in a file called _maildirsize_
21170 within the maildir directory. If this file does not exist, Exim creates it,
21171 setting the quota from the %quota% option of the transport. If the maildir
21172 directory itself does not exist, it is created before any attempt to write a
21173 _maildirsize_ file.
21174
21175 The _maildirsize_ file is used to hold information about the sizes of
21176 messages in the maildir, thus speeding up quota calculations. The quota value
21177 in the file is just a cache; if the quota is changed in the transport, the new
21178 value overrides the cached value when the next message is delivered. The cache
21179 is maintained for the benefit of other programs that access the maildir and
21180 need to know the quota.
21181
21182 If the %quota% option in the transport is unset or zero, the _maildirsize_
21183 file is maintained (with a zero quota setting), but no quota is imposed.
21184
21185 A regular expression is available for controlling which directories in the
21186 maildir participate in quota calculations. See the description of the
21187 %maildir_quota_directory_regex% option above for details.
21188
21189
21190
21191 Mailstore delivery
21192 ~~~~~~~~~~~~~~~~~~
21193 cindex:[mailstore format,description of]
21194 If the %mailstore_format% option is true, each message is written as two files
21195 in the given directory. A unique base name is constructed from the message id
21196 and the current delivery process, and the files that are written use this base
21197 name plus the suffixes _.env_ and _.msg_. The _.env_ file contains the
21198 message's envelope, and the _.msg_ file contains the message itself. The base
21199 name is placed in the variable $mailstore_basename$.
21200
21201 During delivery, the envelope is first written to a file with the suffix
21202 _.tmp_. The _.msg_ file is then written, and when it is complete, the
21203 _.tmp_ file is renamed as the _.env_ file. Programs that access messages in
21204 mailstore format should wait for the presence of both a _.msg_ and a _.env_
21205 file before accessing either of them. An alternative approach is to wait for
21206 the absence of a _.tmp_ file.
21207
21208 The envelope file starts with any text defined by the %mailstore_prefix%
21209 option, expanded and terminated by a newline if there isn't one. Then follows
21210 the sender address on one line, then all the recipient addresses, one per line.
21211 There can be more than one recipient only if the %batch_max% option is set
21212 greater than one. Finally, %mailstore_suffix% is expanded and the result
21213 appended to the file, followed by a newline if it does not end with one.
21214
21215 [revisionflag="changed"]
21216 If expansion of %mailstore_prefix% or %mailstore_suffix% ends with a forced
21217 failure, it is ignored. Other expansion errors are treated as serious
21218 configuration errors, and delivery is deferred. The variable
21219 $mailstore_basename$ is available for use during these expansions.
21220
21221
21222
21223 Non-special new file delivery
21224 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
21225 If neither %maildir_format% nor %mailstore_format% is set, a single new file
21226 is created directly in the named directory. For example, when delivering
21227 messages into files in batched SMTP format for later delivery to some host (see
21228 section <<SECTbatchSMTP>>), a setting such as
21229
21230   directory = /var/bsmtp/$host
21231
21232 might be used. A message is written to a file with a temporary name, which is
21233 then renamed when the delivery is complete. The final name is obtained by
21234 expanding the contents of the %directory_file% option.
21235
21236
21237
21238
21239
21240
21241 ////////////////////////////////////////////////////////////////////////////
21242 ////////////////////////////////////////////////////////////////////////////
21243
21244 The autoreply transport
21245 -----------------------
21246 cindex:[transports,^autoreply^]
21247 cindex:[^autoreply^ transport]
21248 The ^autoreply^ transport is not a true transport in that it does not cause
21249 the message to be transmitted. Instead, it generates a new mail message.
21250
21251 If the router that passes the message to this transport does not have the
21252 %unseen% option set, the original message (for the current recipient) is not
21253 delivered anywhere. However, when the %unseen% option is set on the router that
21254 passes the message to this transport, routing of the address continues, so
21255 another router can set up a normal message delivery.
21256
21257
21258 The ^autoreply^ transport is usually run as the result of mail filtering, a
21259 ``vacation'' message being the standard example. However, it can also be run
21260 directly from a router like any other transport. To reduce the possibility of
21261 message cascades, messages created by the ^autoreply^ transport always have
21262 empty envelope sender addresses, like bounce messages.
21263
21264 The parameters of the message to be sent can be specified in the configuration
21265 by options described below. However, these are used only when the address
21266 passed to the transport does not contain its own reply information. When the
21267 transport is run as a consequence of a
21268 %mail%
21269 or %vacation% command in a filter file, the parameters of the message are
21270 supplied by the filter, and passed with the address. The transport's options
21271 that define the message are then ignored (so they are not usually set in this
21272 case). The message is specified entirely by the filter or by the transport; it
21273 is never built from a mixture of options. However, the %file_optional%,
21274 %mode%, and %return_message% options apply in all cases.
21275
21276 ^Autoreply^ is implemented as a local transport. When used as a result of a
21277 command in a user's filter file, ^autoreply^ normally runs under the uid and
21278 gid of the user, and with appropriate current and home directories (see chapter
21279 <<CHAPenvironment>>).
21280
21281 There is a subtle difference between routing a message to a ^pipe^ transport
21282 that generates some text to be returned to the sender, and routing it to an
21283 ^autoreply^ transport. This difference is noticeable only if more than one
21284 address from the same message is so handled. In the case of a pipe, the
21285 separate outputs from the different addresses are gathered up and returned to
21286 the sender in a single message, whereas if ^autoreply^ is used, a separate
21287 message is generated for each address that is passed to it.
21288
21289 Non-printing characters are not permitted in the header lines generated for the
21290 message that ^autoreply^ creates, with the exception of newlines that are
21291 immediately followed by white space. If any non-printing characters are found,
21292 the transport defers.
21293 Whether characters with the top bit set count as printing characters or not is
21294 controlled by the %print_topbitchars% global option.
21295
21296 If any of the generic options for manipulating headers (for example,
21297 %headers_add%) are set on an ^autoreply^ transport, they apply to the copy of
21298 the original message that is included in the generated message when
21299 %return_message% is set. They do not apply to the generated message itself.
21300
21301 cindex:[$sender_address$]
21302 If the ^autoreply^ transport receives return code 2 from Exim when it submits
21303 the message, indicating that there were no recipients, it does not treat this
21304 as an error. This means that autoreplies sent to $sender_address$ when this
21305 is empty (because the incoming message is a bounce message) do not cause
21306 problems. They are just discarded.
21307
21308
21309
21310 Private options for autoreply
21311 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
21312 cindex:[options,^autoreply^ transport]
21313
21314 oindex:[%bcc%]
21315 `..'=
21316 %bcc%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21317 ===
21318
21319 This specifies the addresses that are to receive ``blind carbon copies'' of the
21320 message when the message is specified by the transport.
21321
21322
21323 oindex:[%cc%]
21324 `..'=
21325 %cc%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21326 ===
21327
21328 This specifies recipients of the message and the contents of the 'Cc:' header
21329 when the message is specified by the transport.
21330
21331
21332 oindex:[%file%]
21333 `..'=
21334 %file%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21335 ===
21336
21337 The contents of the file are sent as the body of the message when the message
21338 is specified by the transport. If both %file% and %text% are set, the text
21339 string comes first.
21340
21341
21342 oindex:[%file_expand%]
21343 `..'=
21344 %file_expand%, Use: 'autoreply', Type: 'boolean', Default: 'false'
21345 ===
21346
21347 If this is set, the contents of the file named by the %file% option are
21348 subjected to string expansion as they are added to the message.
21349
21350
21351 oindex:[%file_optional%]
21352 `..'=
21353 %file_optional%, Use: 'autoreply', Type: 'boolean', Default: 'false'
21354 ===
21355
21356 If this option is true, no error is generated if the file named by the %file%
21357 option or passed with the address does not exist or cannot be read.
21358
21359
21360 oindex:[%from%]
21361 `..'=
21362 %from%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21363 ===
21364
21365 This specifies the contents of the 'From:' header when the message is specified
21366 by the transport.
21367
21368
21369 oindex:[%headers%]
21370 `..'=
21371 %headers%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21372 ===
21373
21374 This specifies additional RFC 2822 headers that are to be added to the message when
21375 the message is specified by the transport. Several can be given by using ``\n''
21376 to separate them. There is no check on the format.
21377
21378
21379 oindex:[%log%]
21380 `..'=
21381 %log%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21382 ===
21383
21384 This option names a file in which a record of every message sent is logged when
21385 the message is specified by the transport.
21386
21387
21388 oindex:[%mode%]
21389 `..'=
21390 %mode%, Use: 'autoreply', Type: 'octal integer', Default: '0600'
21391 ===
21392
21393 If either the log file or the ``once'' file has to be created, this mode is used.
21394
21395
21396 oindex:[%never_mail%]
21397 `..'=
21398 %never_mail%, Use: 'autoreply', Type: 'address list'!!, Default: 'unset'
21399 ===
21400
21401 If any run of the transport creates a message with a recipient that matches any
21402 item in the list, that recipient is quietly discarded. If all recipients are
21403 discarded, no message is created.
21404
21405
21406
21407 oindex:[%once%]
21408 `..'=
21409 %once%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21410 ===
21411
21412 This option names a file or DBM database in which a record of each
21413 'To:' recipient is kept when the message is specified by the transport.
21414 *Note*: This does not apply to 'Cc:' or 'Bcc:' recipients.
21415 If %once_file_size% is not set, a DBM database is used, and it is allowed to
21416 grow as large as necessary. If a potential recipient is already in the
21417 database, no message is sent by default. However, if %once_repeat% specifies a
21418 time greater than zero, the message is sent if that much time has elapsed since
21419 a message was last sent to this recipient. If %once% is unset, the message is
21420 always sent.
21421
21422 If %once_file_size% is set greater than zero, it changes the way Exim
21423 implements the %once% option. Instead of using a DBM file to record every
21424 recipient it sends to, it uses a regular file, whose size will never get larger
21425 than the given value. In the file, it keeps a linear list of recipient
21426 addresses and times at which they were sent messages. If the file is full when
21427 a new address needs to be added, the oldest address is dropped. If
21428 %once_repeat% is not set, this means that a given recipient may receive
21429 multiple messages, but at unpredictable intervals that depend on the rate of
21430 turnover of addresses in the file. If %once_repeat% is set, it specifies a
21431 maximum time between repeats.
21432
21433
21434 oindex:[%once_file_size%]
21435 `..'=
21436 %once_file_size%, Use: 'autoreply', Type: 'integer', Default: '0'
21437 ===
21438
21439 See %once% above.
21440
21441
21442 oindex:[%once_repeat%]
21443 `..'=
21444 %once_repeat%, Use: 'autoreply', Type: 'time'!!, Default: '0s'
21445 ===
21446
21447 See %once% above.
21448 After expansion, the value of this option must be a valid time value.
21449
21450
21451 oindex:[%reply_to%]
21452 `..'=
21453 %reply_to%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21454 ===
21455
21456 This specifies the contents of the 'Reply-To:' header when the message is
21457 specified by the transport.
21458
21459
21460 oindex:[%return_message%]
21461 `..'=
21462 %return_message%, Use: 'autoreply', Type: 'boolean', Default: 'false'
21463 ===
21464
21465 If this is set, a copy of the original message is returned with the new
21466 message, subject to the maximum size set in the %return_size_limit% global
21467 configuration option.
21468
21469
21470 oindex:[%subject%]
21471 `..'=
21472 %subject%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21473 ===
21474
21475 This specifies the contents of the 'Subject:' header when the message is
21476 specified by the transport.
21477
21478 It is tempting to quote the original subject in automatic responses. For
21479 example:
21480
21481   subject = Re: $h_subject:
21482
21483 There is a danger in doing this, however. It may allow a third party to
21484 subscribe your users to an opt-in mailing list, provided that the list accepts
21485 bounce messages as subscription confirmations. Well-managed lists require a
21486 non-bounce message to confirm a subscription, so the danger is relatively
21487 small.
21488
21489
21490
21491 oindex:[%text%]
21492 `..'=
21493 %text%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21494 ===
21495
21496 This specifies a single string to be used as the body of the message when the
21497 message is specified by the transport. If both %text% and %file% are set, the
21498 text comes first.
21499
21500
21501 oindex:[%to%]
21502 `..'=
21503 %to%, Use: 'autoreply', Type: 'string'!!, Default: 'unset'
21504 ===
21505
21506 This specifies recipients of the message and the contents of the 'To:' header
21507 when the message is specified by the transport.
21508
21509
21510
21511
21512 ////////////////////////////////////////////////////////////////////////////
21513 ////////////////////////////////////////////////////////////////////////////
21514
21515 [[CHAPLMTP]]
21516 The lmtp transport
21517 ------------------
21518 cindex:[transports,^lmtp^]
21519 cindex:[^lmtp^ transport]
21520 cindex:[LMTP,over a pipe]
21521 cindex:[LMTP,over a socket]
21522 The ^lmtp^ transport runs the LMTP protocol (RFC 2033) over a pipe to a
21523 specified command
21524 or by interacting with a Unix domain socket.
21525 This transport is something of a cross between the ^pipe^ and ^smtp^
21526 transports. Exim also has support for using LMTP over TCP/IP; this is
21527 implemented as an option for the ^smtp^ transport. Because LMTP is expected
21528 to be of minority interest, the default build-time configure in _src/EDITME_
21529 has it commented out. You need to ensure that
21530
21531   TRANSPORT_LMTP=yes
21532
21533 is present in your _Local/Makefile_ in order to have the ^lmtp^ transport
21534 included in the Exim binary.
21535
21536 cindex:[options,^lmtp^ transport]
21537 The private options of the ^lmtp^ transport are as follows:
21538
21539 oindex:[%batch_id%]
21540 `..'=
21541 %batch_id%, Use: 'lmtp', Type: 'string'!!, Default: 'unset'
21542 ===
21543
21544 See the description of local delivery batching in chapter <<CHAPbatching>>.
21545
21546
21547 oindex:[%batch_max%]
21548 `..'=
21549 %batch_max%, Use: 'lmtp', Type: 'integer', Default: '1'
21550 ===
21551
21552 This limits the number of addresses that can be handled in a single delivery.
21553 Most LMTP servers can handle several addresses at once, so it is normally a
21554 good idea to increase this value. See the description of local delivery
21555 batching in chapter <<CHAPbatching>>.
21556
21557
21558 oindex:[%command%]
21559 `..'=
21560 %command%, Use: 'lmtp', Type: 'string'!!, Default: 'unset'
21561 ===
21562
21563 This option must be set if %socket% is not set. The string is a command which
21564 is run in a separate process. It is split up into a command name and list of
21565 arguments, each of which is separately expanded (so expansion cannot change the
21566 number of arguments). The command is run directly, not via a shell. The message
21567 is passed to the new process using the standard input and output to operate the
21568 LMTP protocol.
21569
21570 oindex:[%ignore_quota%]
21571 `..'=
21572 %ignore_quota%, Use: 'lmtp', Type: 'boolean', Default: 'false'
21573 ===
21574
21575 [revisionflag="changed"]
21576 cindex:[LMTP,ignoring quota errors]
21577 If this option is set true, the string `IGNOREQUOTA` is added to RCPT commands,
21578 provided that the LMTP server has advertised support for IGNOREQUOTA in its
21579 response to the LHLO command.
21580
21581
21582 oindex:[%socket%]
21583 `..'=
21584 %socket%, Use: 'lmtp', Type: 'string'!!, Default: 'unset'
21585 ===
21586
21587 This option must be set if %command% is not set. The result of expansion must
21588 be the name of a Unix domain socket. The transport connects to the socket and
21589 delivers the message to it using the LMTP protocol.
21590
21591
21592 oindex:[%timeout%]
21593 `..'=
21594 %timeout%, Use: 'lmtp', Type: 'time', Default: '5m'
21595 ===
21596
21597 The transport is aborted if the created process
21598 or Unix domain socket
21599 does not respond to LMTP commands or message input within this timeout.
21600
21601
21602 Here is an example of a typical LMTP transport:
21603
21604   lmtp:
21605     driver = lmtp
21606     command = /some/local/lmtp/delivery/program
21607     batch_max = 20
21608     user = exim
21609
21610 This delivers up to 20 addresses at a time, in a mixture of domains if
21611 necessary, running as the user 'exim'.
21612
21613
21614
21615 ////////////////////////////////////////////////////////////////////////////
21616 ////////////////////////////////////////////////////////////////////////////
21617
21618 [[CHAPpipetransport]]
21619 The pipe transport
21620 ------------------
21621 cindex:[transports,^pipe^]
21622 cindex:[^pipe^ transport]
21623 The ^pipe^ transport is used to deliver messages via a pipe to a command
21624 running in another process.
21625
21626 One example is the
21627 use of ^pipe^ as a pseudo-remote transport for passing messages to some other
21628 delivery mechanism (such as UUCP). Another is the use by individual users to
21629 automatically process their incoming messages. The ^pipe^ transport can be
21630 used in one of the following ways:
21631
21632 - cindex:[$local_part$]
21633 A router routes one address to a transport in the normal way, and the
21634 transport is configured as a ^pipe^ transport. In this case, $local_part$
21635 contains the local part of the address (as usual), and the command that is run
21636 is specified by the %command% option on the transport.
21637
21638 - cindex:[$pipe_addresses$]
21639 If the %batch_max% option is set greater than 1 (the default), the transport
21640 can be called upon to handle more than one address in a single run. In this
21641 case, $local_part$ is not set (because it is not unique). However, the
21642 pseudo-variable $pipe_addresses$ (described in section <<SECThowcommandrun>>
21643 below) contains all the addresses that are being handled.
21644
21645 - cindex:[$address_pipe$]
21646 A router redirects an address directly to a pipe command (for example, from an
21647 alias or forward file). In this case, $local_part$ contains the local part
21648 that was redirected, and $address_pipe$ contains the text of the pipe
21649 command itself. The %command% option on the transport is ignored.
21650
21651
21652 The ^pipe^ transport is a non-interactive delivery method. Exim can also
21653 deliver messages over pipes using the LMTP interactive protocol. This is
21654 implemented by the ^lmtp^ transport.
21655
21656 In the case when ^pipe^ is run as a consequence of an entry in a local user's
21657 _.forward_ file, the command runs under the uid and gid of that user. In other
21658 cases, the uid and gid have to be specified explicitly, either on the transport
21659 or on the router that handles the address. Current and ``home'' directories are
21660 also controllable. See chapter <<CHAPenvironment>> for details of the local
21661 delivery environment.
21662
21663
21664
21665 Concurrent delivery
21666 ~~~~~~~~~~~~~~~~~~~
21667 If two messages arrive at almost the same time, and both are routed to a pipe
21668 delivery, the two pipe transports may be run concurrently. You must ensure that
21669 any pipe commands you set up are robust against this happening. If the commands
21670 write to a file, the %exim_lock% utility might be of use.
21671
21672
21673
21674
21675 Returned status and data
21676 ~~~~~~~~~~~~~~~~~~~~~~~~
21677 cindex:[^pipe^ transport,returned data]
21678 If the command exits with a non-zero return code, the delivery is deemed to
21679 have failed, unless either the %ignore_status% option is set (in which case
21680 the return code is treated as zero), or the return code is one of those listed
21681 in the %temp_errors% option, which are interpreted as meaning ``try again
21682 later''. In this case, delivery is deferred. Details of a permanent failure are
21683 logged, but are not included in the bounce message, which merely contains
21684 ``local delivery failed''.
21685
21686 If the return code is greater than 128 and the command being run is a shell
21687 script, it normally means that the script was terminated by a signal whose
21688 value is the return code minus 128.
21689
21690 If Exim is unable to run the command (that is, if 'execve()' fails), the
21691 return code is set to 127. This is the value that a shell returns if it is
21692 asked to run a non-existent command. The wording for the log line suggests that
21693 a non-existent command may be the problem.
21694
21695 The %return_output% option can affect the result of a pipe delivery. If it is
21696 set and the command produces any output on its standard output or standard
21697 error streams, the command is considered to have failed, even if it gave a zero
21698 return code or if %ignore_status% is set. The output from the command is
21699 included as part of the bounce message. The %return_fail_output% option is
21700 similar, except that output is returned only when the command exits with a
21701 failure return code, that is, a value other than zero or a code that matches
21702 %temp_errors%.
21703
21704
21705
21706 [[SECThowcommandrun]]
21707 How the command is run
21708 ~~~~~~~~~~~~~~~~~~~~~~
21709 cindex:[^pipe^ transport,path for command]
21710 The command line is (by default) broken down into a command name and arguments
21711 by the ^pipe^ transport itself. The %allow_commands% and %restrict_to_path%
21712 options can be used to restrict the commands that may be run.
21713
21714 cindex:[quoting,in pipe command]
21715 Unquoted arguments are delimited by white space. If an argument appears in
21716 double quotes, backslash is interpreted as an escape character in the usual
21717 way. If an argument appears in single quotes, no escaping is done.
21718
21719 String expansion is applied to the command line except when it comes from a
21720 traditional _.forward_ file (commands from a filter file are expanded). The
21721 expansion is applied to each argument in turn rather than to the whole line.
21722 For this reason, any string expansion item that contains white space must be
21723 quoted so as to be contained within a single argument. A setting such as
21724
21725   command = /some/path ${if eq{$local_part}{postmaster}{xxx}{yyy}}
21726
21727 will not work, because the expansion item gets split between several
21728 arguments. You have to write
21729
21730   command = /some/path "${if eq{$local_part}{postmaster}{xxx}{yyy}}"
21731
21732 to ensure that it is all in one argument. The expansion is done in this way,
21733 argument by argument, so that the number of arguments cannot be changed as a
21734 result of expansion, and quotes or backslashes in inserted variables do not
21735 interact with external quoting.
21736
21737 cindex:[transport,filter]
21738 cindex:[filter,transport filter]
21739 cindex:[$pipe_addresses$]
21740 Special handling takes place when an argument consists of precisely the text
21741 `\$pipe_addresses\}`. This is not a general expansion variable; the only
21742 place this string is recognized is when it appears as an argument for a pipe or
21743 transport filter command. It causes each address that is being handled to be
21744 inserted in the argument list at that point 'as a separate argument'. This
21745 avoids any problems with spaces or shell metacharacters, and is of use when a
21746 ^pipe^ transport is handling groups of addresses in a batch.
21747
21748 After splitting up into arguments and expansion, the resulting command is run
21749 in a subprocess directly from the transport, 'not' under a shell. The
21750 message that is being delivered is supplied on the standard input, and the
21751 standard output and standard error are both connected to a single pipe that is
21752 read by Exim. The %max_output% option controls how much output the command may
21753 produce, and the %return_output% and %return_fail_output% options control
21754 what is done with it.
21755
21756 Not running the command under a shell (by default) lessens the security risks
21757 in cases when a command from a user's filter file is built out of data that was
21758 taken from an incoming message. If a shell is required, it can of course be
21759 explicitly specified as the command to be run. However, there are circumstances
21760 where existing commands (for example, in _.forward_ files) expect to be run
21761 under a shell and cannot easily be modified. To allow for these cases, there is
21762 an option called %use_shell%, which changes the way the ^pipe^ transport
21763 works. Instead of breaking up the command line as just described, it expands it
21764 as a single string and passes the result to _/bin/sh_. The
21765 %restrict_to_path% option and the $pipe_addresses$ facility cannot be used
21766 with %use_shell%, and the whole mechanism is inherently less secure.
21767
21768
21769
21770 [[SECTpipeenv]]
21771 Environment variables
21772 ~~~~~~~~~~~~~~~~~~~~~
21773 cindex:[^pipe^ transport,environment for command]
21774 cindex:[environment for pipe transport]
21775 The environment variables listed below are set up when the command is invoked.
21776 This list is a compromise for maximum compatibility with other MTAs. Note that
21777 the %environment% option can be used to add additional variables to this
21778 environment.
21779
21780 &&&
21781 `DOMAIN            `   the domain of the address
21782 `HOME              `   the home directory, if set
21783 `HOST              `   the host name when called from a router (see below)
21784 `LOCAL_PART        `   see below
21785 `LOCAL_PART_PREFIX `   see below
21786 `LOCAL_PART_SUFFIX `   see below
21787 `LOGNAME           `   see below
21788 `MESSAGE_ID        `   Exim's local ID for the message
21789 `PATH              `   as specified by the %path% option below
21790 `QUALIFY_DOMAIN    `   the sender qualification domain
21791 `RECIPIENT         `   the complete recipient address
21792 `SENDER            `   the sender of the message (empty if a bounce)
21793 `SHELL             `   `/bin/sh`
21794 `TZ                `   the value of the %timezone% option, if set
21795 `USER              `   see below
21796 &&&
21797
21798 When a ^pipe^ transport is called directly from (for example) an ^accept^
21799 router, LOCAL_PART is set to the local part of the address. When it is
21800 called as a result of a forward or alias expansion, LOCAL_PART is set to
21801 the local part of the address that was expanded. In both cases, any affixes are
21802 removed from the local part, and made available in LOCAL_PART_PREFIX and
21803 LOCAL_PART_SUFFIX, respectively. LOGNAME and USER are set to the
21804 same value as LOCAL_PART for compatibility with other MTAs.
21805
21806 cindex:[HOST]
21807 HOST is set only when a ^pipe^ transport is called from a router that
21808 associates hosts with an address, typically when using ^pipe^ as a
21809 pseudo-remote transport. HOST is set to the first host name specified by
21810 the router.
21811
21812 cindex:[HOME]
21813 If the transport's generic %home_directory% option is set, its value is used
21814 for the HOME environment variable. Otherwise, a home directory may be set
21815 by the router's %transport_home_directory% option, which defaults to the
21816 user's home directory if %check_local_user% is set.
21817
21818
21819 Private options for pipe
21820 ~~~~~~~~~~~~~~~~~~~~~~~~
21821 cindex:[options,^pipe^ transport]
21822
21823
21824
21825 oindex:[%allow_commands%]
21826 `..'=
21827 %allow_commands%, Use: 'pipe', Type: 'string list'!!, Default: 'unset'
21828 ===
21829
21830 cindex:[^pipe^ transport,permitted commands]
21831 The string is expanded, and is then interpreted as a colon-separated list of
21832 permitted commands. If %restrict_to_path% is not set, the only commands
21833 permitted are those in the %allow_commands% list. They need not be absolute
21834 paths; the %path% option is still used for relative paths. If
21835 %restrict_to_path% is set with %allow_commands%, the command must either be
21836 in the %allow_commands% list, or a name without any slashes that is found on
21837 the path. In other words, if neither %allow_commands% nor %restrict_to_path%
21838 is set, there is no restriction on the command, but otherwise only commands
21839 that are permitted by one or the other are allowed. For example, if
21840
21841   allow_commands = /usr/bin/vacation
21842
21843 and %restrict_to_path% is not set, the only permitted command is
21844 _/usr/bin/vacation_. The %allow_commands% option may not be set if
21845 %use_shell% is set.
21846
21847
21848 oindex:[%batch_id%]
21849 `..'=
21850 %batch_id%, Use: 'pipe', Type: 'string'!!, Default: 'unset'
21851 ===
21852
21853 See the description of local delivery batching in chapter <<CHAPbatching>>.
21854
21855
21856 oindex:[%batch_max%]
21857 `..'=
21858 %batch_max%, Use: 'pipe', Type: 'integer', Default: '1'
21859 ===
21860
21861 This limits the number of addresses that can be handled in a single delivery.
21862 See the description of local delivery batching in chapter <<CHAPbatching>>.
21863
21864
21865 oindex:[%check_string%]
21866 `..'=
21867 %check_string%, Use: 'pipe', Type: 'string', Default: 'unset'
21868 ===
21869
21870 As ^pipe^ writes the message, the start of each line is tested for matching
21871 %check_string%, and if it does, the initial matching characters are replaced
21872 by the contents of %escape_string%, provided both are set. The value of
21873 %check_string% is a literal string, not a regular expression, and the case of
21874 any letters it contains is significant. When %use_bsmtp% is set, the contents
21875 of %check_string% and %escape_string% are forced to values that implement the
21876 SMTP escaping protocol. Any settings made in the configuration file are
21877 ignored.
21878
21879
21880 oindex:[%command%]
21881 `..'=
21882 %command%, Use: 'pipe', Type: 'string'!!, Default: 'unset'
21883 ===
21884
21885 This option need not be set when ^pipe^ is being used to deliver to pipes
21886 obtained directly from address redirections. In other cases, the option must be
21887 set, to provide a command to be run. It need not yield an absolute path (see
21888 the %path% option below). The command is split up into separate arguments by
21889 Exim, and each argument is separately expanded, as described in section
21890 <<SECThowcommandrun>> above.
21891
21892
21893 oindex:[%environment%]
21894 `..'=
21895 %environment%, Use: 'pipe', Type: 'string'!!, Default: 'unset'
21896 ===
21897
21898 cindex:[^pipe^ transport,environment for command]
21899 cindex:[environment for ^pipe^ transport]
21900 This option is used to add additional variables to the environment in which the
21901 command runs (see section <<SECTpipeenv>> for the default list). Its value is a
21902 string which is expanded, and then interpreted as a colon-separated list of
21903 environment settings of the form ``<''name'>=<'value'>'.
21904
21905
21906 oindex:[%escape_string%]
21907 `..'=
21908 %escape_string%, Use: 'pipe', Type: 'string', Default: 'unset'
21909 ===
21910
21911 See %check_string% above.
21912
21913
21914 oindex:[%freeze_exec_fail%]
21915 `..'=
21916 %freeze_exec_fail%, Use: 'pipe', Type: 'boolean', Default: 'false'
21917 ===
21918
21919 cindex:[exec failure]
21920 cindex:[failure of exec]
21921 cindex:[^pipe^ transport,failure of exec]
21922 Failure to exec the command in a pipe transport is by default treated like
21923 any other failure while running the command. However, if %freeze_exec_fail%
21924 is set, failure to exec is treated specially, and causes the message to be
21925 frozen, whatever the setting of %ignore_status%.
21926
21927
21928 oindex:[%ignore_status%]
21929 `..'=
21930 %ignore_status%, Use: 'pipe', Type: 'boolean', Default: 'false'
21931 ===
21932
21933 If this option is true, the status returned by the subprocess that is set up to
21934 run the command is ignored, and Exim behaves as if zero had been returned.
21935 Otherwise, a non-zero status or termination by signal causes an error return
21936 from the transport unless the status value is one of those listed in
21937 %temp_errors%; these cause the delivery to be deferred and tried again later.
21938
21939 [revisionflag="changed"]
21940 *Note*: This option does not apply to timeouts, which do not return a status.
21941 See the %timeout_defer% option for how timeouts are handled.
21942
21943
21944 oindex:[%log_defer_output%]
21945 `..'=
21946 %log_defer_output%, Use: 'pipe', Type: 'boolean', Default: 'false'
21947 ===
21948
21949 cindex:[^pipe^ transport,logging output]
21950 If this option is set, and the status returned by the command is
21951 one of the codes listed in %temp_errors% (that is, delivery was deferred),
21952 and any output was produced, the first line of it is written to the main log.
21953
21954
21955 oindex:[%log_fail_output%]
21956 `..'=
21957 %log_fail_output%, Use: 'pipe', Type: 'boolean', Default: 'false'
21958 ===
21959
21960 If this option is set, and the command returns any output, and also ends with a
21961 return code that is neither zero nor one of the return codes listed in
21962 %temp_errors% (that is, the delivery failed), the first line of output is
21963 written to the main log.
21964
21965 This option and %log_output% are mutually exclusive. Only one of them may be
21966 set.
21967
21968
21969
21970 oindex:[%log_output%]
21971 `..'=
21972 %log_output%, Use: 'pipe', Type: 'boolean', Default: 'false'
21973 ===
21974
21975 If this option is set and the command returns any output, the first line of
21976 output is written to the main log, whatever the return code.
21977
21978 This option and %log_fail_output% are mutually exclusive. Only one of them
21979 may be set.
21980
21981
21982
21983 oindex:[%max_output%]
21984 `..'=
21985 %max_output%, Use: 'pipe', Type: 'integer', Default: '20K'
21986 ===
21987
21988 This specifies the maximum amount of output that the command may produce on its
21989 standard output and standard error file combined. If the limit is exceeded, the
21990 process running the command is killed. This is intended as a safety measure to
21991 catch runaway processes. The limit is applied independently of the settings of
21992 the options that control what is done with such output (for example,
21993 %return_output%). Because of buffering effects, the amount of output may
21994 exceed the limit by a small amount before Exim notices.
21995
21996
21997 oindex:[%message_prefix%]
21998 `..'=
21999 %message_prefix%, Use: 'pipe', Type: 'string'!!, Default: 'see below'
22000 ===
22001
22002 The string specified here is expanded and output at the start of every message.
22003 The default is unset if %use_bsmtp% is set. Otherwise it is
22004
22005 ....
22006 message_prefix = \
22007   From ${if def:return_path{$return_path}{MAILER-DAEMON}}\
22008   ${tod_bsdinbox}\n
22009 ....
22010
22011 cindex:[Cyrus]
22012 cindex:[%tmail%]
22013 cindex:[``From'' line]
22014 This is required by the commonly used _/usr/bin/vacation_ program.
22015 However, it must 'not' be present if delivery is to the Cyrus IMAP server,
22016 or to the %tmail% local delivery agent. The prefix can be suppressed by setting
22017
22018   message_prefix =
22019
22020
22021
22022 oindex:[%message_suffix%]
22023 `..'=
22024 %message_suffix%, Use: 'pipe', Type: 'string'!!, Default: 'see below'
22025 ===
22026
22027 The string specified here is expanded and output at the end of every message.
22028 The default is unset if %use_bsmtp% is set. Otherwise it is a single newline.
22029 The suffix can be suppressed by setting
22030
22031   message_suffix =
22032
22033
22034
22035 oindex:[%path%]
22036 `..'=
22037 %path%, Use: 'pipe', Type: 'string', Default: `/bin:/usr/bin`
22038 ===
22039
22040 This option specifies the string that is set up in the PATH environment
22041 variable of the subprocess. If the %command% option does not yield an absolute
22042 path name, the command is sought in the PATH directories, in the usual way.
22043 *Warning*: This does not apply to a command specified as a transport
22044 filter.
22045
22046
22047 oindex:[%pipe_as_creator%]
22048 `..'=
22049 %pipe_as_creator%, Use: 'pipe', Type: 'boolean', Default: 'false'
22050 ===
22051
22052 cindex:[uid (user id),local delivery]
22053 If the generic %user% option is not set and this option is true, the delivery
22054 process is run under the uid that was in force when Exim was originally called
22055 to accept the message. If the group id is not otherwise set (via the generic
22056 %group% option), the gid that was in force when Exim was originally called to
22057 accept the message is used.
22058
22059
22060 oindex:[%restrict_to_path%]
22061 `..'=
22062 %restrict_to_path%, Use: 'pipe', Type: 'boolean', Default: 'false'
22063 ===
22064
22065 When this option is set, any command name not listed in %allow_commands% must
22066 contain no slashes. The command is searched for only in the directories listed
22067 in the %path% option. This option is intended for use in the case when a pipe
22068 command has been generated from a user's _.forward_ file. This is usually
22069 handled by a ^pipe^ transport called %address_pipe%.
22070
22071
22072 oindex:[%return_fail_output%]
22073 `..'=
22074 %return_fail_output%, Use: 'pipe', Type: 'boolean', Default: 'false'
22075 ===
22076
22077 If this option is true, and the command produced any output and ended with a
22078 return code other than zero or one of the codes listed in %temp_errors% (that
22079 is, the delivery failed), the output is returned in the bounce message.
22080 However, if the message has a null sender (that is, it is itself a bounce
22081 message), output from the command is discarded.
22082
22083 This option and %return_output% are mutually exclusive. Only one of them may
22084 be set.
22085
22086
22087
22088 oindex:[%return_output%]
22089 `..'=
22090 %return_output%, Use: 'pipe', Type: 'boolean', Default: 'false'
22091 ===
22092
22093 If this option is true, and the command produced any output, the delivery is
22094 deemed to have failed whatever the return code from the command, and the output
22095 is returned in the bounce message. Otherwise, the output is just discarded.
22096 However, if the message has a null sender (that is, it is a bounce message),
22097 output from the command is always discarded, whatever the setting of this
22098 option.
22099
22100 This option and %return_fail_output% are mutually exclusive. Only one of them
22101 may be set.
22102
22103
22104
22105 oindex:[%temp_errors%]
22106 `..'=
22107 %temp_errors%, Use: 'pipe', Type: 'string list', Default: 'see below'
22108 ===
22109
22110 cindex:[^pipe^ transport,temporary failure]
22111 This option contains either a colon-separated list of numbers, or a single
22112 asterisk. If %ignore_status% is false
22113 and %return_output% is not set,
22114 and the command exits with a non-zero return code, the failure is treated as
22115 temporary and the delivery is deferred if the return code matches one of the
22116 numbers, or if the setting is a single asterisk. Otherwise, non-zero return
22117 codes are treated as permanent errors. The default setting contains the codes
22118 defined by EX_TEMPFAIL and EX_CANTCREAT in _sysexits.h_. If Exim is
22119 compiled on a system that does not define these macros, it assumes values of 75
22120 and 73, respectively.
22121
22122
22123 oindex:[%timeout%]
22124 `..'=
22125 %timeout%, Use: 'pipe', Type: 'time', Default: '1h'
22126 ===
22127
22128 If the command fails to complete within this time, it is killed. This normally
22129 causes the delivery to fail (but see %timeout_defer%). A zero time interval
22130 specifies no timeout. In order to ensure that any subprocesses created by the
22131 command are also killed, Exim makes the initial process a process group leader,
22132 and kills the whole process group on a timeout. However, this can be defeated
22133 if one of the processes starts a new process group.
22134
22135 oindex:[%timeout_defer%]
22136 `..'=
22137 %timeout_defer%, Use: 'pipe', Type: 'boolean', Default: 'false'
22138 ===
22139
22140 [revisionflag="changed"]
22141 A timeout in a ^pipe^ transport, either in the command that the transport runs,
22142 or in a transport filter that is associated with it, is by default treated as a
22143 hard error, and the delivery fails. However, if %timeout_defer% is set true,
22144 both kinds of timeout become temporary errors, causing the delivery to be
22145 deferred.
22146
22147
22148 oindex:[%umask%]
22149 `..'=
22150 %umask%, Use: 'pipe', Type: 'octal integer', Default: '022'
22151 ===
22152
22153 This specifies the umask setting for the subprocess that runs the command.
22154
22155
22156 oindex:[%use_bsmtp%]
22157 `..'=
22158 %use_bsmtp%, Use: 'pipe', Type: 'boolean', Default: 'false'
22159 ===
22160
22161 cindex:[envelope sender]
22162 If this option is set true, the ^pipe^ transport writes messages in ``batch
22163 SMTP'' format, with the envelope sender and recipient(s) included as SMTP
22164 commands. If you want to include a leading HELO command with such messages,
22165 you can do so by setting the %message_prefix% option. See section
22166 <<SECTbatchSMTP>> for details of batch SMTP.
22167
22168
22169 oindex:[%use_crlf%]
22170 `..'=
22171 %use_crlf%, Use: 'pipe', Type: 'boolean', Default: 'false'
22172 ===
22173
22174 cindex:[carriage return]
22175 cindex:[linefeed]
22176 This option causes lines to be terminated with the two-character CRLF sequence
22177 (carriage return, linefeed) instead of just a linefeed character. In the case
22178 of batched SMTP, the byte sequence written to the pipe is then an exact image
22179 of what would be sent down a real SMTP connection.
22180
22181 The contents of the %message_prefix% and %message_suffix% options are written
22182 verbatim, so must contain their own carriage return characters if these are
22183 needed. Since the default values for both %message_prefix% and
22184 %message_suffix% end with a single linefeed, their values
22185 must
22186 be changed to end with `\r\n` if %use_crlf% is set.
22187
22188
22189 oindex:[%use_shell%]
22190 `..'=
22191 %use_shell%, Use: 'pipe', Type: 'boolean', Default: 'false'
22192 ===
22193
22194 cindex:[$pipe_addresses$]
22195 If this option is set, it causes the command to be passed to _/bin/sh_
22196 instead of being run directly from the transport, as described in section
22197 <<SECThowcommandrun>>. This is less secure, but is needed in some situations
22198 where the command is expected to be run under a shell and cannot easily be
22199 modified. The %allow_commands% and %restrict_to_path% options, and the
22200 `\$pipe_addresses` facility are incompatible with %use_shell%. The
22201 command is expanded as a single string, and handed to _/bin/sh_ as data for
22202 its %-c% option.
22203
22204
22205
22206 Using an external local delivery agent
22207 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
22208 cindex:[local delivery,using an external agent]
22209 cindex:['procmail']
22210 cindex:[external local delivery]
22211 cindex:[delivery,'procmail']
22212 cindex:[delivery,by external agent]
22213 The ^pipe^ transport can be used to pass all messages that require local
22214 delivery to a separate local delivery agent such as %procmail%. When doing
22215 this, care must be taken to ensure that the pipe is run under an appropriate
22216 uid and gid. In some configurations one wants this to be a uid that is trusted
22217 by the delivery agent to supply the correct sender of the message. It may be
22218 necessary to recompile or reconfigure the delivery agent so that it trusts an
22219 appropriate user. The following is an example transport and router
22220 configuration for %procmail%:
22221
22222   # transport
22223   procmail_pipe:
22224     driver = pipe
22225     command = /usr/local/bin/procmail -d $local_part
22226     return_path_add
22227     delivery_date_add
22228     envelope_to_add
22229     check_string = "From "
22230     escape_string = ">From "
22231     user = $local_part
22232     group = mail
22233
22234   # router
22235   procmail:
22236     driver = accept
22237     check_local_user
22238     transport = procmail_pipe
22239
22240
22241 In this example, the pipe is run as the local user, but with the group set to
22242 'mail'. An alternative is to run the pipe as a specific user such as 'mail'
22243 or 'exim', but in this case you must arrange for %procmail% to trust that
22244 user to supply a correct sender address. If you do not specify either a %group%
22245 or a %user% option, the pipe command is run as the local user. The home
22246 directory is the user's home directory by default.
22247
22248 Note that the command that the pipe transport runs does 'not' begin with
22249
22250   IFS=" "
22251
22252 as shown in the %procmail% documentation, because Exim does not by default use
22253 a shell to run pipe commands.
22254
22255 cindex:[Cyrus]
22256 The next example shows a transport and a router for a system where local
22257 deliveries are handled by the Cyrus IMAP server.
22258
22259 ....
22260 # transport
22261 local_delivery_cyrus:
22262   driver = pipe
22263   command = /usr/cyrus/bin/deliver \
22264             -m ${substr_1:$local_part_suffix} -- $local_part
22265   user = cyrus
22266   group = mail
22267   return_output
22268   log_output
22269   message_prefix =
22270   message_suffix =
22271
22272 # router
22273 local_user_cyrus:
22274   driver = accept
22275   check_local_user
22276   local_part_suffix = .*
22277   transport = local_delivery_cyrus
22278 ....
22279
22280 Note the unsetting of %message_prefix% and %message_suffix%, and the use of
22281 %return_output% to cause any text written by Cyrus to be returned to the
22282 sender.
22283
22284
22285 ////////////////////////////////////////////////////////////////////////////
22286 ////////////////////////////////////////////////////////////////////////////
22287
22288 [[CHAPsmtptrans]]
22289 The smtp transport
22290 ------------------
22291 cindex:[transports,^smtp^]
22292 cindex:[^smtp^ transport]
22293 The ^smtp^ transport delivers messages over TCP/IP connections using the SMTP
22294 or LMTP protocol. The list of hosts to try can either be taken from the address
22295 that is being processed (having been set up by the router), or specified
22296 explicitly for the transport. Timeout and retry processing (see chapter
22297 <<CHAPretry>>) is applied to each IP address independently.
22298
22299
22300 Multiple messages on a single connection
22301 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
22302 The sending of multiple messages over a single TCP/IP connection can arise in
22303 two ways:
22304
22305 - If a message contains more than %max_rcpt% (see below) addresses that are
22306 routed to the same host, more than one copy of the message has to be sent to
22307 that host. In this situation, multiple copies may be sent in a single run of
22308 the ^smtp^ transport over a single TCP/IP connection. (What Exim actually does
22309 when it has too many addresses to send in one message also depends on the value
22310 of the global %remote_max_parallel% option. Details are given in section
22311 <<SECToutSMTPTCP>>.)
22312
22313 - cindex:[hints database,remembering routing]
22314 When a message has been successfully delivered over a TCP/IP connection, Exim
22315 looks in its hints database to see if there are any other messages awaiting a
22316 connection to the same host. If there are, a new delivery process is started
22317 for one of them, and the current TCP/IP connection is passed on to it. The new
22318 process may in turn send multiple copies and possibly create yet another
22319 process.
22320
22321
22322 For each copy sent over the same TCP/IP connection, a sequence counter is
22323 incremented, and if it ever gets to the value of %connection_max_messages%,
22324 no further messages are sent over that connection.
22325
22326
22327
22328 Use of the \$host variable
22329 ~~~~~~~~~~~~~~~~~~~~~~~~~~
22330 cindex:[$host$]
22331 cindex:[$host_address$]
22332 At the start of a run of the ^smtp^ transport, the values of $host$ and
22333 $host_address$ are the name and IP address of the first host on the host list
22334 passed by the router. However, when the transport is about to connect to a
22335 specific host, and while it is connected to that host, $host$ and
22336 $host_address$ are set to the values for that host. These are the values
22337 that are in force when the %helo_data%, %hosts_try_auth%, %interface%,
22338 %serialize_hosts%, and the various TLS options are expanded.
22339
22340
22341
22342 Private options for smtp
22343 ~~~~~~~~~~~~~~~~~~~~~~~~
22344 cindex:[options,^smtp^ transport]
22345 The private options of the ^smtp^ transport are as follows:
22346
22347
22348 oindex:[%allow_localhost%]
22349 `..'=
22350 %allow_localhost%, Use: 'smtp', Type: 'boolean', Default: 'false'
22351 ===
22352
22353 cindex:[local host,sending to]
22354 cindex:[fallback,hosts specified on transport]
22355 When a host specified in %hosts% or %fallback_hosts% (see below) turns out to
22356 be the local host, or is listed in %hosts_treat_as_local%, delivery is
22357 deferred by default. However, if %allow_localhost% is set, Exim goes on to do
22358 the delivery anyway. This should be used only in special cases when the
22359 configuration ensures that no looping will result (for example, a differently
22360 configured Exim is listening on the port to which the message is sent).
22361
22362
22363 oindex:[%authenticated_sender%]
22364 `..'=
22365 %authenticated_sender%, Use: 'smtp', Type: 'string'!!, Default: 'unset'
22366 ===
22367
22368 cindex:[Cyrus]
22369 When Exim has authenticated as a client, this option sets a value for the
22370 AUTH= item on outgoing MAIL commands, overriding any existing
22371 authenticated sender value. If the string expansion is forced to fail, the
22372 option is ignored. Other expansion failures cause delivery to be deferred. If
22373 the result of expansion is an empty string, that is also ignored.
22374
22375 If the SMTP session is not authenticated, the expansion of
22376 %authenticated_sender% still happens (and can cause the delivery to be
22377 deferred if it fails), but no AUTH= item is added to MAIL commands.
22378
22379 This option allows you to use the ^smtp^ transport in LMTP mode to
22380 deliver mail to Cyrus IMAP and provide the proper local part as the
22381 ``authenticated sender'', via a setting such as:
22382
22383   authenticated_sender = $local_part
22384
22385 This removes the need for IMAP subfolders to be assigned special ACLs to
22386 allow direct delivery to those subfolders.
22387
22388 Because of expected uses such as that just described for Cyrus (when no
22389 domain is involved), there is no checking on the syntax of the provided
22390 value.
22391
22392
22393 oindex:[%command_timeout%]
22394 `..'=
22395 %command_timeout%, Use: 'smtp', Type: 'time', Default: '5m'
22396 ===
22397
22398 This sets a timeout for receiving a response to an SMTP command that has been
22399 sent out. It is also used when waiting for the initial banner line from the
22400 remote host. Its value must not be zero.
22401
22402
22403 oindex:[%connect_timeout%]
22404 `..'=
22405 %connect_timeout%, Use: 'smtp', Type: 'time', Default: '5m'
22406 ===
22407
22408 This sets a timeout for the 'connect()' function, which sets up a TCP/IP call
22409 to a remote host. A setting of zero allows the system timeout (typically
22410 several minutes) to act. To have any effect, the value of this option must be
22411 less than the system timeout. However, it has been observed that on some
22412 systems there is no system timeout, which is why the default value for this
22413 option is 5 minutes, a value recommended by RFC 1123.
22414
22415
22416 oindex:[%connection_max_messages%]
22417 `..'=
22418 %connection_max_messages%, Use: 'smtp', Type: 'integer', Default: '500'
22419 ===
22420
22421 cindex:[SMTP,passed connection]
22422 cindex:[SMTP,multiple deliveries]
22423 cindex:[multiple SMTP deliveries]
22424 This controls the maximum number of separate message deliveries that are sent
22425 over a single TCP/IP connection. If the value is zero, there is no limit.
22426 For testing purposes, this value can be overridden by the %-oB% command line
22427 option.
22428
22429
22430 oindex:[%data_timeout%]
22431 `..'=
22432 %data_timeout%, Use: 'smtp', Type: 'time', Default: '5m'
22433 ===
22434
22435 This sets a timeout for the transmission of each block in the data portion of
22436 the message. As a result, the overall timeout for a message depends on the size
22437 of the message. Its value must not be zero. See also %final_timeout%.
22438
22439
22440 oindex:[%delay_after_cutoff%]
22441 `..'=
22442 %delay_after_cutoff%, Use: 'smtp', Type: 'boolean', Default: 'true'
22443 ===
22444
22445 This option controls what happens when all remote IP addresses for a given
22446 domain have been inaccessible for so long that they have passed their retry
22447 cutoff times.
22448
22449 In the default state, if the next retry time has not been reached for any of
22450 them, the address is bounced without trying any deliveries. In other words,
22451 Exim delays retrying an IP address after the final cutoff time until a new
22452 retry time is reached, and can therefore bounce an address without ever trying
22453 a delivery, when machines have been down for a long time. Some people are
22454 unhappy at this prospect, so...
22455
22456 If %delay_after_cutoff% is set false, Exim behaves differently. If all IP
22457 addresses are past their final cutoff time, Exim tries to deliver to those
22458 IP addresses that have not been tried since the message arrived. If there are
22459 none, of if they all fail, the address is bounced. In other words, it does not
22460 delay when a new message arrives, but immediately tries those expired IP
22461 addresses that haven't been tried since the message arrived. If there is a
22462 continuous stream of messages for the dead hosts, unsetting
22463 %delay_after_cutoff% means that there will be many more attempts to deliver
22464 to them.
22465
22466
22467 oindex:[%dns_qualify_single%]
22468 `..'=
22469 %dns_qualify_single%, Use: 'smtp', Type: 'boolean', Default: 'true'
22470 ===
22471
22472 If the %hosts% or %fallback_hosts% option is being used,
22473 and the %gethostbyname% option is false,
22474 the RES_DEFNAMES resolver option is set. See the %qualify_single% option
22475 in chapter <<CHAPdnslookup>> for more details.
22476
22477
22478 oindex:[%dns_search_parents%]
22479 `..'=
22480 %dns_search_parents%, Use: 'smtp', Type: 'boolean', Default: 'false'
22481 ===
22482
22483 cindex:[%search_parents%]
22484 If the %hosts% or %fallback_hosts% option is being used, and the
22485 %gethostbyname% option is false, the RES_DNSRCH resolver option is set.
22486 See the %search_parents% option in chapter <<CHAPdnslookup>> for more details.
22487
22488
22489
22490 oindex:[%fallback_hosts%]
22491 `..'=
22492 %fallback_hosts%, Use: 'smtp', Type: 'string list', Default: 'unset'
22493 ===
22494
22495 [revisionflag="changed"]
22496 cindex:[fallback,hosts specified on transport]
22497 String expansion is not applied to this option. The argument must be a
22498 colon-separated list of host names or IP addresses, optionally also including
22499 port numbers, though the separator can be changed, as described in section
22500 <<SECTlistconstruct>>. Each individual item in the list is the same as an item
22501 in a %route_list% setting for the ^manualroute^ router, as described in section
22502 <<SECTformatonehostitem>>.
22503
22504 Fallback hosts can also be specified on routers, which associate them with the
22505 addresses they process. As for the %hosts% option without %hosts_override%,
22506 %fallback_hosts% specified on the transport is used only if the address does
22507 not have its own associated fallback host list. Unlike %hosts%, a setting of
22508 %fallback_hosts% on an address is not overridden by %hosts_override%. However,
22509 %hosts_randomize% does apply to fallback host lists.
22510
22511 If Exim is unable to deliver to any of the hosts for a particular address, and
22512 the errors are not permanent rejections, the address is put on a separate
22513 transport queue with its host list replaced by the fallback hosts, unless the
22514 address was routed via MX records and the current host was in the original MX
22515 list. In that situation, the fallback host list is not used.
22516
22517 Once normal deliveries are complete, the fallback queue is delivered by
22518 re-running the same transports with the new host lists. If several failing
22519 addresses have the same fallback hosts (and %max_rcpt% permits it), a single
22520 copy of the message is sent.
22521
22522 The resolution of the host names on the fallback list is controlled by the
22523 %gethostbyname% option, as for the %hosts% option. Fallback hosts apply
22524 both to cases when the host list comes with the address and when it is taken
22525 from %hosts%. This option provides a ``use a smart host only if delivery fails''
22526 facility.
22527
22528
22529 oindex:[%final_timeout%]
22530 `..'=
22531 %final_timeout%, Use: 'smtp', Type: 'time', Default: '10m'
22532 ===
22533
22534 This is the timeout that applies while waiting for the response to the final
22535 line containing just ``.'' that terminates a message. Its value must not be zero.
22536
22537
22538 oindex:[%gethostbyname%]
22539 `..'=
22540 %gethostbyname%, Use: 'smtp', Type: 'boolean', Default: 'false'
22541 ===
22542
22543 If this option is true when the %hosts% and/or %fallback_hosts% options are
22544 being used, names are looked up using 'gethostbyname()'
22545 (or 'getipnodebyname()' when available)
22546 instead of using the DNS. Of course, that function may in fact use the DNS, but
22547 it may also consult other sources of information such as _/etc/hosts_.
22548
22549 oindex:[%helo_data%]
22550 `..'=
22551 %helo_data%, Use: 'smtp', Type: 'string'!!, Default: `\$primary_hostname`
22552 ===
22553
22554 cindex:[HELO argument, setting]
22555 cindex:[EHLO argument, setting]
22556 The value of this option is expanded, and used as the argument for the EHLO
22557 or HELO command that starts the outgoing SMTP session.
22558
22559
22560 oindex:[%hosts%]
22561 `..'=
22562 %hosts%, Use: 'smtp', Type: 'string list'!!, Default: 'unset'
22563 ===
22564
22565 Hosts are associated with an address by a router such as ^dnslookup^, which
22566 finds the hosts by looking up the address domain in the DNS, or by
22567 ^manualroute^, which has lists of hosts in its configuration. However,
22568 email addresses can be passed to the ^smtp^ transport by any router, and not
22569 all of them can provide an associated list of hosts.
22570
22571 The %hosts% option specifies a list of hosts to be used if the address being
22572 processed does not have any hosts associated with it. The hosts specified by
22573 %hosts% are also used, whether or not the address has its own hosts, if
22574 %hosts_override% is set.
22575
22576 [revisionflag="changed"]
22577 The string is first expanded, before being interpreted as a colon-separated
22578 list of host names or IP addresses, possibly including port numbers. The
22579 separator may be changed to something other than colon, as described in section
22580 <<SECTlistconstruct>>. Each individual item in the list is the same as an item
22581 in a %route_list% setting for the ^manualroute^ router, as described in section
22582 <<SECTformatonehostitem>>. However, note that the `/MX` facility of the
22583 ^manualroute^ router is not available here.
22584
22585 If the expansion fails, delivery is deferred. Unless the failure was caused by
22586 the inability to complete a lookup, the error is logged to the panic log as
22587 well as the main log. Host names are looked up either by searching directly for
22588 address records in the DNS or by calling 'gethostbyname()' (or
22589 'getipnodebyname()' when available), depending on the setting of the
22590 %gethostbyname% option. When Exim is compiled with IPv6 support, if a host that
22591 is looked up in the DNS has both IPv4 and IPv6 addresses, both types of address
22592 are used.
22593
22594 During delivery, the hosts are tried in order, subject to their retry status,
22595 unless %hosts_randomize% is set.
22596
22597
22598 oindex:[%hosts_avoid_esmtp%]
22599 `..'=
22600 %hosts_avoid_esmtp%, Use: 'smtp', Type: 'host list'!!, Default: 'unset'
22601 ===
22602
22603 cindex:[ESMTP, avoiding use of]
22604 cindex:[HELO,forcing use of]
22605 cindex:[EHLO,avoiding use of]
22606 cindex:[PIPELINING,avoiding the use of]
22607 This option is for use with broken hosts that announce ESMTP facilities (for
22608 example, PIPELINING) and then fail to implement them properly. When a host
22609 matches %hosts_avoid_esmtp%, Exim sends HELO rather than EHLO at the
22610 start of the SMTP session. This means that it cannot use any of the ESMTP
22611 facilities such as AUTH, PIPELINING, SIZE, and STARTTLS.
22612
22613
22614 oindex:[%hosts_avoid_tls%]
22615 `..'=
22616 %hosts_avoid_tls%, Use: 'smtp', Type: 'host list'!!, Default: 'unset'
22617 ===
22618
22619 cindex:[TLS,avoiding for certain hosts]
22620 Exim will not try to start a TLS session when delivering to any host that
22621 matches this list. See chapter <<CHAPTLS>> for details of TLS.
22622
22623
22624 oindex:[%hosts_max_try%]
22625 `..'=
22626 %hosts_max_try%, Use: 'smtp', Type: 'integer', Default: '5'
22627 ===
22628
22629 cindex:[host,maximum number to try]
22630 cindex:[limit,number of hosts tried]
22631 cindex:[limit,number of MX tried]
22632 cindex:[MX record,maximum tried]
22633 This option limits the number of IP addresses that are tried for any one
22634 delivery in cases where there are temporary delivery errors. Section
22635 <<SECTvalhosmax>> describes in detail how the value of this option is used.
22636
22637
22638 oindex:[%hosts_max_try_hardlimit%]
22639 `..'=
22640 %hosts_max_try_hardlimit%, Use: 'smtp', Type: 'integer', Default: '50'
22641 ===
22642
22643 This is an additional check on the maximum number of IP addresses that Exim
22644 tries for any one delivery. Section <<SECTvalhosmax>> describes its use and why
22645 it exists.
22646
22647
22648
22649 oindex:[%hosts_nopass_tls%]
22650 `..'=
22651 %hosts_nopass_tls%, Use: 'smtp', Type: 'host list'!!, Default: 'unset'
22652 ===
22653
22654 cindex:[TLS,passing connection]
22655 cindex:[multiple SMTP deliveries]
22656 cindex:[TLS,multiple message deliveries]
22657 For any host that matches this list, a connection on which a TLS session has
22658 been started will not be passed to a new delivery process for sending another
22659 message on the same connection. See section <<SECTmulmessam>> for an explanation
22660 of when this might be needed.
22661
22662
22663 oindex:[%hosts_override%]
22664 `..'=
22665 %hosts_override%, Use: 'smtp', Type: 'boolean', Default: 'false'
22666 ===
22667
22668 If this option is set and the %hosts% option is also set, any hosts that are
22669 attached to the address are ignored, and instead the hosts specified by the
22670 %hosts% option are always used. This option does not apply to
22671 %fallback_hosts%.
22672
22673
22674 oindex:[%hosts_randomize%]
22675 `..'=
22676 %hosts_randomize%, Use: 'smtp', Type: 'boolean', Default: 'false'
22677 ===
22678
22679 cindex:[randomized host list]
22680 cindex:[host,list of; randomized]
22681 cindex:[fallback,randomized hosts]
22682 If this option is set, and either the list of hosts is taken from the
22683 %hosts% or the %fallback_hosts% option, or the hosts supplied by the router
22684 were not obtained from MX records (this includes fallback hosts from the
22685 router), and were not randomizied by the router, the order of trying the hosts
22686 is randomized each time the transport runs. Randomizing the order of a host
22687 list can be used to do crude load sharing.
22688
22689 When %hosts_randomize% is true, a host list may be split into groups whose
22690 order is separately randomized. This makes it possible to set up MX-like
22691 behaviour. The boundaries between groups are indicated by an item that is just
22692 `+` in the host list. For example:
22693
22694   hosts = host1:host2:host3:+:host4:host5
22695
22696 The order of the first three hosts and the order of the last two hosts is
22697 randomized for each use, but the first three always end up before the last two.
22698 If %hosts_randomize% is not set, a `+` item in the list is ignored.
22699
22700 oindex:[%hosts_require_auth%]
22701 `..'=
22702 %hosts_require_auth%, Use: 'smtp', Type: 'host list'!!, Default: 'unset'
22703 ===
22704
22705 cindex:[authentication,required by client]
22706 This option provides a list of servers for which authentication must succeed
22707 before Exim will try to transfer a message. If authentication fails for
22708 servers which are not in this list, Exim tries to send unauthenticated. If
22709 authentication fails for one of these servers, delivery is deferred. This
22710 temporary error is detectable in the retry rules, so it can be turned into a
22711 hard failure if required. See also %hosts_try_auth%, and chapter
22712 <<CHAPSMTPAUTH>> for details of authentication.
22713
22714
22715 oindex:[%hosts_require_tls%]
22716 `..'=
22717 %hosts_require_tls%, Use: 'smtp', Type: 'host list'!!, Default: 'unset'
22718 ===
22719
22720 cindex:[TLS,requiring for certain servers]
22721 Exim will insist on using a TLS session when delivering to any host that
22722 matches this list. See chapter <<CHAPTLS>> for details of TLS.
22723 *Note*: This option affects outgoing mail only. To insist on TLS for
22724 incoming messages, use an appropriate ACL.
22725
22726 oindex:[%hosts_try_auth%]
22727 `..'=
22728 %hosts_try_auth%, Use: 'smtp', Type: 'host list'!!, Default: 'unset'
22729 ===
22730
22731 cindex:[authentication,optional in client]
22732 This option provides a list of servers to which, provided they announce
22733 authentication support, Exim will attempt to authenticate as a client when it
22734 connects. If authentication fails, Exim will try to transfer the message
22735 unauthenticated. See also %hosts_require_auth%, and chapter <<CHAPSMTPAUTH>>
22736 for details of authentication.
22737
22738 oindex:[%interface%]
22739 `..'=
22740 %interface%, Use: 'smtp', Type: 'string list'!!, Default: 'unset'
22741 ===
22742
22743 cindex:[bind IP address]
22744 cindex:[IP address,binding]
22745 cindex:[$host$]
22746 cindex:[$host_address$]
22747 This option specifies which interface to bind to when making an outgoing SMTP
22748 call. The variables $host$ and $host_address$ refer to the host to which a
22749 connection is about to be made during the expansion of the string. Forced
22750 expansion failure, or an empty string result causes the option to be ignored.
22751 Otherwise, after expansion,
22752 the string must be a list of IP addresses, colon-separated by default, but the
22753 separator can be changed in the usual way.
22754 For example:
22755
22756   interface = <; 192.168.123.123 ; 3ffe:ffff:836f::fe86:a061
22757
22758 The first interface of the correct type (IPv4 or IPv6) is used for the outgoing
22759 connection. If none of them are the correct type, the option is ignored. If
22760 %interface% is not set, or is ignored, the system's IP functions choose which
22761 interface to use if the host has more than one.
22762
22763
22764 oindex:[%keepalive%]
22765 `..'=
22766 %keepalive%, Use: 'smtp', Type: 'boolean', Default: 'true'
22767 ===
22768
22769 cindex:[keepalive,on outgoing connection]
22770 This option controls the setting of SO_KEEPALIVE on outgoing TCP/IP socket
22771 connections. When set, it causes the kernel to probe idle connections
22772 periodically, by sending packets with ``old'' sequence numbers. The other end of
22773 the connection should send a acknowledgement if the connection is still okay or
22774 a reset if the connection has been aborted. The reason for doing this is that
22775 it has the beneficial effect of freeing up certain types of connection that can
22776 get stuck when the remote host is disconnected without tidying up the TCP/IP
22777 call properly. The keepalive mechanism takes several hours to detect
22778 unreachable hosts.
22779
22780
22781 oindex:[%lmtp_ignore_quota%]
22782 `..'=
22783 %lmtp_ignore_quota%, Use: 'smtp', Type: 'boolean', Default: 'false'
22784 ===
22785
22786 [revisionflag="changed"]
22787 cindex:[LMTP,ignoring quota errors]
22788 If this option is set true when the %protocol% option is set to ``lmtp'', the
22789 string `IGNOREQUOTA` is added to RCPT commands, provided that the LMTP server
22790 has advertised support for IGNOREQUOTA in its response to the LHLO command.
22791
22792
22793 oindex:[%max_rcpt%]
22794 `..'=
22795 %max_rcpt%, Use: 'smtp', Type: 'integer', Default: '100'
22796 ===
22797
22798 cindex:[RCPT,maximum number of outgoing]
22799 This option limits the number of RCPT commands that are sent in a single
22800 SMTP message transaction. Each set of addresses is treated independently, and
22801 so can cause parallel connections to the same host if %remote_max_parallel%
22802 permits this.
22803
22804
22805 oindex:[%multi_domain%]
22806 `..'=
22807 %multi_domain%, Use: 'smtp', Type: 'boolean', Default: 'true'
22808 ===
22809
22810 cindex:[$domain$]
22811 When this option is set, the ^smtp^ transport can handle a number of addresses
22812 containing a mixture of different domains provided they all resolve to the same
22813 list of hosts. Turning the option off restricts the transport to handling only
22814 one domain at a time. This is useful if you want to use $domain$ in an
22815 expansion for the transport, because it is set only when there is a single
22816 domain involved in a remote delivery.
22817
22818
22819 oindex:[%port%]
22820 `..'=
22821 %port%, Use: 'smtp', Type: 'string'!!, Default: 'see below'
22822 ===
22823
22824 cindex:[port,sending TCP/IP]
22825 cindex:[TCP/IP,setting outgoing port]
22826 This option specifies the TCP/IP port on the server to which Exim connects. If
22827 it begins with a digit it is taken as a port number; otherwise it is looked up
22828 using 'getservbyname()'. The default value is normally ``smtp'', but if
22829 %protocol% is set to ``lmtp'', the default is ``lmtp''.
22830 If the expansion fails, or if a port number cannot be found, delivery is
22831 deferred.
22832
22833
22834
22835 oindex:[%protocol%]
22836 `..'=
22837 %protocol%, Use: 'smtp', Type: 'string', Default: 'smtp'
22838 ===
22839
22840 cindex:[LMTP,over TCP/IP]
22841 If this option is set to ``lmtp'' instead of ``smtp'', the default value for the
22842 %port% option changes to ``lmtp'', and the transport operates the LMTP protocol
22843 (RFC 2033) instead of SMTP. This protocol is sometimes used for local
22844 deliveries into closed message stores. Exim also has support for running LMTP
22845 over a pipe to a local process -- see chapter <<CHAPLMTP>>.
22846
22847
22848 oindex:[%retry_include_ip_address%]
22849 `..'=
22850 %retry_include_ip_address%, Use: 'smtp', Type: 'boolean', Default: 'true'
22851 ===
22852
22853 Exim normally includes both the host name and the IP address in the key it
22854 constructs for indexing retry data after a temporary delivery failure. This
22855 means that when one of several IP addresses for a host is failing, it gets
22856 tried periodically (controlled by the retry rules), but use of the other IP
22857 addresses is not affected.
22858
22859 However, in some dialup environments hosts are assigned a different IP address
22860 each time they connect. In this situation the use of the IP address as part of
22861 the retry key leads to undesirable behaviour. Setting this option false causes
22862 Exim to use only the host name. This should normally be done on a separate
22863 instance of the ^smtp^ transport, set up specially to handle the dialup hosts.
22864
22865
22866 oindex:[%serialize_hosts%]
22867 `..'=
22868 %serialize_hosts%, Use: 'smtp', Type: 'host list'!!, Default: 'unset'
22869 ===
22870
22871 cindex:[serializing connections]
22872 cindex:[host,serializing connections]
22873 Because Exim operates in a distributed manner, if several messages for the same
22874 host arrive at around the same time, more than one simultaneous connection to
22875 the remote host can occur. This is not usually a problem except when there is a
22876 slow link between the hosts. In that situation it may be helpful to restrict
22877 Exim to one connection at a time. This can be done by setting
22878 %serialize_hosts% to match the relevant hosts.
22879
22880 cindex:[hints database,serializing deliveries to a host]
22881 Exim implements serialization by means of a hints database in which a record is
22882 written whenever a process connects to one of the restricted hosts. The record
22883 is deleted when the connection is completed. Obviously there is scope for
22884 records to get left lying around if there is a system or program crash. To
22885 guard against this, Exim ignores any records that are more than six hours old.
22886
22887 If you set up this kind of serialization, you should also arrange to delete the
22888 relevant hints database whenever your system reboots. The names of the files
22889 start with _misc_ and they are kept in the _spool/db_ directory. There
22890 may be one or two files, depending on the type of DBM in use. The same files
22891 are used for ETRN serialization.
22892
22893
22894 oindex:[%size_addition%]
22895 `..'=
22896 %size_addition%, Use: 'smtp', Type: 'integer', Default: '1024'
22897 ===
22898
22899 cindex:[SMTP,SIZE]
22900 cindex:[message,size issue for transport filter]
22901 cindex:[size,of message]
22902 cindex:[transport,filter]
22903 cindex:[filter,transport filter]
22904 If a remote SMTP server indicates that it supports the SIZE option of the
22905 MAIL command, Exim uses this to pass over the message size at the start of
22906 an SMTP transaction. It adds the value of %size_addition% to the value it
22907 sends, to allow for headers and other text that may be added during delivery by
22908 configuration options or in a transport filter. It may be necessary to increase
22909 this if a lot of text is added to messages.
22910
22911 Alternatively, if the value of %size_addition% is set negative, it disables
22912 the use of the SIZE option altogether.
22913
22914
22915 oindex:[%tls_certificate%]
22916 `..'=
22917 %tls_certificate%, Use: 'smtp', Type: 'string'!!, Default: 'unset'
22918 ===
22919
22920 cindex:[TLS client certificate, location of]
22921 cindex:[certificate for client, location of]
22922 cindex:[$host$]
22923 cindex:[$host_address$]
22924 The value of this option must be the absolute path to a file which contains the
22925 client's certificate, for use when sending a message over an encrypted
22926 connection. The values of $host$ and $host_address$ are set to the name
22927 and address of the server during the expansion. See chapter <<CHAPTLS>> for
22928 details of TLS.
22929
22930 *Note*: This option must be set if you want Exim to use TLS when sending
22931 messages as a client. The global option of the same name specifies the
22932 certificate for Exim as a server; it is not automatically assumed that the same
22933 certificate should be used when Exim is operating as a client.
22934
22935
22936 oindex:[%tls_crl%]
22937 `..'=
22938 %tls_crl%, Use: 'smtp', Type: 'string'!!, Default: 'unset'
22939 ===
22940
22941 cindex:[TLS,client certificate revocation list]
22942 cindex:[certificate,revocation list for client]
22943 This option specifies a certificate revocation list. The expanded value must
22944 be the name of a file that contains a CRL in PEM format.
22945
22946
22947 oindex:[%tls_privatekey%]
22948 `..'=
22949 %tls_privatekey%, Use: 'smtp', Type: 'string'!!, Default: 'unset'
22950 ===
22951
22952 cindex:[TLS client private key, location of]
22953 cindex:[$host$]
22954 cindex:[$host_address$]
22955 The value of this option must be the absolute path to a file which contains the
22956 client's private key, for use when sending a message over an encrypted
22957 connection. The values of $host$ and $host_address$ are set to the name
22958 and address of the server during the expansion.
22959 If this option is unset, the private key is assumed to be in the same file as
22960 the certificate.
22961 See chapter <<CHAPTLS>> for details of TLS.
22962
22963
22964 oindex:[%tls_require_ciphers%]
22965 `..'=
22966 %tls_require_ciphers%, Use: 'smtp', Type: 'string'!!, Default: 'unset'
22967 ===
22968
22969 cindex:[TLS,requiring specific ciphers]
22970 cindex:[cipher,requiring specific]
22971 cindex:[$host$]
22972 cindex:[$host_address$]
22973 The value of this option must be a list of permitted cipher suites, for use
22974 when setting up an outgoing encrypted connection. (There is a global option of
22975 the same name for controlling incoming connections.) The values of $host$ and
22976 $host_address$ are set to the name and address of the server during the
22977 expansion. See chapter <<CHAPTLS>> for details of TLS; note that this option is
22978 used in different ways by OpenSSL and GnuTLS (see sections <<SECTreqciphssl>>
22979 and <<SECTreqciphgnu>>). For GnuTLS, the order of the ciphers is a preference
22980 order.
22981
22982
22983
22984 oindex:[%tls_tempfail_tryclear%]
22985 `..'=
22986 %tls_tempfail_tryclear%, Use: 'smtp', Type: 'boolean', Default: 'true'
22987 ===
22988
22989 When the server host is not in %hosts_require_tls%, and there is a problem in
22990 setting up a TLS session, this option determines whether or not Exim should try
22991 to deliver the message unencrypted. If it is set false, delivery to the
22992 current host is deferred; if there are other hosts, they are tried. If this
22993 option is set true, Exim attempts to deliver unencrypted after a 4##'xx'
22994 response to STARTTLS. Also, if STARTTLS is accepted, but the subsequent
22995 TLS negotiation fails, Exim closes the current connection (because it is in an
22996 unknown state), opens a new one to the same host, and then tries the delivery
22997 in clear.
22998
22999
23000 oindex:[%tls_verify_certificates%]
23001 `..'=
23002 %tls_verify_certificates%, Use: 'smtp', Type: 'string'!!, Default: 'unset'
23003 ===
23004
23005 cindex:[TLS,server certificate verification]
23006 cindex:[certificate,verification of server]
23007 cindex:[$host$]
23008 cindex:[$host_address$]
23009 The value of this option must be the absolute path to a file containing
23010 permitted server certificates, for use when setting up an encrypted connection.
23011 Alternatively, if you are using OpenSSL, you can set
23012 %tls_verify_certificates% to the name of a directory containing certificate
23013 files. This does not work with GnuTLS; the option must be set to the name of a
23014 single file if you are using GnuTLS. The values of $host$ and
23015 $host_address$ are set to the name and address of the server during the
23016 expansion of this option. See chapter <<CHAPTLS>> for details of TLS.
23017
23018
23019
23020
23021 [[SECTvalhosmax]]
23022 How the limits for the number of hosts to try are used
23023 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23024 cindex:[host,maximum number to try]
23025 cindex:[limit,hosts; maximum number tried]
23026 There are two options that are concerned with the number of hosts that are
23027 tried when an SMTP delivery takes place. They are %hosts_max_try% and
23028 %hosts_max_try_hardlimit%.
23029
23030
23031 The %hosts_max_try% option limits the number of hosts that are tried
23032 for a single delivery. However, despite the term ``host'' in its name, the option
23033 actually applies to each IP address independently. In other words, a multihomed
23034 host is treated as several independent hosts, just as it is for retrying.
23035
23036 Many of the larger ISPs have multiple MX records which often point to
23037 multihomed hosts. As a result, a list of a dozen or more IP addresses may be
23038 created as a result of routing one of these domains.
23039
23040 Trying every single IP address on such a long list does not seem sensible; if
23041 several at the top of the list fail, it is reasonable to assume there is some
23042 problem that is likely to affect all of them. Roughly speaking, the value of
23043 %hosts_max_try% is the maximum number that are tried before deferring the
23044 delivery. However, the logic cannot be quite that simple.
23045
23046 Firstly, IP addresses that are skipped because their retry times have not
23047 arrived do not count, and in addition, addresses that are past their retry
23048 limits are also not counted, even when they are tried. This means that when
23049 some IP addresses are past their retry limits, more than the value of
23050 %hosts_max_retry% may be tried. The reason for this behaviour is to ensure
23051 that all IP addresses are considered before timing out an email address (but
23052 see below for an exception).
23053
23054 Secondly, when the %hosts_max_try% limit is reached, Exim looks down the host
23055 list to see if there is a subsequent host with a different (higher valued) MX.
23056 If there is, that host is considered next, and the current IP address is used
23057 but not counted. This behaviour helps in the case of a domain with a retry rule
23058 that hardly ever delays any hosts, as is now explained:
23059
23060 Consider the case of a long list of hosts with one MX value, and a few with a
23061 higher MX value. If %hosts_max_try% is small (the default is 5) only a few
23062 hosts at the top of the list are tried at first. With the default retry rule,
23063 which specifies increasing retry times, the higher MX hosts are eventually
23064 tried when those at the top of the list are skipped because they have not
23065 reached their retry times.
23066
23067 However, it is common practice to put a fixed short retry time on domains for
23068 large ISPs, on the grounds that their servers are rarely down for very long.
23069 Unfortunately, these are exactly the domains that tend to resolve to long lists
23070 of hosts. The short retry time means that the lowest MX hosts are tried every
23071 time. The attempts may be in a different order because of random sorting, but
23072 without the special MX check, the higher MX hosts would never be tried
23073
23074 until all the lower MX hosts had timed out (which might be several days),
23075 because there are always some lower MX hosts that have reached their retry
23076 times. With the special check, Exim considers at least one IP address from each
23077 MX value at every delivery attempt, even if the %hosts_max_try% limit has
23078 already been reached.
23079
23080 The above logic means that %hosts_max_try% is not a hard limit, and in
23081 particular, Exim normally eventually tries all the IP addresses before timing
23082 out an email address. When %hosts_max_try% was implemented, this seemed a
23083 reasonable thing to do. Recently, however, some lunatic DNS configurations have
23084 been set up with hundreds of IP addresses for some domains. It can
23085 take a very long time indeed for an address to time out in these cases.
23086
23087 The %hosts_max_try_hardlimit% option was added to help with this problem.
23088 Exim never tries more than this number of IP addresses; if it hits this limit
23089 and they are all timed out, the email address is bounced, even though not all
23090 possible IP addresses have been tried.
23091
23092
23093
23094
23095
23096 ////////////////////////////////////////////////////////////////////////////
23097 ////////////////////////////////////////////////////////////////////////////
23098
23099 [[CHAPrewrite]]
23100 Address rewriting
23101 -----------------
23102 cindex:[rewriting,addresses]
23103 There are some circumstances in which Exim automatically rewrites domains in
23104 addresses. The two most common are when an address is given without a domain
23105 (referred to as an ``unqualified address'') or when an address contains an
23106 abbreviated domain that is expanded by DNS lookup.
23107
23108 Unqualified envelope addresses are accepted only for locally submitted
23109 messages, or messages from hosts that match %sender_unqualified_hosts% or
23110 %recipient_unqualified_hosts%, respectively. Unqualified addresses in header
23111 lines are qualified if they are in locally submitted messages, or messages from
23112 hosts that are permitted to send unqualified envelope addresses. Otherwise,
23113 unqualified addresses in header lines are neither qualified nor rewritten.
23114
23115 One situation in which Exim does 'not' automatically rewrite a domain is
23116 when it is the name of a CNAME record in the DNS. The older RFCs suggest that
23117 such a domain should be rewritten using the ``canonical'' name, and some MTAs do
23118 this. The new RFCs do not contain this suggestion.
23119
23120
23121 Explicitly configured address rewriting
23122 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23123 This chapter describes the rewriting rules that can be used in the
23124 main rewrite section of the configuration file, and also in the generic
23125 %headers_rewrite% option that can be set on any transport.
23126
23127 Some people believe that configured address rewriting is a Mortal Sin.
23128 Others believe that life is not possible without it. Exim provides the
23129 facility; you do not have to use it.
23130
23131 The main rewriting rules that appear in the ``rewrite'' section of the
23132 configuration file are applied to addresses in incoming messages, both envelope
23133 addresses and addresses in header lines. Each rule specifies the types of
23134 address to which it applies.
23135
23136 Rewriting of addresses in header lines applies only to those headers that
23137 were received with the message, and, in the case of transport rewriting, those
23138 that were added by a system filter. That is, it applies only to those headers
23139 that are common to all copies of the message. Header lines that are added by
23140 individual routers or transports (and which are therefore specific to
23141 individual recipient addresses) are not rewritten.
23142
23143 In general, rewriting addresses from your own system or domain has some
23144 legitimacy. Rewriting other addresses should be done only with great care and
23145 in special circumstances. The author of Exim believes that rewriting should be
23146 used sparingly, and mainly for ``regularizing'' addresses in your own domains.
23147 Although it can sometimes be used as a routing tool, this is very strongly
23148 discouraged.
23149
23150 There are two commonly encountered circumstances where rewriting is used, as
23151 illustrated by these examples:
23152
23153 - The company whose domain is 'hitch.fict.example' has a number of hosts that
23154 exchange mail with each other behind a firewall, but there is only a single
23155 gateway to the outer world. The gateway rewrites '*.hitch.fict.example' as
23156 'hitch.fict.example' when sending mail off-site.
23157
23158 - A host rewrites the local parts of its own users so that, for example,
23159 'fp42@hitch.fict.example' becomes 'Ford.Prefect@hitch.fict.example'.
23160
23161
23162
23163 When does rewriting happen?
23164 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
23165 cindex:[rewriting,timing of]
23166 cindex:[{ACL},rewriting addresses in]
23167 Configured address rewriting can take place at several different stages of a
23168 message's processing.
23169
23170 cindex:[$sender_address$]
23171 At the start of an ACL for MAIL, the sender address may have been rewritten
23172 by a special SMTP-time rewrite rule (see section <<SECTrewriteS>>), but no
23173 ordinary rewrite rules have yet been applied. If, however, the sender address
23174 is verified in the ACL, it is rewritten before verification, and remains
23175 rewritten thereafter. The subsequent value of $sender_address$ is the
23176 rewritten address. This also applies if sender verification happens in a
23177 RCPT ACL. Otherwise, when the sender address is not verified, it is
23178 rewritten as soon as a message's header lines have been received.
23179
23180 cindex:[$domain$]
23181 cindex:[$local_part$]
23182 Similarly, at the start of an ACL for RCPT, the current recipient's address
23183 may have been rewritten by a special SMTP-time rewrite rule, but no ordinary
23184 rewrite rules have yet been applied to it. However, the behaviour is different
23185 from the sender address when a recipient is verified. The address is rewritten
23186 for the verification, but the rewriting is not remembered at this stage. The
23187 value of $local_part$ and $domain$ after verification are always the same
23188 as they were before (that is, they contain the unrewritten -- except for
23189 SMTP-time rewriting -- address).
23190
23191 Once a message's header lines have been received, all the envelope recipient
23192 addresses are permanently rewritten, and rewriting is also applied to the
23193 addresses in the header lines (if configured).
23194 cindex:['local_scan()' function,address rewriting; timing of]
23195 Thus, all the rewriting is completed before the DATA ACL and
23196 'local_scan()' functions are run.
23197
23198 When an address is being routed, either for delivery or for verification,
23199 rewriting is applied immediately to child addresses that are generated by
23200 redirection, unless %no_rewrite% is set on the router.
23201
23202 cindex:[envelope sender, rewriting]
23203 cindex:[rewriting,at transport time]
23204 At transport time, additional rewriting of addresses in header lines can be
23205 specified by setting the generic %headers_rewrite% option on a transport. This
23206 option contains rules that are identical in form to those in the rewrite
23207 section of the configuration file. In addition, the outgoing envelope sender
23208 can be rewritten by means of the %return_path% transport option. However, it
23209 is not possible to rewrite envelope recipients at transport time.
23210
23211
23212
23213
23214 Testing the rewriting rules that apply on input
23215 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23216 cindex:[rewriting,testing]
23217 cindex:[testing,rewriting]
23218 Exim's input rewriting configuration appears in a part of the run time
23219 configuration file headed by ``begin rewrite''. It can be tested by the %-brw%
23220 command line option. This takes an address (which can be a full RFC 2822
23221 address) as its argument. The output is a list of how the address would be
23222 transformed by the rewriting rules for each of the different places it might
23223 appear in an incoming message, that is, for each different header and for the
23224 envelope sender and recipient fields. For example,
23225
23226   exim -brw ph10@exim.workshop.example
23227
23228 might produce the output
23229
23230     sender: Philip.Hazel@exim.workshop.example
23231       from: Philip.Hazel@exim.workshop.example
23232         to: ph10@exim.workshop.example
23233         cc: ph10@exim.workshop.example
23234        bcc: ph10@exim.workshop.example
23235   reply-to: Philip.Hazel@exim.workshop.example
23236   env-from: Philip.Hazel@exim.workshop.example
23237     env-to: ph10@exim.workshop.example
23238
23239 which shows that rewriting has been set up for that address when used in any of
23240 the source fields, but not when it appears as a recipient address. At the
23241 present time, there is no equivalent way of testing rewriting rules that are
23242 set for a particular transport.
23243
23244
23245 Rewriting rules
23246 ~~~~~~~~~~~~~~~
23247 cindex:[rewriting,rules]
23248 The rewrite section of the configuration file consists of lines of rewriting
23249 rules in the form
23250
23251   <source pattern>  <replacement>  <flags>
23252
23253 Rewriting rules that are specified for the %headers_rewrite% generic transport
23254 option are given as a colon-separated list. Each item in the list takes the
23255 same form as a line in the main rewriting configuration
23256 (except that any colons must be doubled, of course).
23257
23258 The formats of source patterns and replacement strings are described below.
23259 Each is terminated by white space, unless enclosed in double quotes, in which
23260 case normal quoting conventions apply inside the quotes. The flags are single
23261 characters which may appear in any order. Spaces and tabs between them are
23262 ignored.
23263
23264 For each address that could potentially be rewritten, the rules are scanned in
23265 order, and replacements for the address from earlier rules can themselves be
23266 replaced by later rules (but see the ``q'' and ``R'' flags).
23267
23268 The order in which addresses are rewritten is undefined, may change between
23269 releases, and must not be relied on, with one exception: when a message is
23270 received, the envelope sender is always rewritten first, before any header
23271 lines are rewritten. For example, the replacement string for a rewrite of an
23272 address in 'To:' must not assume that the message's address in 'From:' has (or
23273 has not) already been rewritten. However, a rewrite of 'From:' may assume that
23274 the envelope sender has already been rewritten.
23275
23276 cindex:[$domain$]
23277 cindex:[$local_part$]
23278 The variables $local_part$ and $domain$ can be used in the replacement
23279 string to refer to the address that is being rewritten. Note that lookup-driven
23280 rewriting can be done by a rule of the form
23281
23282   *@*   ${lookup ...
23283
23284 where the lookup key uses $1$ and $2$ or $local_part$ and $domain$ to
23285 refer to the address that is being rewritten.
23286
23287
23288 Rewriting patterns
23289 ~~~~~~~~~~~~~~~~~~
23290 cindex:[rewriting,patterns]
23291 cindex:[address list,in a rewriting pattern]
23292 The source pattern in a rewriting rule is any item which may appear in an
23293 address list (see section <<SECTaddresslist>>). It is in fact processed as a
23294 single-item address list, which means that it is expanded before being tested
23295 against the address. As always, if you use a regular expression as a pattern,
23296 you must take care to escape dollar and backslash characters, or use the `\N`
23297 facility to suppress string expansion within the regular expression.
23298
23299 Domains in patterns should be given in lower case. Local parts in patterns are
23300 case-sensitive. If you want to do case-insensitive matching of local parts, you
23301 can use a regular expression that starts with `^(?i)`.
23302
23303 cindex:[numerical variables ($1$ $2$ etc),in rewriting rules]
23304 After matching, the numerical variables $1$, $2$, etc. may be set,
23305 depending on the type of match which occurred. These can be used in the
23306 replacement string to insert portions of the incoming address. $0$ always
23307 refers to the complete incoming address. When a regular expression is used, the
23308 numerical variables are set from its capturing subexpressions. For other types
23309 of pattern they are set as follows:
23310
23311 - If a local part or domain starts with an asterisk, the numerical variables
23312 refer to the character strings matched by asterisks, with $1$ associated with
23313 the first asterisk, and $2$ with the second, if present. For example, if the
23314 pattern
23315
23316   *queen@*.fict.example
23317 +
23318 is matched against the address 'hearts-queen@wonderland.fict.example' then
23319
23320   $0 = hearts-queen@wonderland.fict.example
23321   $1 = hearts-
23322   $2 = wonderland
23323 +
23324 Note that if the local part does not start with an asterisk, but the domain
23325 does, it is $1$ that contains the wild part of the domain.
23326
23327 - If the domain part of the pattern is a partial lookup, the wild and fixed parts
23328 of the domain are placed in the next available numerical variables. Suppose,
23329 for example, that the address 'foo@bar.baz.example' is processed by a
23330 rewriting rule of the form
23331
23332   *@partial-dbm;/some/dbm/file    <replacement string>
23333 +
23334 and the key in the file that matches the domain is `*.baz.example`. Then
23335
23336   $1 = foo
23337   $2 = bar
23338   $3 = baz.example
23339 +
23340 If the address 'foo@baz.example' is looked up, this matches the same
23341 wildcard file entry, and in this case $2$ is set to the empty string, but
23342 $3$ is still set to 'baz.example'. If a non-wild key is matched in a
23343 partial lookup, $2$ is again set to the empty string and $3$ is set to the
23344 whole domain. For non-partial domain lookups, no numerical variables are set.
23345
23346
23347
23348 Rewriting replacements
23349 ~~~~~~~~~~~~~~~~~~~~~~
23350 cindex:[rewriting,replacements]
23351 If the replacement string for a rule is a single asterisk, addresses that
23352 match the pattern and the flags are 'not' rewritten, and no subsequent
23353 rewriting rules are scanned. For example,
23354
23355   hatta@lookingglass.fict.example  *  f
23356
23357 specifies that 'hatta@lookingglass.fict.example' is never to be rewritten in
23358 'From:' headers.
23359
23360 cindex:[$domain$]
23361 cindex:[$local_part$]
23362 If the replacement string is not a single asterisk, it is expanded, and must
23363 yield a fully qualified address. Within the expansion, the variables
23364 $local_part$ and $domain$ refer to the address that is being rewritten.
23365 Any letters they contain retain their original case -- they are not lower
23366 cased. The numerical variables are set up according to the type of pattern that
23367 matched the address, as described above. If the expansion is forced to fail by
23368 the presence of ``fail'' in a conditional or lookup item, rewriting by the
23369 current rule is abandoned, but subsequent rules may take effect. Any other
23370 expansion failure causes the entire rewriting operation to be abandoned, and an
23371 entry written to the panic log.
23372
23373
23374
23375 Rewriting flags
23376 ~~~~~~~~~~~~~~~
23377 There are three different kinds of flag that may appear on rewriting rules:
23378
23379 - Flags that specify which headers and envelope addresses to rewrite: E, F, T, b,
23380 c, f, h, r, s, t.
23381
23382 - A flag that specifies rewriting at SMTP time: S.
23383
23384 - Flags that control the rewriting process: Q, q, R, w.
23385
23386 For rules that are part of the %headers_rewrite% generic transport option,
23387 E, F, T, and S are not permitted.
23388
23389
23390
23391 Flags specifying which headers and envelope addresses to rewrite
23392 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23393 cindex:[rewriting,flags]
23394 If none of the following flag letters, nor the ``S'' flag (see section
23395 <<SECTrewriteS>>) are present, a main rewriting rule applies to all headers and
23396 to both the sender and recipient fields of the envelope, whereas a
23397 transport-time rewriting rule just applies to all headers. Otherwise, the
23398 rewriting rule is skipped unless the relevant addresses are being processed.
23399
23400 &&&
23401 `E`       rewrite all envelope fields
23402 `F`       rewrite the envelope From field
23403 `T`       rewrite the envelope To field
23404 `b`       rewrite the 'Bcc:' header
23405 `c`       rewrite the 'Cc:' header
23406 `f`       rewrite the 'From:' header
23407 `h`       rewrite all headers
23408 `r`       rewrite the 'Reply-To:' header
23409 `s`       rewrite the 'Sender:' header
23410 `t`       rewrite the 'To:' header
23411 &&&
23412
23413 You should be particularly careful about rewriting 'Sender:' headers, and
23414 restrict this to special known cases in your own domains.
23415
23416
23417 [[SECTrewriteS]]
23418 The SMTP-time rewriting flag
23419 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23420 cindex:[SMTP,rewriting malformed addresses]
23421 cindex:[RCPT,rewriting argument of]
23422 cindex:[MAIL,rewriting argument of]
23423 The rewrite flag ``S'' specifies a rewrite of incoming envelope addresses at SMTP
23424 time, as soon as an address is received in a MAIL or RCPT command, and
23425 before any other processing; even before syntax checking. The pattern is
23426 required to be a regular expression, and it is matched against the whole of the
23427 data for the command, including any surrounding angle brackets.
23428
23429 cindex:[$domain$]
23430 cindex:[$local_part$]
23431 This form of rewrite rule allows for the handling of addresses that are not
23432 compliant with RFCs 2821 and 2822 (for example, ``bang paths'' in batched SMTP
23433 input). Because the input is not required to be a syntactically valid address,
23434 the variables $local_part$ and $domain$ are not available during the
23435 expansion of the replacement string. The result of rewriting replaces the
23436 original address in the MAIL or RCPT command.
23437
23438
23439 Flags controlling the rewriting process
23440 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23441 There are four flags which control the way the rewriting process works. These
23442 take effect only when a rule is invoked, that is, when the address is of the
23443 correct type (matches the flags) and matches the pattern:
23444
23445 - If the ``Q'' flag is set on a rule, the rewritten address is permitted to be an
23446 unqualified local part. It is qualified with %qualify_recipient%. In the
23447 absence of ``Q'' the rewritten address must always include a domain.
23448
23449 - If the ``q'' flag is set on a rule, no further rewriting rules are considered,
23450 even if no rewriting actually takes place because of a ``fail'' in the expansion.
23451 The ``q'' flag is not effective if the address is of the wrong type (does not
23452 match the flags) or does not match the pattern.
23453
23454 - The ``R'' flag causes a successful rewriting rule to be re-applied to the new
23455 address, up to ten times. It can be combined with the ``q'' flag, to stop
23456 rewriting once it fails to match (after at least one successful rewrite).
23457
23458 - cindex:[rewriting,whole addresses]
23459 When an address in a header is rewritten, the rewriting normally applies only
23460 to the working part of the address, with any comments and RFC 2822 ``phrase''
23461 left unchanged. For example, rewriting might change
23462
23463   From: Ford Prefect <fp42@restaurant.hitch.fict.example>
23464 +
23465 into
23466
23467   From: Ford Prefect <prefectf@hitch.fict.example>
23468 +
23469 Sometimes there is a need to replace the whole address item, and this can be
23470 done by adding the flag letter ``w'' to a rule. If this is set on a rule that
23471 causes an address in a header line to be rewritten, the entire address is
23472 replaced, not just the working part. The replacement must be a complete RFC
23473 2822 address, including the angle brackets if necessary. If text outside angle
23474 brackets contains a character whose value is greater than 126 or less than 32
23475 (except for tab), the text is encoded according to RFC 2047.
23476 The character set is taken from %headers_charset%, which defaults to
23477 ISO-8859-1.
23478 +
23479 When the ``w'' flag is set on a rule that causes an envelope address to be
23480 rewritten, all but the working part of the replacement address is discarded.
23481
23482
23483
23484 Rewriting examples
23485 ~~~~~~~~~~~~~~~~~~
23486 Here is an example of the two common rewriting paradigms:
23487
23488 ....
23489 *@*.hitch.fict.example  $1@hitch.fict.example
23490 *@hitch.fict.example    ${lookup{$1}dbm{/etc/realnames}\
23491                      {$value}fail}@hitch.fict.example bctfrF
23492 ....
23493
23494 Note the use of ``fail'' in the lookup expansion in the second rule, forcing
23495 the string expansion to fail if the lookup does not succeed. In this context it
23496 has the effect of leaving the original address unchanged, but Exim goes on to
23497 consider subsequent rewriting rules, if any, because the ``q'' flag is not
23498 present in that rule. An alternative to ``fail'' would be to supply $1$
23499 explicitly, which would cause the rewritten address to be the same as before,
23500 at the cost of a small bit of processing. Not supplying either of these is an
23501 error, since the rewritten address would then contain no local part.
23502
23503 The first example above replaces the domain with a superior, more general
23504 domain. This may not be desirable for certain local parts. If the rule
23505
23506   root@*.hitch.fict.example  *
23507
23508 were inserted before the first rule, rewriting would be suppressed for the
23509 local part 'root' at any domain ending in 'hitch.fict.example'.
23510
23511 Rewriting can be made conditional on a number of tests, by making use of
23512 $\{if$ in the expansion item. For example, to apply a rewriting rule only to
23513 messages that originate outside the local host:
23514
23515 ....
23516 *@*.hitch.fict.example  "${if !eq {$sender_host_address}{}\
23517                          {$1@hitch.fict.example}fail}"
23518 ....
23519
23520 The replacement string is quoted in this example because it contains white
23521 space.
23522
23523 cindex:[rewriting,bang paths]
23524 cindex:[bang paths,rewriting]
23525 Exim does not handle addresses in the form of ``bang paths''. If it sees such an
23526 address it treats it as an unqualified local part which it qualifies with the
23527 local qualification domain (if the source of the message is local or if the
23528 remote host is permitted to send unqualified addresses). Rewriting can
23529 sometimes be used to handle simple bang paths with a fixed number of
23530 components. For example, the rule
23531
23532   \N^([^!]+)!(.*)@your.domain.example$\N   $2@$1
23533
23534 rewrites a two-component bang path 'host.name!user' as the domain address
23535 'user@host.name'. However, there is a security implication in using this as
23536 a global rewriting rule for envelope addresses. It can provide a backdoor
23537 method for using your system as a relay, because the incoming addresses appear
23538 to be local. If the bang path addresses are received via SMTP, it is safer to
23539 use the ``S'' flag to rewrite them as they are received, so that relay checking
23540 can be done on the rewritten addresses.
23541
23542
23543
23544
23545
23546 ////////////////////////////////////////////////////////////////////////////
23547 ////////////////////////////////////////////////////////////////////////////
23548
23549 [[CHAPretry]]
23550 Retry configuration
23551 -------------------
23552 cindex:[retry configuration, description of]
23553 cindex:[configuration file,retry section]
23554 The ``retry'' section of the run time configuration file contains a list of retry
23555 rules which control how often Exim tries to deliver messages that cannot be
23556 delivered at the first attempt. If there are no retry rules, temporary errors
23557 are treated as permanent. The %-brt% command line option can be used to test
23558 which retry rule will be used for a given address or domain.
23559
23560 The most common cause of retries is temporary failure to deliver to a remote
23561 host because the host is down, or inaccessible because of a network problem.
23562 Exim's retry processing in this case is applied on a per-host (strictly, per IP
23563 address) basis, not on a per-message basis. Thus, if one message has recently
23564 been delayed, delivery of a new message to the same host is not immediately
23565 tried, but waits for the host's retry time to arrive. If the %retry_defer% log
23566 selector is set, the message
23567 cindex:[retry,time not reached]
23568 ``retry time not reached'' is written to the main log whenever a delivery is
23569 skipped for this reason. Section <<SECToutSMTPerr>> contains more details of the
23570 handling of errors during remote deliveries.
23571
23572 Retry processing applies to routing as well as to delivering, except as covered
23573 in the next paragraph. The retry rules do not distinguish between these
23574 actions. It is not possible, for example, to specify different behaviour for
23575 failures to route the domain 'snark.fict.example' and failures to deliver to
23576 the host 'snark.fict.example'. I didn't think anyone would ever need this
23577 added complication, so did not implement it. However, although they share the
23578 same retry rule, the actual retry times for routing and transporting a given
23579 domain are maintained independently.
23580
23581 When a delivery is not part of a queue run (typically an immediate delivery on
23582 receipt of a message), the routers are always run, and local deliveries are
23583 always attempted, even if retry times are set for them. This makes for better
23584 behaviour if one particular message is causing problems (for example, causing
23585 quota overflow, or provoking an error in a filter file). If such a delivery
23586 suffers a temporary failure, the retry data is updated as normal, and
23587 subsequent delivery attempts from queue runs occur only when the retry time for
23588 the local address is reached.
23589
23590
23591
23592 Retry rules
23593 ~~~~~~~~~~~
23594 cindex:[retry,rules]
23595 Each retry rule occupies one line and consists of three or four parts,
23596 separated by white space: a pattern, an error name, an optional list of sender
23597 addresses, and a list of retry parameters. The pattern and sender lists must be
23598 enclosed in double quotes if they contain white space. The rules are searched in
23599 order until one is found where the pattern, error name, and sender list (if
23600 present) match the failing host or address, the error that occurred, and the
23601 message's sender, respectively.
23602
23603
23604 The pattern is any single item that may appear in an address list (see section
23605 <<SECTaddresslist>>). It is in fact processed as a one-item address list, which
23606 means that it is expanded before being tested against the address that has
23607 been delayed. Address list processing treats a plain domain name as if it were
23608 preceded by ``\*@'', which makes it possible for many retry rules to start with
23609 just a domain. For example,
23610
23611   lookingglass.fict.example        *  F,24h,30m;
23612
23613 provides a rule for any address in the 'lookingglass.fict.example' domain,
23614 whereas
23615
23616   alice@lookingglass.fict.example  *  F,24h,30m;
23617
23618 applies only to temporary failures involving the local part %alice%.
23619 In practice, almost all rules start with a domain name pattern without a local
23620 part.
23621
23622 cindex:[regular expressions,in retry rules]
23623 *Warning*: If you use a regular expression in a routing rule pattern, it
23624 must match a complete address, not just a domain, because that is how regular
23625 expressions work in address lists.
23626
23627 &&&
23628 `\^\Nxyz\d+\.abc\.example\\$\N        \*  G,1h,10m,2`     %Wrong%
23629 `\^\N[^@]+@xyz\d+\.abc\.example\\$\N  \*  G,1h,10m,2`     %Right%
23630 &&&
23631
23632
23633
23634 Choosing which retry rule to use for address errors
23635 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23636 When Exim is looking for a retry rule after a routing attempt has failed (for
23637 example, after a DNS timeout), each line in the retry configuration is tested
23638 against the complete address only if %retry_use_local_part% is set for the
23639 router. Otherwise, only the domain is used, except when matching against a
23640 regular expression, when the local part of the address is replaced with ``\*''.
23641 A domain on its own can match a domain pattern, or a pattern that starts with
23642 ``\*@''. By default, %retry_use_local_part% is true for routers where
23643 %check_local_user% is true, and false for other routers.
23644
23645 Similarly, when Exim is looking for a retry rule after a local delivery has
23646 failed (for example, after a mailbox full error), each line in the retry
23647 configuration is tested against the complete address only if
23648 %retry_use_local_part% is set for the transport (it defaults true for all
23649 local transports).
23650
23651 When Exim is looking for a retry rule after a remote delivery attempt has
23652 failed, what happens depends on the type of failure. After a 4##'xx' SMTP
23653 response for a recipient address, the whole address is used when searching the
23654 retry rules. The rule that is found is used to create a retry time for the
23655 failing address.
23656
23657
23658 Choosing which retry rule to use for host errors
23659 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23660 For a temporary error that is not related to an individual address (for
23661 example, a connection timeout), each line in the retry configuration is checked
23662 twice. First, the name of the remote host is used as a domain name (preceded by
23663 ``\*@'' when matching a regular expression). If this does not match the line,
23664 the domain from the email address is tried in a similar fashion. For example,
23665 suppose the MX records for 'a.b.c.example' are
23666
23667   a.b.c.example  MX  5  x.y.z.example
23668                  MX  6  p.q.r.example
23669                  MX  7  m.n.o.example
23670
23671 and the retry rules are
23672
23673   p.q.r.example    *      F,24h,30m;
23674   a.b.c.example    *      F,4d,45m;
23675
23676 and a delivery to the host 'x.y.z.example' suffers a connection failure. The
23677 first rule matches neither the host nor the domain, so Exim looks at the second
23678 rule. This does not match the host, but it does match the domain, so it is used
23679 to calculate the retry time for the host 'x.y.z.example'. Meanwhile, Exim tries
23680 to deliver to 'p.q.r.example'. If this also suffers a host error, the first
23681 retry rule is used, because it matches the host.
23682
23683 In other words, temporary failures to deliver to host 'p.q.r.example' use the
23684 first rule to determine retry times, but for all the other hosts for the domain
23685 'a.b.c.example', the second rule is used. The second rule is also used if
23686 routing to 'a.b.c.example' suffers a temporary failure.
23687
23688 [revisionflag="changed"]
23689 *Note*: the host name is used when matching the patterns, not its IP address.
23690 However, if a message is routed directly to an IP address without the use of a
23691 host name, for example, if a ^manualroute^ router contains a setting such as:
23692
23693   route_list = *.a.example  192.168.34.23
23694
23695 then the ``host name'' that is used when searching for a retry rule is the
23696 textual form of the IP address.
23697
23698
23699 Retry rules for specific errors
23700 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23701 cindex:[retry,specific errors; specifying]
23702 The second field in a retry rule is the name of a particular error, or an
23703 asterisk, which matches any error. The errors that can be tested for are:
23704
23705 %auth_failed%::
23706 Authentication failed when trying to send to a host in the %hosts_require_auth%
23707 list in an ^smtp^ transport.
23708
23709 %rcpt_4xx%::
23710 A 4##'xx' error was received for an outgoing RCPT command. Either the first or
23711 both of the x's can be given as specific digits, for example: `rcpt_45x` or
23712 `rcpt_436`. For example, to recognize 452 errors given to RCPT commands by a
23713 particular host, and have retries every ten minutes and a one-hour timeout, you
23714 could set up a retry rule of this form:
23715
23716   the.host.name  rcpt_452   F,1h,10m
23717 +
23718 These errors apply to both outgoing SMTP (the ^smtp^ transport) and outgoing
23719 LMTP (either the ^lmtp^ transport, or the ^smtp^ transport in LMTP mode).
23720 Note, however, that they apply only to responses to RCPT commands.
23721
23722 %refused_MX%::
23723 A connection to a host obtained from an MX record was refused.
23724
23725 %refused_A%::
23726 A connection to a host not obtained from an MX record was refused.
23727
23728 %refused%::
23729 A connection was refused.
23730
23731 %timeout_connect_MX%::
23732 A connection attempt to a host obtained from an MX record timed out.
23733
23734 %timeout_connect_A%::
23735 A connection attempt to a host not obtained from an MX record timed out.
23736
23737 %timeout_connect%::
23738 A connection attempt timed out.
23739
23740 %timeout_MX%::
23741 There was a timeout while connecting or during an SMTP session with a host
23742 obtained from an MX record.
23743
23744 %timeout_A%::
23745 There was a timeout while connecting or during an SMTP session with a host not
23746 obtained from an MX record.
23747
23748 %timeout%::
23749 There was a timeout while connecting or during an SMTP session.
23750
23751 %quota%::
23752 A mailbox quota was exceeded in a local delivery by the ^appendfile^ transport.
23753
23754 %quota_%<'time'>::
23755 cindex:[quota,error testing in retry rule]
23756 cindex:[retry,quota error testing]
23757 A mailbox quota was exceeded in a local delivery by the ^appendfile^ transport,
23758 and the mailbox has not been accessed for <'time'>. For example, 'quota_4d'
23759 applies to a quota error when the mailbox has not been accessed for four days.
23760
23761 ///
23762 End of list
23763 ///
23764
23765 cindex:[mailbox,time of last read]
23766 The idea of %quota_%<'time'> is to make it possible to have shorter timeouts
23767 when the mailbox is full and is not being read by its owner. Ideally, it should
23768 be based on the last time that the user accessed the mailbox. However, it is
23769 not always possible to determine this. Exim uses the following heuristic rules:
23770
23771 - If the mailbox is a single file, the time of last access (the ``atime'') is used.
23772 As no new messages are being delivered (because the mailbox is over quota),
23773 Exim does not access the file, so this is the time of last user access.
23774
23775 - cindex:[maildir format,time of last read]
23776 For a maildir delivery, the time of last modification of the _new_
23777 subdirectory is used. As the mailbox is over quota, no new files are created in
23778 the _new_ subdirectory, because no new messages are being delivered. Any
23779 change to the _new_ subdirectory is therefore assumed to be the result of an
23780 MUA moving a new message to the _cur_ directory when it is first read. The
23781 time that is used is therefore the last time that the user read a new message.
23782
23783 - For other kinds of multi-file mailbox, the time of last access cannot be
23784 obtained, so a retry rule that uses this type of error field is never matched.
23785
23786 The quota errors apply both to system-enforced quotas and to Exim's own quota
23787 mechanism in the ^appendfile^ transport. The 'quota' error also applies
23788 when a local delivery is deferred because a partition is full (the ENOSPC
23789 error).
23790
23791
23792
23793 Retry rules for specified senders
23794 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23795 cindex:[retry,rules; sender-specific]
23796 You can specify retry rules that apply only when the failing message has a
23797 specific sender. In particular, this can be used to define retry rules that
23798 apply only to bounce messages. The third item in a retry rule can be of this
23799 form:
23800
23801   senders=<address list>
23802
23803 The retry timings themselves are then the fourth item. For example:
23804
23805 ....
23806 *   rcpt_4xx   senders=:   F,1h,30m
23807 ....
23808
23809 matches 4##'xx' errors for bounce messages sent to any host. If the address
23810 list contains white space, it must be enclosed in quotes. For example:
23811
23812   a.domain  auth_failed  senders="xb.dom : yc.dom"  G,8h,10m,1.5
23813
23814 [revisionflag="changed"]
23815 *Warning*: This facility can be unhelpful if it is used for host errors (those
23816 that do not depend on the recipient). The reason is that the sender is used
23817 only to match the retry rule. Once the rule has been found for a host error,
23818 its contents are used to set a retry time for the host, and this will apply to
23819 all messages, not just those with specific senders.
23820
23821 When testing retry rules using %-brt%, you can supply a sender using the %-f%
23822 command line option, like this:
23823
23824   exim -f "" -brt user@dom.ain
23825
23826 If you do not set %-f% with %-brt%, a retry rule that contains a senders list
23827 is never matched.
23828
23829
23830
23831
23832
23833 Retry parameters
23834 ~~~~~~~~~~~~~~~~
23835 cindex:[retry,parameters in rules]
23836 The third (or fourth, if a senders list is present) field in a retry rule is a
23837 sequence of retry parameter sets, separated by semicolons. Each set consists of
23838
23839   <letter>,<cutoff time>,<arguments>
23840
23841 The letter identifies the algorithm for computing a new retry time; the cutoff
23842 time is the time beyond which this algorithm no longer applies, and the
23843 arguments vary the algorithm's action. The cutoff time is measured from the
23844 time that the first failure for the domain (combined with the local part if
23845 relevant) was detected, not from the time the message was received.
23846
23847 cindex:[retry,algorithms]
23848 cindex:[retry,fixed intervals]
23849 cindex:[retry,increasing intervals]
23850 cindex:[retry,random intervals]
23851 The available algorithms are:
23852
23853 - 'F': retry at fixed intervals. There is a single time parameter specifying
23854 the interval.
23855
23856 - 'G': retry at geometrically increasing intervals. The first argument
23857 specifies a starting value for the interval, and the second a multiplier, which
23858 is used to increase the size of the interval at each retry.
23859
23860 [revisionflag="changed"]
23861 - 'H': retry at randomized intervals. The arguments are as for 'G'. For each
23862 retry, the previous interval is multiplied by the factor in order to get a
23863 maximum for the next interval. The mininum interval is the first argument of
23864 the parameter, and an actual interval is chosen randomly between them. Such a
23865 rule has been found to be helpful in cluster configurations when all the
23866 members of the cluster restart at once, and may therefore synchronize their
23867 queue processing times.
23868
23869 When computing the next retry time, the algorithm definitions are scanned in
23870 order until one whose cutoff time has not yet passed is reached. This is then
23871 used to compute a new retry time that is later than the current time. In the
23872 case of fixed interval retries, this simply means adding the interval to the
23873 current time. For geometrically increasing intervals, retry intervals are
23874 computed from the rule's parameters until one that is greater than the previous
23875 interval is found. The main configuration variable
23876 cindex:[limit,retry interval]
23877 cindex:[retry interval, maximum]
23878 cindex:[%retry_interval_max%]
23879 %retry_interval_max% limits the maximum interval between retries.
23880
23881 A single remote domain may have a number of hosts associated with it, and each
23882 host may have more than one IP address. Retry algorithms are selected on the
23883 basis of the domain name, but are applied to each IP address independently. If,
23884 for example, a host has two IP addresses and one is unusable, Exim will
23885 generate retry times for it and will not try to use it until its next retry
23886 time comes. Thus the good IP address is likely to be tried first most of the
23887 time.
23888
23889 cindex:[hints database,use for retrying]
23890 Retry times are hints rather than promises. Exim does not make any attempt to
23891 run deliveries exactly at the computed times. Instead, a queue runner process
23892 starts delivery processes for delayed messages periodically, and these attempt
23893 new deliveries only for those addresses that have passed their next retry time.
23894 If a new message arrives for a deferred address, an immediate delivery attempt
23895 occurs only if the address has passed its retry time. In the absence of new
23896 messages, the minimum time between retries is the interval between queue runner
23897 processes. There is not much point in setting retry times of five minutes if
23898 your queue runners happen only once an hour, unless there are a significant
23899 number of incoming messages (which might be the case on a system that is
23900 sending everything to a smart host, for example).
23901
23902 The data in the retry hints database can be inspected by using the
23903 'exim_dumpdb' or 'exim_fixdb' utility programs (see chapter <<CHAPutils>>). The
23904 latter utility can also be used to change the data. The 'exinext' utility
23905 script can be used to find out what the next retry times are for the hosts
23906 associated with a particular mail domain, and also for local deliveries that
23907 have been deferred.
23908
23909
23910 Retry rule examples
23911 ~~~~~~~~~~~~~~~~~~~
23912 Here are some example retry rules:
23913
23914   alice@wonderland.fict.example quota_5d  F,7d,3h
23915   wonderland.fict.example       quota_5d
23916   wonderland.fict.example       *         F,1h,15m; G,2d,1h,2;
23917   lookingglass.fict.example     *         F,24h,30m;
23918   *     refused_A F,2h,20m;
23919   *     *         F,2h,15m; G,16h,1h,1.5; F,5d,8h
23920
23921 The first rule sets up special handling for mail to
23922 'alice@wonderland.fict.example' when there is an over-quota error and the
23923 mailbox has not been read for at least 5 days. Retries continue every three
23924 hours for 7 days. The second rule handles over-quota errors for all other local
23925 parts at 'wonderland.fict.example'; the absence of a local part has the same
23926 effect as supplying ``\*@''. As no retry algorithms are supplied, messages that
23927 fail are bounced immediately if the mailbox has not been read for at least 5
23928 days.
23929
23930 The third rule handles all other errors at 'wonderland.fict.example'; retries
23931 happen every 15 minutes for an hour, then with geometrically increasing
23932 intervals until two days have passed since a delivery first failed. After the
23933 first hour there is a delay of one hour, then two hours, then four hours, and
23934 so on (this is a rather extreme example).
23935
23936 The fourth rule controls retries for the domain 'lookingglass.fict.example'.
23937 They happen every 30 minutes for 24 hours only. The remaining two rules handle
23938 all other domains, with special action for connection refusal from hosts that
23939 were not obtained from an MX record.
23940
23941 The final rule in a retry configuration should always have asterisks in the
23942 first two fields so as to provide a general catch-all for any addresses that do
23943 not have their own special handling. This example tries every 15 minutes for 2
23944 hours, then with intervals starting at one hour and increasing by a factor of
23945 1.5 up to 16 hours, then every 8 hours up to 5 days.
23946
23947
23948
23949 Timeout of retry data
23950 ~~~~~~~~~~~~~~~~~~~~~
23951 cindex:[timeout,of retry data]
23952 cindex:[%retry_data_expire%]
23953 cindex:[hints database,data expiry]
23954 cindex:[retry,timeout of data]
23955 Exim timestamps the data that it writes to its retry hints database. When it
23956 consults the data during a delivery it ignores any that is older than the value
23957 set in %retry_data_expire% (default 7 days). If, for example, a host hasn't
23958 been tried for 7 days, Exim will try to deliver to it immediately a message
23959 arrives, and if that fails, it will calculate a retry time as if it were
23960 failing for the first time.
23961
23962 This improves the behaviour for messages routed to rarely-used hosts such as MX
23963 backups. If such a host was down at one time, and happens to be down again when
23964 Exim tries a month later, using the old retry data would imply that it had been
23965 down all the time, which is not a justified assumption.
23966
23967 If a host really is permanently dead, this behaviour causes a burst of retries
23968 every now and again, but only if messages routed to it are rare. It there is a
23969 message at least once every 7 days the retry data never expires.
23970
23971
23972
23973
23974 Long-term failures
23975 ~~~~~~~~~~~~~~~~~~
23976 cindex:[delivery failure, long-term]
23977 cindex:[retry,after long-term failure]
23978 Special processing happens when an email address has been failing for so long
23979 that the cutoff time for the last algorithm is reached. For example, using the
23980 default retry rule:
23981
23982 ....
23983 * * F,2h,15m; G,16h,1h,1.5; F,4d,6h
23984 ....
23985
23986 the cutoff time is four days. Reaching the retry cutoff is independent of how
23987 long any specific message has been failing; it is the length of continuous
23988 failure for the recipient address that counts.
23989
23990 When the cutoff time is reached for a local delivery, or for all the IP
23991 addresses associated with a remote delivery, a subsequent delivery failure
23992 causes Exim to give up on the address, and a bounce message is generated.
23993 In order to cater for new messages that use the failing address, a next retry
23994 time is still computed from the final algorithm, and is used as follows:
23995
23996 For local deliveries, one delivery attempt is always made for any subsequent
23997 messages. If this delivery fails, the address fails immediately. The
23998 post-cutoff retry time is not used.
23999
24000 If the delivery is remote, there are two possibilities, controlled by the
24001 cindex:[%delay_after_cutoff%]
24002 %delay_after_cutoff% option of the ^smtp^ transport. The option is true by
24003 default. Until the post-cutoff retry time for one of the IP addresses is
24004 reached, the failing email address is bounced immediately, without a delivery
24005 attempt taking place. After that time, one new delivery attempt is made to
24006 those IP addresses that are past their retry times, and if that still fails,
24007 the address is bounced and new retry times are computed.
24008
24009 In other words, when all the hosts for a given email address have been failing
24010 for a long time, Exim bounces rather then defers until one of the hosts' retry
24011 times is reached. Then it tries once, and bounces if that attempt fails. This
24012 behaviour ensures that few resources are wasted in repeatedly trying to deliver
24013 to a broken destination, but if the host does recover, Exim will eventually
24014 notice.
24015
24016 If %delay_after_cutoff% is set false, Exim behaves differently. If all IP
24017 addresses are past their final cutoff time, Exim tries to deliver to those IP
24018 addresses that have not been tried since the message arrived. If there are
24019 no suitable IP addresses, or if they all fail, the address is bounced. In other
24020 words, it does not delay when a new message arrives, but tries the expired
24021 addresses immediately, unless they have been tried since the message arrived.
24022 If there is a continuous stream of messages for the failing domains, setting
24023 %delay_after_cutoff% false means that there will be many more attempts to
24024 deliver to permanently failing IP addresses than when %delay_after_cutoff% is
24025 true.
24026
24027
24028 Ultimate address timeout
24029 ~~~~~~~~~~~~~~~~~~~~~~~~
24030 cindex:[retry,ultimate address timeout]
24031 An additional rule is needed to cope with cases where a host is intermittently
24032 available, or when a message has some attribute that prevents its delivery when
24033 others to the same address get through. In this situation, because some
24034 messages are successfully delivered, the ``retry clock'' for the address keeps
24035 getting restarted, and so a message could remain on the queue for ever. To
24036 prevent this, if a message has been on the queue for longer than the cutoff
24037 time of any applicable retry rule for a given address, a delivery is attempted
24038 for that address, even if it is not yet time, and if this delivery fails, the
24039 address is timed out. A new retry time is not computed in this case, so that
24040 other messages for the same address are considered immediately.
24041
24042
24043
24044
24045
24046 ////////////////////////////////////////////////////////////////////////////
24047 ////////////////////////////////////////////////////////////////////////////
24048
24049 [[CHAPSMTPAUTH]]
24050 SMTP authentication
24051 -------------------
24052 cindex:[SMTP,authentication configuration]
24053 cindex:[authentication]
24054 The ``authenticators'' section of Exim's run time configuration is concerned with
24055 SMTP authentication. This facility is an extension to the SMTP protocol,
24056 described in RFC 2554, which allows a client SMTP host to authenticate itself
24057 to a server. This is a common way for a server to recognize clients that
24058 are permitted to use it as a relay. SMTP authentication is not of relevance to
24059 the transfer of mail between servers that have no managerial connection with
24060 each other.
24061
24062 cindex:[AUTH,description of]
24063 Very briefly, the way SMTP authentication works is as follows:
24064
24065 - The server advertises a number of authentication 'mechanisms' in response to
24066 the client's EHLO command.
24067
24068 - The client issues an AUTH command, naming a specific mechanism. The command
24069 may, optionally, contain some authentication data.
24070
24071 - The server may issue one or more 'challenges', to which the client must send
24072 appropriate responses. In simple authentication mechanisms, the challenges are
24073 just prompts for user names and passwords. The server does not have to issue
24074 any challenges -- in some mechanisms the relevant data may all be transmitted
24075 with the AUTH command.
24076
24077 - The server either accepts or denies authentication.
24078
24079 - If authentication succeeds, the client may optionally make use of the AUTH
24080 option on the MAIL command to pass an authenticated sender in subsequent
24081 mail transactions. Authentication lasts for the remainder of the SMTP
24082 connection.
24083
24084 - If authentication fails, the client may give up, or it may try a different
24085 authentication mechanism, or it may try transferring mail over the
24086 unauthenticated connection.
24087
24088 If you are setting up a client, and want to know which authentication
24089 mechanisms the server supports, you can use Telnet to connect to port 25 (the
24090 SMTP port) on the server, and issue an EHLO command. The response to this
24091 includes the list of supported mechanisms. For example:
24092
24093 &&&
24094 `\$ `##*`telnet server.example 25`*
24095 `Trying 192.168.34.25...`
24096 `Connected to server.example.`
24097 `Escape character is \'^]\'.`
24098 `220 server.example ESMTP Exim 4.20 ...`
24099 *`ehlo client.example`*
24100 `250-server.example Hello client.example [10.8.4.5]`
24101 `250-SIZE 52428800`
24102 `250-PIPELINING`
24103 `250-AUTH PLAIN`
24104 `250 HELP`
24105 &&&
24106
24107 The second-last line of this example output shows that the server supports
24108 authentication using the PLAIN mechanism. In Exim, the different authentication
24109 mechanisms are configured by specifying 'authenticator' drivers. Like the
24110 routers and transports, which authenticators are included in the binary is
24111 controlled by build-time definitions. The following are currently available,
24112 included by setting
24113
24114   AUTH_CRAM_MD5=yes
24115   AUTH_CYRUS_SASL=yes
24116   AUTH_PLAINTEXT=yes
24117   AUTH_SPA=yes
24118
24119 in _Local/Makefile_, respectively. The first of these supports the CRAM-MD5
24120 authentication mechanism (RFC 2195), and the second provides an interface to
24121 the Cyrus SASL authentication library. The third can be configured to support
24122 the PLAIN authentication mechanism (RFC 2595) or the LOGIN mechanism, which is
24123 not formally documented, but used by several MUAs. The fourth authenticator
24124 supports Microsoft's 'Secure Password Authentication' mechanism.
24125
24126 The authenticators are configured using the same syntax as other drivers (see
24127 section <<SECTfordricon>>). If no authenticators are required, no authentication
24128 section need be present in the configuration file. Each authenticator can in
24129 principle have both server and client functions. When Exim is receiving SMTP
24130 mail, it is acting as a server; when it is sending out messages over SMTP, it
24131 is acting as a client. Authenticator configuration options are provided for use
24132 in both these circumstances.
24133
24134 To make it clear which options apply to which situation, the prefixes
24135 %server_% and %client_% are used on option names that are specific to either
24136 the server or the client function, respectively. Server and client functions
24137 are disabled if none of their options are set. If an authenticator is to be
24138 used for both server and client functions, a single definition, using both sets
24139 of options, is required. For example:
24140
24141   cram:
24142     driver = cram_md5
24143     public_name = CRAM-MD5
24144     server_secret = ${if eq{$1}{ph10}{secret1}fail}
24145     client_name = ph10
24146     client_secret = secret2
24147
24148 The %server_% option is used when Exim is acting as a server, and the
24149 %client_% options when it is acting as a client.
24150
24151 Descriptions of the individual authenticators are given in subsequent chapters.
24152 The remainder of this chapter covers the generic options for the
24153 authenticators, followed by general discussion of the way authentication works
24154 in Exim.
24155
24156
24157
24158 Generic options for authenticators
24159 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24160 cindex:[authentication,generic options]
24161 cindex:[options,generic; for authenticators]
24162
24163
24164 oindex:[%driver%]
24165 `..'=
24166 %driver%, Use: 'authenticators', Type: 'string', Default: 'unset'
24167 ===
24168
24169 This option must always be set. It specifies which of the available
24170 authenticators is to be used.
24171
24172
24173 oindex:[%public_name%]
24174 `..'=
24175 %public_name%, Use: 'authenticators', Type: 'string', Default: 'unset'
24176 ===
24177
24178 This option specifies the name of the authentication mechanism that the driver
24179 implements, and by which it is known to the outside world. These names should
24180 contain only upper case letters, digits, underscores, and hyphens (RFC 2222),
24181 but Exim in fact matches them caselessly. If %public_name% is not set, it
24182 defaults to the driver's instance name.
24183
24184
24185 oindex:[%server_advertise_condition%]
24186 `..'=
24187 %server_advertise_condition%, Use: 'authenticators', Type: 'string'!!, Default: 'unset'
24188 ===
24189
24190 When a server is about to advertise an authentication mechanism, the condition
24191 is expanded. If it yields the empty string, ``0'', ``no'', or ``false'', the
24192 mechanism is not advertised.
24193 If the expansion fails, the mechanism is not advertised. If the failure was not
24194 forced, and was not caused by a lookup defer, the incident is logged.
24195 See section <<SECTauthexiser>> below for further discussion.
24196
24197
24198 oindex:[%server_debug_print%]
24199 `..'=
24200 %server_debug_print%, Use: 'authenticators', Type: 'string'!!, Default: 'unset'
24201 ===
24202
24203 If this option is set and authentication debugging is enabled (see the %-d%
24204 command line option), the string is expanded and included in the debugging
24205 output when the authenticator is run as a server. This can help with checking
24206 out the values of variables.
24207 If expansion of the string fails, the error message is written to the debugging
24208 output, and Exim carries on processing.
24209
24210
24211 oindex:[%server_set_id%]
24212 `..'=
24213 %server_set_id%, Use: 'authenticators', Type: 'string'!!, Default: 'unset'
24214 ===
24215
24216 cindex:[$authenticated_id$]
24217 When an Exim server successfully authenticates a client, this string is
24218 expanded using data from the authentication, and preserved for any incoming
24219 messages in the variable $authenticated_id$. It is also included in the log
24220 lines for incoming messages. For example, a user/password authenticator
24221 configuration might preserve the user name that was used to authenticate, and
24222 refer to it subsequently during delivery of the message.
24223 If expansion fails, the option is ignored.
24224
24225
24226 oindex:[%server_mail_auth_condition%]
24227 `..'=
24228 %server_mail_auth_condition%, Use: 'authenticators', Type: 'string'!!, Default: 'unset'
24229 ===
24230
24231 This option allows a server to discard authenticated sender addresses supplied
24232 as part of MAIL commands in SMTP connections that are authenticated by the
24233 driver on which %server_mail_auth_condition% is set. The option is not used
24234 as part of the authentication process; instead its (unexpanded) value is
24235 remembered for later use.
24236 How it is used is described in the following section.
24237
24238
24239
24240
24241
24242 [[SECTauthparamail]]
24243 The AUTH parameter on MAIL commands
24244 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24245 cindex:[authentication,sender; authenticated]
24246 cindex:[AUTH,on MAIL command]
24247 When a client supplied an AUTH= item on a MAIL command, Exim applies
24248 the following checks before accepting it as the authenticated sender of the
24249 message:
24250
24251 - If the connection is not using extended SMTP (that is, HELO was used rather
24252 than EHLO), the use of AUTH= is a syntax error.
24253
24254 - If the value of the AUTH= parameter is ``<>'', it is ignored.
24255
24256 - cindex:[$authenticated_sender$]
24257 If %acl_smtp_mailauth% is defined, the ACL it specifies is run. While it is
24258 running, the value of $authenticated_sender$ is set to the value obtained from
24259 the AUTH= parameter. If the ACL does not yield ``accept'', the value of
24260 $authenticated_sender$ is deleted. The %acl_smtp_mailauth% ACL may not return
24261 ``drop'' or ``discard''. If it defers, a temporary error code (451) is given
24262 for the MAIL command.
24263
24264 - If %acl_smtp_mailauth% is not defined, the value of the AUTH= parameter
24265 is accepted and placed in $authenticated_sender$ only if the client has
24266 authenticated.
24267
24268 - If the AUTH= value was accepted by either of the two previous rules, and
24269 the client has authenticated, and the authenticator has a setting for the
24270 %server_mail_auth_condition%, the condition is checked at this point. The
24271 valued that was saved from the authenticator is expanded. If the expansion
24272 fails, or yields an empty string, ``0'', ``no'', or ``false'', the value of
24273 $authenticated_sender$ is deleted. If the expansion yields any other value,
24274 the value of $authenticated_sender$ is retained and passed on with the
24275 message.
24276
24277
24278 When $authenticated_sender$ is set for a message, it is passed on to other
24279 hosts to which Exim authenticates as a client. Do not confuse this value with
24280 $authenticated_id$, which is a string obtained from the authentication
24281 process, and which is not usually a complete email address.
24282
24283 cindex:[$sender_address$]
24284 Whenever an AUTH= value is ignored, the incident is logged. The ACL for
24285 MAIL, if defined, is run after AUTH= is accepted or ignored. It can
24286 therefore make use of $authenticated_sender$. The converse is not true: the
24287 value of $sender_address$ is not yet set up when the %acl_smtp_mailauth%
24288 ACL is run.
24289
24290
24291
24292 [[SECTauthexiser]]
24293 Authentication on an Exim server
24294 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24295 cindex:[authentication,on an Exim server]
24296 When Exim receives an EHLO command, it advertises the public names of those
24297 authenticators that are configured as servers, subject to the following
24298 conditions:
24299
24300 - The client host must match %auth_advertise_hosts% (default \*).
24301
24302 - It the %server_advertise_condition% option is set, its expansion must not
24303 yield the empty string, ``0'', ``no'', or ``false''.
24304
24305 The order in which the authenticators are defined controls the order in which
24306 the mechanisms are advertised.
24307
24308 Some mail clients (for example, some versions of Netscape) require the user to
24309 provide a name and password for authentication whenever AUTH is advertised,
24310 even though authentication may not in fact be needed (for example, Exim may be
24311 set up to allow unconditional relaying from the client by an IP address check).
24312 You can make such clients more friendly by not advertising AUTH to them.
24313 For example, if clients on the 10.9.8.0/24 network are permitted (by the ACL
24314 that runs for RCPT) to relay without authentication, you should set
24315
24316   auth_advertise_hosts = ! 10.9.8.0/24
24317
24318 so that no authentication mechanisms are advertised to them.
24319
24320 The %server_advertise_condition% controls the advertisement of individual
24321 authentication mechanisms. For example, it can be used to restrict the
24322 advertisement of a patricular mechanism to encrypted connections, by a setting
24323 such as:
24324
24325   server_advertise_condition = ${if eq{$tls_cipher}{}{no}{yes}}
24326
24327 cindex:[$tls_cipher$]
24328 If the session is encrypted, $tls_cipher$ is not empty, and so the expansion
24329 yields ``yes'', which allows the advertisement to happen.
24330
24331 When an Exim server receives an AUTH command from a client, it rejects it
24332 immediately if AUTH was not advertised in response to an earlier EHLO
24333 command. This is the case if
24334
24335 - The client host does not match %auth_advertise_hosts%; or
24336
24337 - No authenticators are configured with server options; or
24338
24339 - Expansion of %server_advertise_condition% blocked the advertising of all the
24340 server authenticators.
24341
24342
24343 Otherwise, Exim runs the ACL specified by %acl_smtp_auth% in order
24344 to decide whether to accept the command. If %acl_smtp_auth% is not set,
24345 AUTH is accepted from any client host.
24346
24347 If AUTH is not rejected by the ACL, Exim searches its configuration for a
24348 server authentication mechanism that was advertised in response to EHLO and
24349 that matches the one named in the AUTH command. If it finds one, it runs
24350 the appropriate authentication protocol, and authentication either succeeds or
24351 fails. If there is no matching advertised mechanism, the AUTH command is
24352 rejected with a 504 error.
24353
24354 cindex:[$received_protocol$]
24355 cindex:[$sender_host_authenticated$]
24356 When a message is received from an authenticated host, the value of
24357 $received_protocol$ is set to ``esmtpa'' or ``esmtpsa'' instead of ``esmtp'' or
24358 ``esmtps'', and $sender_host_authenticated$ contains the name (not the public
24359 name) of the authenticator driver that successfully authenticated the client
24360 from which the message was received. This variable is empty if there was no
24361 successful authentication.
24362
24363
24364
24365
24366 Testing server authentication
24367 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24368 cindex:[authentication,testing a server]
24369 cindex:[AUTH,testing a server]
24370 cindex:[base64 encoding,creating authentication test data]
24371 Exim's %-bh% option can be useful for testing server authentication
24372 configurations. The data for the AUTH command has to be sent using base64
24373 encoding. A quick way to produce such data for testing is the following Perl
24374 script:
24375
24376   use MIME::Base64;
24377   printf ("%s", encode_base64(eval "\"$ARGV[0]\""));
24378
24379 cindex:[binary zero,in authentication data]
24380 This interprets its argument as a Perl string, and then encodes it. The
24381 interpretation as a Perl string allows binary zeros, which are required for
24382 some kinds of authentication, to be included in the data. For example, a
24383 command line to run this script on such data might be
24384
24385   encode '\0user\0password'
24386
24387 Note the use of single quotes to prevent the shell interpreting the
24388 backslashes, so that they can be interpreted by Perl to specify characters
24389 whose code value is zero.
24390
24391 *Warning 1*: If either of the user or password strings starts with an octal
24392 digit, you must use three zeros instead of one after the leading backslash. If
24393 you do not, the octal digit that starts your string will be incorrectly
24394 interpreted as part of the code for the first character.
24395
24396 *Warning 2*: If there are characters in the strings that Perl interprets
24397 specially, you must use a Perl escape to prevent them being misinterpreted. For
24398 example, a command such as
24399
24400   encode '\0user@domain.com\0pas$$word'
24401
24402 gives an incorrect answer because of the unescaped ``@'' and ``\$'' characters.
24403
24404 If you have the %mimencode% command installed, another way to do produce
24405 base64-encoded strings is to run the command
24406
24407   echo -e -n `\0user\0password' | mimencode
24408
24409 The %-e% option of %echo% enables the interpretation of backslash escapes in
24410 the argument, and the %-n% option specifies no newline at the end of its
24411 output. However, not all versions of %echo% recognize these options, so you
24412 should check your version before relying on this suggestion.
24413
24414
24415
24416 Authentication by an Exim client
24417 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24418 cindex:[authentication,on an Exim client]
24419 The ^smtp^ transport has two options called %hosts_require_auth% and
24420 %hosts_try_auth%. When the ^smtp^ transport connects to a server that
24421 announces support for authentication, and the host matches an entry in either
24422 of these options, Exim (as a client) tries to authenticate as follows:
24423
24424 - For each authenticator that is configured as a client, it searches the
24425 authentication mechanisms announced by the server for one whose name
24426 matches the public name of the authenticator.
24427
24428 - cindex:[$host$]
24429 cindex:[$host_address$]
24430 When it finds one that matches, it runs the authenticator's client code.
24431 The variables $host$ and $host_address$ are available for any string
24432 expansions that the client might do. They are set to the server's name and
24433 IP address. If any expansion is forced to fail, the authentication attempt
24434 is abandoned,
24435 and Exim moves on to the next authenticator.
24436 Otherwise an expansion failure causes delivery to be
24437 deferred.
24438
24439 - If the result of the authentication attempt is a temporary error or a timeout,
24440 Exim abandons trying to send the message to the host for the moment. It will
24441 try again later. If there are any backup hosts available, they are tried in the
24442 usual way.
24443
24444 - If the response to authentication is a permanent error (5xx code), Exim carries
24445 on searching the list of authenticators and tries another one if possible. If
24446 all authentication attempts give permanent errors, or if there are no attempts
24447 because no mechanisms match
24448 (or option expansions force failure),
24449 what happens depends on whether the host matches %hosts_require_auth% or
24450 %hosts_try_auth%. In the first case, a temporary error is generated, and
24451 delivery is deferred. The error can be detected in the retry rules, and thereby
24452 turned into a permanent error if you wish. In the second case, Exim tries to
24453 deliver the message unauthenticated.
24454
24455 cindex:[AUTH,on MAIL command]
24456 When Exim has authenticated itself to a remote server, it adds the AUTH
24457 parameter to the MAIL commands it sends, if it has an authenticated sender
24458 for the message.
24459 If the message came from a remote host, the authenticated sender is the one
24460 that was receiving on an incoming MAIL command, provided that the incoming
24461 connection was authenticated and the %server_mail_auth% condition allowed the
24462 authenticated sender to be retained. If a local process calls Exim to send a
24463 message, the sender address that is built from the login name and
24464 %qualify_domain% is treated as authenticated. However, if the
24465 %authenticated_sender% option is set on the ^smtp^ transport, it overrides
24466 the authenticated sender that was received with the message.
24467
24468
24469
24470
24471
24472
24473 ////////////////////////////////////////////////////////////////////////////
24474 ////////////////////////////////////////////////////////////////////////////
24475
24476 [[CHAPplaintext]]
24477 The plaintext authenticator
24478 ---------------------------
24479 cindex:[^plaintext^ authenticator]
24480 cindex:[authenticators,^plaintext^]
24481 The ^plaintext^ authenticator can be configured to support the PLAIN and
24482 LOGIN authentication mechanisms, both of which transfer authentication data as
24483 plain (unencrypted) text (though base64 encoded). The use of plain text is a
24484 security risk. If you use one of these mechanisms without also making use of
24485 SMTP encryption (see chapter <<CHAPTLS>>) you should not use the same passwords
24486 for SMTP connections as you do for login accounts.
24487
24488
24489 Using plaintext in a server
24490 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
24491 cindex:[options,^plaintext^ authenticator (server)]
24492 When running as a server, ^plaintext^ performs the authentication test by
24493 expanding a string. It has the following options:
24494
24495 oindex:[%server_prompts%]
24496 `..'=
24497 %server_prompts%, Use: 'plaintext', Type: 'string'!!, Default: 'unset'
24498 ===
24499
24500 The contents of this option, after expansion, must be a colon-separated list of
24501 prompt strings. If expansion fails, a temporary authentication rejection is
24502 given.
24503
24504 oindex:[%server_condition%]
24505 `..'=
24506 %server_condition%, Use: 'plaintext', Type: 'string'!!, Default: 'unset'
24507 ===
24508
24509 This option must be set in order to configure the driver as a server. Its use
24510 is described below.
24511
24512 cindex:[AUTH,in ^plaintext^ authenticator]
24513 cindex:[binary zero,in ^plaintext^ authenticator]
24514 cindex:[numerical variables ($1$ $2$ etc),in ^plaintext^ authenticator]
24515 cindex:[base64 encoding,in ^plaintext^ authenticator]
24516 The data sent by the client with the AUTH command, or in response to
24517 subsequent prompts, is base64 encoded, and so may contain any byte values
24518 when decoded. If any data is supplied with the command, it is treated as a
24519 list of strings, separated by NULs (binary zeros), which are placed in the
24520 expansion variables $1$, $2$, etc. If there are more strings in
24521 %server_prompts% than the number of strings supplied with the AUTH
24522 command, the remaining prompts are used to obtain more data. Each response from
24523 the client may be a list of NUL-separated strings.
24524
24525 cindex:[$authenticated_id$]
24526 Once a sufficient number of data strings have been received, %server_condition%
24527 is expanded. If the expansion is forced to fail, authentication fails. Any
24528 other expansion failure causes a temporary error code to be returned. If the
24529 result of a successful expansion is an empty string, ``0'', ``no'', or
24530 ``false'', authentication fails. If the result of the expansion is ``1'',
24531 ``yes'', or ``true'', authentication succeeds and the generic %server_set_id%
24532 option is expanded and saved in $authenticated_id$. For any other result, a
24533 temporary error code is returned, with the expanded string as the error text.
24534
24535 *Warning*: If you use a lookup in the expansion to find the user's
24536 password, be sure to make the authentication fail if the user is unknown.
24537 There are good and bad examples at the end of the next section.
24538
24539
24540
24541 The PLAIN authentication mechanism
24542 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24543 cindex:[PLAIN authentication mechanism]
24544 cindex:[authentication,PLAIN mechanism]
24545 cindex:[binary zero,in ^plaintext^ authenticator]
24546 The PLAIN authentication mechanism (RFC 2595) specifies that three strings be
24547 sent as one item of data (that is, one combined string containing two NUL
24548 separators). The data is sent either as part of the AUTH command, or
24549 subsequently in response to an empty prompt from the server.
24550
24551 The second and third strings are a user name and a corresponding password.
24552 Using a single fixed user name and password as an example, this could be
24553 configured as follows:
24554
24555 ....
24556 fixed_plain:
24557   driver = plaintext
24558   public_name = PLAIN
24559   server_prompts = :
24560   server_condition = \
24561     ${if and {{eq{$2}{username}}{eq{$3}{mysecret}}}{yes}{no}}
24562   server_set_id = $2
24563 ....
24564
24565 The %server_prompts% setting specifies a single, empty prompt (empty items at
24566 the end of a string list are ignored). If all the data comes as part of the
24567 AUTH command, as is commonly the case, the prompt is not used. This
24568 authenticator is advertised in the response to EHLO as
24569
24570   250-AUTH PLAIN
24571
24572 and a client host can authenticate itself by sending the command
24573
24574   AUTH PLAIN AHVzZXJuYW1lAG15c2VjcmV0
24575
24576 As this contains three strings (more than the number of prompts), no further
24577 data is required from the client. Alternatively, the client may just send
24578
24579   AUTH PLAIN
24580
24581 to initiate authentication, in which case the server replies with an empty
24582 prompt. The client must respond with the combined data string.
24583
24584 The data string is base64 encoded, as required by the RFC. This example,
24585 when decoded, is <'NUL'>`username`<'NUL'>`mysecret`, where <'NUL'> represents a
24586 zero byte. This is split up into three strings, the first of which is empty.
24587 The %server_condition% option in the authenticator checks that the second two
24588 are `username` and `mysecret` respectively.
24589
24590 Having just one fixed user name and password, as in this example, is not very
24591 realistic, though for a small organization with only a handful of
24592 authenticating clients it could make sense.
24593
24594 A more sophisticated instance of this authenticator could use the user name in
24595 $2$ to look up a password in a file or database, and maybe do an encrypted
24596 comparison (see %crypteq% in chapter <<CHAPexpand>>). Here is a example of this
24597 approach, where the passwords are looked up in a DBM file. *Warning*: This
24598 is an incorrect example:
24599
24600 ....
24601 server_condition = \
24602   ${if eq{$3}{${lookup{$2}dbm{/etc/authpwd}}}{yes}{no}}
24603 ....
24604
24605 The expansion uses the user name ($2$) as the key to look up a password,
24606 which it then compares to the supplied password ($3$). Why is this example
24607 incorrect? It works fine for existing users, but consider what happens if a
24608 non-existent user name is given. The lookup fails, but as no success/failure
24609 strings are given for the lookup, it yields an empty string. Thus, to defeat
24610 the authentication, all a client has to do is to supply a non-existent user
24611 name and an empty password. The correct way of writing this test is:
24612
24613 ....
24614 server_condition = ${lookup{$2}dbm{/etc/authpwd}\
24615   {${if eq{$value}{$3}{yes}{no}}}{no}}
24616 ....
24617
24618 In this case, if the lookup succeeds, the result is checked; if the lookup
24619 fails, authentication fails. If %crypteq% is being used instead of %eq%, the
24620 first example is in fact safe, because %crypteq% always fails if its second
24621 argument is empty. However, the second way of writing the test makes the logic
24622 clearer.
24623
24624
24625
24626 The LOGIN authentication mechanism
24627 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24628 cindex:[LOGIN authentication mechanism]
24629 cindex:[authentication,LOGIN mechanism]
24630 The LOGIN authentication mechanism is not documented in any RFC, but is in use
24631 in a number of programs. No data is sent with the AUTH command. Instead, a
24632 user name and password are supplied separately, in response to prompts. The
24633 plaintext authenticator can be configured to support this as in this example:
24634
24635 ....
24636 fixed_login:
24637   driver = plaintext
24638   public_name = LOGIN
24639   server_prompts = User Name : Password
24640   server_condition = \
24641     ${if and {{eq{$1}{username}}{eq{$2}{mysecret}}}{yes}{no}}
24642   server_set_id = $1
24643 ....
24644
24645 Because of the way plaintext operates, this authenticator accepts data supplied
24646 with the AUTH command (in contravention of the specification of LOGIN), but
24647 if the client does not supply it (as is the case for LOGIN clients), the prompt
24648 strings are used to obtain two data items.
24649
24650 Some clients are very particular about the precise text of the prompts. For
24651 example, Outlook Express is reported to recognize only ``Username:'' and
24652 ``Password:''. Here is an example of a LOGIN authenticator which uses those
24653 strings, and which uses the %ldapauth% expansion condition to check the user
24654 name and password by binding to an LDAP server:
24655
24656 ....
24657 login:
24658   driver = plaintext
24659   public_name = LOGIN
24660   server_prompts = Username:: : Password::
24661   server_condition = ${if ldapauth \
24662     {user="cn=${quote_ldap_dn:$1},ou=people,o=example.org" \
24663     pass=${quote:$2} \
24664     ldap://ldap.example.org/}{yes}{no}}
24665   server_set_id = uid=$1,ou=people,o=example.org
24666 ....
24667
24668 Note the use of the %quote_ldap_dn% operator to correctly quote the DN for
24669 authentication. However, the basic %quote% operator, rather than any of the
24670 LDAP quoting operators, is the correct one to use for the password, because
24671 quoting is needed only to make the password conform to the Exim syntax. At the
24672 LDAP level, the password is an uninterpreted string.
24673
24674
24675
24676 Support for different kinds of authentication
24677 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24678 A number of string expansion features are provided for the purpose of
24679 interfacing to different ways of user authentication. These include checking
24680 traditionally encrypted passwords from _/etc/passwd_ (or equivalent), PAM,
24681 Radius, %ldapauth%, and 'pwcheck'. For details see section <<SECTexpcond>>.
24682
24683
24684
24685
24686 Using plaintext in a client
24687 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
24688 cindex:[options,^plaintext^ authenticator (client)]
24689 The ^plaintext^ authenticator has just one client option:
24690
24691
24692
24693 oindex:[%client_send%]
24694 `..'=
24695 %client_send%, Use: 'plaintext', Type: 'string'!!, Default: 'unset'
24696 ===
24697
24698 The string is a colon-separated list of authentication data strings. Each
24699 string is independently expanded before being sent to the server. The first
24700 string is sent with the AUTH command; any more strings are sent in response
24701 to prompts from the server.
24702
24703 *Note*: you cannot use expansion to create multiple strings, because
24704 splitting takes priority and happens first.
24705
24706 Because the PLAIN authentication mechanism requires NUL (binary zero) bytes in
24707 the data, further processing is applied to each string before it is sent. If
24708 there are any single circumflex characters in the string, they are converted to
24709 NULs. Should an actual circumflex be required as data, it must be doubled in
24710 the string.
24711
24712 This is an example of a client configuration that implements the PLAIN
24713 authentication mechanism with a fixed user name and password:
24714
24715   fixed_plain:
24716     driver = plaintext
24717     public_name = PLAIN
24718     client_send = ^username^mysecret
24719
24720 The lack of colons means that the entire text is sent with the AUTH
24721 command, with the circumflex characters converted to NULs. A similar example
24722 that uses the LOGIN mechanism is:
24723
24724   fixed_login:
24725     driver = plaintext
24726     public_name = LOGIN
24727     client_send = : username : mysecret
24728
24729 The initial colon means that the first string is empty, so no data is sent with
24730 the AUTH command itself. The remaining strings are sent in response to
24731 prompts.
24732
24733
24734
24735
24736 ////////////////////////////////////////////////////////////////////////////
24737 ////////////////////////////////////////////////////////////////////////////
24738
24739 The cram_md5 authenticator
24740 --------------------------
24741 cindex:[^cram_md5^ authenticator]
24742 cindex:[authenticators,^cram_md5^]
24743 cindex:[CRAM-MD5 authentication mechanism]
24744 cindex:[authentication,CRAM-MD5 mechanism]
24745 The CRAM-MD5 authentication mechanism is described in RFC 2195. The server
24746 sends a challenge string to the client, and the response consists of a user
24747 name and the CRAM-MD5 digest of the challenge string combined with a secret
24748 string (password) which is known to both server and client. Thus, the secret
24749 is not sent over the network as plain text, which makes this authenticator more
24750 secure than ^plaintext^. However, the downside is that the secret has to be
24751 available in plain text at either end.
24752
24753
24754 Using cram_md5 as a server
24755 ~~~~~~~~~~~~~~~~~~~~~~~~~~
24756 cindex:[options,^cram_md5^ authenticator (server)]
24757 This authenticator has one server option, which must be set to configure the
24758 authenticator as a server:
24759
24760 oindex:[%server_secret%]
24761 `..'=
24762 %server_secret%, Use: 'cram_md5', Type: 'string'!!, Default: 'unset'
24763 ===
24764
24765 cindex:[numerical variables ($1$ $2$ etc),in ^cram_md5^ authenticator]
24766 When the server receives the client's response, the user name is placed in
24767 the expansion variable $1$, and %server_secret% is expanded to obtain the
24768 password for that user. The server then computes the CRAM-MD5 digest that the
24769 client should have sent, and checks that it received the correct string. If the
24770 expansion of %server_secret% is forced to fail, authentication fails. If the
24771 expansion fails for some other reason, a temporary error code is returned to
24772 the client.
24773
24774 For example, the following authenticator checks that the user name given by the
24775 client is ``ph10'', and if so, uses ``secret'' as the password. For any other user
24776 name, authentication fails.
24777
24778   fixed_cram:
24779     driver = cram_md5
24780     public_name = CRAM-MD5
24781     server_secret = ${if eq{$1}{ph10}{secret}fail}
24782     server_set_id = $1
24783
24784 cindex:[$authenticated_id$]
24785 If authentication succeeds, the setting of %server_set_id% preserves the user
24786 name in $authenticated_id$. A more tyical configuration might look up the
24787 secret string in a file, using the user name as the key. For example:
24788
24789   lookup_cram:
24790     driver = cram_md5
24791     public_name = CRAM-MD5
24792     server_secret = ${lookup{$1}lsearch{/etc/authpwd}{$value}fail}
24793     server_set_id = $1
24794
24795 Note that this expansion explicitly forces failure if the lookup fails
24796 because $1$ contains an unknown user name.
24797
24798
24799 Using cram_md5 as a client
24800 ~~~~~~~~~~~~~~~~~~~~~~~~~~
24801 cindex:[options,^cram_md5^ authenticator (client)]
24802 When used as a client, the ^cram_md5^ authenticator has two options:
24803
24804
24805
24806 oindex:[%client_name%]
24807 `..'=
24808 %client_name%, Use: 'cram_md5', Type: 'string'!!, Default: 'the primary host name'
24809 ===
24810
24811 This string is expanded, and the result used as the user name data when
24812 computing the response to the server's challenge.
24813
24814
24815 oindex:[%client_secret%]
24816 `..'=
24817 %client_secret%, Use: 'cram_md5', Type: 'string'!!, Default: 'unset'
24818 ===
24819
24820 This option must be set for the authenticator to work as a client. Its value is
24821 expanded and the result used as the secret string when computing the response.
24822
24823
24824 cindex:[$host$]
24825 cindex:[$host_address$]
24826 Different user names and secrets can be used for different servers by referring
24827 to $host$ or $host_address$ in the options.
24828
24829 Forced failure of either expansion string is treated as an indication that this
24830 authenticator is not prepared to handle this case. Exim moves on to the next
24831 configured client authenticator. Any other expansion failure causes Exim to
24832 give up trying to send the message to the current server.
24833
24834 A simple example configuration of a ^cram_md5^ authenticator, using fixed
24835 strings, is:
24836
24837   fixed_cram:
24838     driver = cram_md5
24839     public_name = CRAM-MD5
24840     client_name = ph10
24841     client_secret = secret
24842
24843
24844
24845
24846
24847 ////////////////////////////////////////////////////////////////////////////
24848 ////////////////////////////////////////////////////////////////////////////
24849
24850 The cyrus_sasl authenticator
24851 ----------------------------
24852 cindex:[^cyrus_sasl^ authenticator]
24853 cindex:[authenticators,^cyrus_sasl^]
24854 cindex:[Cyrus, SASL library]
24855 The code for this authenticator was provided by Matthew Byng-Maddick of A L
24856 Digital Ltd (*http://www.aldigital.co.uk[]*).
24857
24858 The ^cyrus_sasl^ authenticator provides server support for the Cyrus SASL
24859 library implementation of the RFC 2222 (``Simple Authentication and Security
24860 Layer''). This library supports a number of authentication mechanisms, including
24861 PLAIN and LOGIN, but also several others that Exim does not support directly.
24862 In particular, there is support for Kerberos authentication.
24863
24864 The ^cyrus_sasl^ authenticator provides a gatewaying mechanism directly to
24865 the Cyrus interface, so if your Cyrus library can do, for example, CRAM-MD5,
24866 then so can the ^cyrus_sasl^ authenticator. By default it uses the public
24867 name of the driver to determine which mechanism to support.
24868
24869 Where access to some kind of secret file is required, for example in GSSAPI
24870 or CRAM-MD5, it is worth noting that the authenticator runs as the 'exim'
24871 user, and that the Cyrus SASL library has no way of escalating privileges
24872 by default. You may also find you need to set environment variables,
24873 depending on the driver you are using.
24874
24875
24876 Using cyrus_sasl as a server
24877 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24878 The ^cyrus_sasl^ authenticator has four private options. It puts the
24879 username (on a successful authentication) into $1$.
24880
24881 oindex:[%server_hostname%]
24882 `..'=
24883 %server_hostname%, Use: 'cyrus_sasl', Type: 'string'!!, Default: `$primary_hostname`
24884 ===
24885
24886 This option selects the hostname that is used when communicating with
24887 the library. It is up to the underlying SASL plug-in what it does with
24888 this data.
24889
24890
24891 oindex:[%server_mech%]
24892 `..'=
24893 %server_mech%, Use: 'cyrus_sasl', Type: 'string', Default: `public_name`
24894 ===
24895
24896 This option selects the authentication mechanism this driver should
24897 use. It allows you to use a different underlying mechanism from the
24898 advertised name. For example:
24899
24900   sasl:
24901     driver = cyrus_sasl
24902     public_name = X-ANYTHING
24903     server_mech = CRAM-MD5
24904     server_set_id = $1
24905
24906
24907
24908 oindex:[%server_realm%]
24909 `..'=
24910 %server_realm%, Use: 'cyrus_sasl', Type: 'string', Default: 'unset'
24911 ===
24912
24913 This specifies the SASL realm that the server claims to be in.
24914
24915
24916 oindex:[%server_service%]
24917 `..'=
24918 %server_service%, Use: 'cyrus_sasl', Type: 'string', Default: `smtp`
24919 ===
24920
24921 This is the SASL service that the server claims to implement.
24922
24923
24924 For straightforward cases, you do not need to set any of the authenticator's
24925 private options. All you need to do is to specify an appropriate mechanism as
24926 the public name. Thus, if you have a SASL library that supports CRAM-MD5 and
24927 PLAIN, you could have two authenticators as follows:
24928
24929   sasl_cram_md5:
24930     driver = cyrus_sasl
24931     public_name = CRAM-MD5
24932     server_set_id = $1
24933
24934   sasl_plain:
24935     driver = cyrus_sasl
24936     public_name = PLAIN
24937     server_set_id = $1
24938
24939
24940 Cyrus SASL does implement the LOGIN authentication method, even though it is
24941 not a standard method. It is disabled by default in the source distribution,
24942 but it is present in many binary distributions.
24943
24944
24945
24946
24947 ////////////////////////////////////////////////////////////////////////////
24948 ////////////////////////////////////////////////////////////////////////////
24949
24950 The spa authenticator
24951 ---------------------
24952 cindex:[^spa^ authenticator]
24953 cindex:[authenticators,^spa^]
24954 cindex:[authentication,Microsoft Secure Password]
24955 cindex:[authentication,NTLM]
24956 cindex:[Microsoft Secure Password Authentication]
24957 cindex:[NTLM authentication]
24958 The ^spa^ authenticator provides client support for Microsoft's 'Secure
24959 Password Authentication' mechanism,
24960 which is also sometimes known as NTLM (NT LanMan). The code for client side of
24961 this authenticator was contributed by Marc Prud'hommeaux, and much of it is
24962 taken from the Samba project (*http://www.samba.org[]*). The code for the
24963 server side was subsequently contributed by Tom Kistner. The mechanism works as
24964 follows:
24965
24966 - After the AUTH command has been accepted, the client sends an SPA
24967 authentication request based on the user name and optional domain.
24968
24969 - The server sends back a challenge.
24970
24971 - The client builds a challenge response which makes use of the user's password
24972 and sends it to the server, which then accepts or rejects it.
24973
24974 Encryption is used to protect the password in transit.
24975
24976
24977
24978 Using spa as a server
24979 ~~~~~~~~~~~~~~~~~~~~~
24980 cindex:[options,^spa^ authenticator (server)]
24981 The ^spa^ authenticator has just one server option:
24982
24983 oindex:[%server_password%]
24984 `..'=
24985 %server_password%, Use: 'spa', Type: 'string'!!, Default: 'unset'
24986 ===
24987
24988 cindex:[numerical variables ($1$ $2$ etc),in ^spa^ authenticator]
24989 This option is expanded, and the result must be the cleartext password for the
24990 authenticating user, whose name is at this point in $1$. For example:
24991
24992 ....
24993 spa:
24994   driver = spa
24995   public_name = NTLM
24996   server_password = ${lookup{$1}lsearch{/etc/exim/spa_clearpass}\
24997                     {$value}fail}
24998 ....
24999
25000 If the expansion is forced to fail, authentication fails. Any other expansion
25001 failure causes a temporary error code to be returned.
25002
25003
25004
25005
25006
25007 Using spa as a client
25008 ~~~~~~~~~~~~~~~~~~~~~
25009 cindex:[options,^spa^ authenticator (client)]
25010 The ^spa^ authenticator has the following client options:
25011
25012
25013
25014 oindex:[%client_domain%]
25015 `..'=
25016 %client_domain%, Use: 'spa', Type: 'string'!!, Default: 'unset'
25017 ===
25018
25019 This option specifies an optional domain for the authentication.
25020
25021
25022 oindex:[%client_password%]
25023 `..'=
25024 %client_password%, Use: 'spa', Type: 'string'!!, Default: 'unset'
25025 ===
25026
25027 This option specifies the user's password, and must be set.
25028
25029
25030 oindex:[%client_username%]
25031 `..'=
25032 %client_username%, Use: 'spa', Type: 'string'!!, Default: 'unset'
25033 ===
25034
25035 This option specifies the user name, and must be set.
25036
25037
25038 Here is an example of a configuration of this authenticator for use with the
25039 mail servers at 'msn.com':
25040
25041   msn:
25042     driver = spa
25043     public_name = MSN
25044     client_username = msn/msn_username
25045     client_password = msn_plaintext_password
25046     client_domain = DOMAIN_OR_UNSET
25047
25048
25049
25050
25051
25052
25053
25054 ////////////////////////////////////////////////////////////////////////////
25055 ////////////////////////////////////////////////////////////////////////////
25056
25057 [[CHAPTLS]]
25058 [titleabbrev="Encrypted SMTP connections"]
25059 Encrypted SMTP connections using TLS/SSL
25060 ----------------------------------------
25061 cindex:[encryption,on SMTP connection]
25062 cindex:[SMTP,encryption]
25063 cindex:[TLS,on SMTP connection]
25064 cindex:[OpenSSL]
25065 cindex:[GnuTLS]
25066 Support for TLS (Transport Layer Security), formerly known as SSL (Secure
25067 Sockets Layer), is implemented by making use of the OpenSSL library or the
25068 GnuTLS library (Exim requires GnuTLS release 1.0 or later). There is no
25069 cryptographic code in the Exim distribution itself for implementing TLS. In
25070 order to use this feature you must install OpenSSL or GnuTLS, and then build a
25071 version of Exim that includes TLS support (see section <<SECTinctlsssl>>). You
25072 also need to understand the basic concepts of encryption at a managerial level,
25073 and in particular, the way that public keys, private keys, and certificates are
25074 used.
25075
25076 RFC 3207 defines how SMTP connections can make use of encryption. Once a
25077 connection is established, the client issues a STARTTLS command. If the
25078 server accepts this, the client and the server negotiate an encryption
25079 mechanism. If the negotiation succeeds, the data that subsequently passes
25080 between them is encrypted.
25081
25082 Exim's ACLs can detect whether the current SMTP session is encrypted or not,
25083 and if so, what cipher suite is in use, whether the client supplied a
25084 certificate, and whether or not that certificate was verified. This makes it
25085 possible for an Exim server to deny or accept certain commands based on the
25086 encryption state.
25087
25088 *Warning*: certain types of firewall and certain anti-virus products can
25089 disrupt TLS connections. You need to turn off SMTP scanning for these products
25090 in order to get TLS to work.
25091
25092
25093
25094 Support for the legacy ``ssmtp'' (aka ``smtps'') protocol
25095 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25096 cindex:[ssmtp protocol]
25097 cindex:[smtps protocol]
25098 cindex:[SMTP,ssmtp protocol]
25099 cindex:[SMTP,smtps protocol]
25100 Early implementations of encrypted SMTP used a different TCP port from normal
25101 SMTP, and expected an encryption negotiation to start immediately, instead of
25102 waiting for a STARTTLS command from the client using the standard SMTP
25103 port. The protocol was called ``ssmtp'' or ``smtps'', and port 465 was allocated
25104 for this purpose.
25105
25106 This approach was abandoned when encrypted SMTP was standardised, but there are
25107 still some legacy clients that use it. Exim supports these clients by means of
25108 the %tls_on_connect_ports% global option. Its value must be a list of port
25109 numbers; the most common use is expected to be:
25110
25111   tls_on_connect_ports = 465
25112
25113 The port numbers specified by this option apply to all SMTP connections, both
25114 via the daemon and via 'inetd'. You still need to specify all the ports that
25115 the daemon uses (by setting %daemon_smtp_ports% or %local_interfaces% or the
25116 %-oX% command line option) because %tls_on_connect_ports% does not add an
25117 extra port -- rather, it specifies different behaviour on a port that is
25118 defined elsewhere.
25119
25120 There is also a %-tls-on-connect% command line option. This overrides
25121 %tls_on_connect_ports%; it forces the legacy behaviour for all ports.
25122
25123
25124
25125
25126
25127
25128 [[SECTopenvsgnu]]
25129 OpenSSL vs GnuTLS
25130 ~~~~~~~~~~~~~~~~~
25131 cindex:[TLS,OpenSSL 'vs' GnuTLS]
25132 The first TLS support in Exim was implemented using OpenSSL. Support for GnuTLS
25133 followed later, when the first versions of GnuTLS were released. To build Exim
25134 to use GnuTLS, you need to set
25135
25136   USE_GNUTLS=yes
25137
25138 in Local/Makefile, in addition to
25139
25140   SUPPORT_TLS=yes
25141
25142 You must also set TLS_LIBS and TLS_INCLUDE appropriately, so that the
25143 include files and libraries for GnuTLS can be found.
25144
25145 There are some differences in usage when using GnuTLS instead of OpenSSL:
25146
25147 - The %tls_verify_certificates% option must contain the name of a file, not the
25148 name of a directory (for OpenSSL it can be either).
25149
25150 - The %tls_dhparam% option is ignored, because early versions of GnuTLS had no
25151 facility for varying its Diffie-Hellman parameters. I understand that this has
25152 changed, but Exim has not been updated to provide this facility.
25153
25154 - cindex:[$tls_peerdn$]
25155 Distinguished Name (DN) strings reported by the OpenSSL library use a slash for
25156 separating fields; GnuTLS uses commas, in accordance with RFC 2253. This
25157 affects the value of the $tls_peerdn$ variable.
25158
25159 - OpenSSL identifies cipher suites using hyphens as separators, for example:
25160 DES-CBC3-SHA. GnuTLS uses underscores, for example: RSA_ARCFOUR_SHA. What is
25161 more, OpenSSL complains if underscores are present in a cipher list. To make
25162 life simpler, Exim changes underscores to hyhens for OpenSSL and hyphens to
25163 underscores for GnuTLS when processing lists of cipher suites in the
25164 %tls_require_ciphers% options (the global option and the ^smtp^ transport
25165 option).
25166
25167 - The %tls_require_ciphers% options operate differently, as described in the
25168 sections <<SECTreqciphssl>> and <<SECTreqciphgnu>>.
25169
25170
25171 GnuTLS parameter computation
25172 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25173
25174 GnuTLS uses RSA and D-H parameters that take a substantial amount of time to
25175 compute. It is unreasonable to re-compute them for every TLS session.
25176 Therefore, Exim keeps this data in a file in its spool directory, called
25177 _gnutls-params_. The file is owned by the Exim user and is readable only by its
25178 owner. Every Exim process that start up GnuTLS reads the RSA and D-H parameters
25179 from this file. If the file does not exist, the first Exim process that needs
25180 it computes the data and writes it to a temporary file which is renamed once it
25181 is complete. It does not matter if several Exim processes do this
25182 simultaneously (apart from wasting a few resources). Once a file is in place,
25183 new Exim processes immediately start using it.
25184
25185 [revisionflag="changed"]
25186 For maximum security, the parameters that are stored in this file should be
25187 recalculated periodically, the frequency depending on your paranoia level.
25188 Arranging this is easy in principle; just delete the file when you want new
25189 values to be computed. However, there may be a problem. The calculation of new
25190 parameters needs random numbers, and these are obtained from _/dev/random_. If
25191 the system is not very active, _/dev/random_ may delay returning data until
25192 enough randomness (entropy) is available. This may cause Exim to hang for a
25193 substantial amount of time, causing timeouts on incoming connections.
25194
25195 [revisionflag="changed"]
25196 The solution is to generate the parameters externally to Exim. They are stored
25197 in _gnutls-params_ in PEM format, which means that they can be generated
25198 externally using the ^certtool^ command that is part of GnuTLS.
25199
25200 [revisionflag="changed"]
25201 To replace the parameters with new ones, instead of deleting the file
25202 and letting Exim re-create it, you can generate new parameters using
25203 ^certtool^ and, when this has been done, replace Exim's cache file by
25204 renaming. The relevant commands are something like this:
25205
25206 [revisionflag="changed"]
25207 ....
25208 # rm -f new-params
25209 # touch new-params
25210 # chown exim:exim new-params
25211 # chmod 0400 new-params
25212 # certtool --generate-privkey --bits 512 >new-params
25213 # echo "" >>new-params
25214 # certtool --generate-dh-params --bits 1024 >> new-params
25215 # mv new-params gnutls-params
25216 ....
25217
25218 [revisionflag="changed"]
25219 If Exim never has to generate the parameters itself, the possibility of
25220 stalling is removed.
25221
25222
25223
25224 [[SECTreqciphssl]]
25225 Requiring specific ciphers in OpenSSL
25226 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25227 cindex:[TLS,requiring specific ciphers (OpenSSL)]
25228 cindex:[%tls_require_ciphers%,OpenSSL]
25229 There is a function in the OpenSSL library that can be passed a list of cipher
25230 suites before the cipher negotiation takes place. This specifies which ciphers
25231 are acceptable. The list is colon separated and may contain names like
25232 DES-CBC3-SHA. Exim passes the expanded value of %tls_require_ciphers%
25233 directly to this function call. The following quotation from the OpenSSL
25234 documentation specifies what forms of item are allowed in the cipher string:
25235
25236 - It can consist of a single cipher suite such as RC4-SHA.
25237
25238 - It can represent a list of cipher suites containing a certain algorithm,
25239 or cipher suites of a certain type. For example SHA1 represents all
25240 ciphers suites using the digest algorithm SHA1 and SSLv3 represents all
25241 SSL v3 algorithms.
25242
25243 - Lists of cipher suites can be combined in a single cipher string using
25244 the + character. This is used as a logical and operation. For example
25245 SHA1+DES represents all cipher suites containing the SHA1 and the DES
25246 algorithms.
25247
25248 - Each cipher string can be optionally preceded by the characters `!`, `-` or
25249 `+`.
25250 +
25251 If `!` is used then the ciphers are permanently deleted from the list. The
25252 ciphers deleted can never reappear in the list even if they are explicitly
25253 stated.
25254 +
25255 If `-` is used then the ciphers are deleted from the list, but some or all
25256 of the ciphers can be added again by later options.
25257 +
25258 If `+` is used then the ciphers are moved to the end of the list. This
25259 option doesn't add any new ciphers it just moves matching existing ones.
25260 +
25261 If none of these characters is present then the string is just interpreted as
25262 a list of ciphers to be appended to the current preference list. If the list
25263 includes any ciphers already present they will be ignored: that is, they will
25264 not moved to the end of the list.
25265
25266
25267
25268
25269 [[SECTreqciphgnu]]
25270 Requiring specific ciphers in GnuTLS
25271 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25272 cindex:[TLS,requiring specific ciphers (GnuTLS)]
25273 cindex:[%tls_require_ciphers%,GnuTLS]
25274 The GnuTLS library does not have a combined function like OpenSSL. Instead,
25275 it allows the caller to specify separate lists of key-exchange methods,
25276 main cipher algorithms, and MAC algorithms. Unfortunately, these lists are
25277 numerical, and the library does not have a function for turning names into
25278 numbers. Consequently, the list of recognized names has to be built into
25279 the application.
25280
25281 At present, Exim permits only the list of main cipher algorithms to be
25282 changed. The %tls_require_ciphers% option is in the same format as for
25283 OpenSSL. Exim searches each item for the name of available algorithm. For
25284 example, if the list contains RSA_AES_SHA then AES is recognized.
25285
25286 The cipher algorithms list starts out with a default set of algorithms. If
25287 the first item in %tls_require_ciphers% does 'not' start with an
25288 exclamation mark, all the default items are deleted. Thus, only those specified
25289 can be used. If the first item in %tls_require_ciphers% 'does' start with
25290 an exclamation mark, the defaults are left on the list.
25291
25292 Then, any item that starts with an exclamation mark causes the relevent
25293 algorithms to be removed from the list, and any item that does not start
25294 with an exclamation mark causes the relevant algorithms to be added to the
25295 list. Thus,
25296
25297   tls_require_ciphers = !RSA_ARCFOUR_SHA
25298
25299 allows all the defaults except those that use ARCFOUR, whereas
25300
25301   tls_require_ciphers = AES : 3DES
25302
25303 allows only cipher suites that use AES and 3DES. The currently recognized
25304 algorithms are: AES_256, AES_128, AES (both of the preceding), 3DES, and
25305 ARCFOUR_128. Unrecognized algorithms are ignored. In a server, the order of the
25306 list is unimportant; the server will advertise the availability of all the
25307 relevant cipher suites. However, in a client, the order of the list specifies a
25308 preference order for the algorithms. The first one in the client's list that is
25309 also advertised by the server is tried first. The default order is as listed
25310 above.
25311
25312
25313
25314
25315 Configuring an Exim server to use TLS
25316 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25317 cindex:[TLS,configuring an Exim server]
25318 When Exim has been built with TLS support, it advertises the availability of
25319 the STARTTLS command to client hosts that match %tls_advertise_hosts%,
25320 but not to any others. The default value of this option is unset, which means
25321 that STARTTLS is not advertised at all. This default is chosen because you
25322 need to set some other options in order to make TLS avaliable, and also it is
25323 sensible for systems that want to use TLS only as a client.
25324
25325 If a client issues a STARTTLS command and there is some configuration
25326 problem in the server, the command is rejected with a 454 error. If the client
25327 persists in trying to issue SMTP commands, all except QUIT are rejected
25328 with the error
25329
25330   554 Security failure
25331
25332 If a STARTTLS command is issued within an existing TLS session, it is
25333 rejected with a 554 error code.
25334
25335 To enable TLS operations on a server, you must set %tls_advertise_hosts% to
25336 match some hosts. You can, of course, set it to \* to match all hosts.
25337 However, this is not all you need to do. TLS sessions to a server won't work
25338 without some further configuration at the server end.
25339
25340 It is rumoured that all existing clients that support TLS/SSL use RSA
25341 encryption. To make this work you need to set, in the server,
25342
25343   tls_certificate = /some/file/name
25344   tls_privatekey = /some/file/name
25345
25346 The first file contains the server's X509 certificate, and the second contains
25347 the private key that goes with it. These files need to be readable by the Exim
25348 user, and must always be given as full path names. They can be the same file if
25349 both the certificate and the key are contained within it. If %tls_privatekey%
25350 is not set, this is assumed to be the case. The certificate file may also
25351 contain intermediate certificates that need to be sent to the client to enable
25352 it to authenticate the server's certificate.
25353
25354 If you do not understand about certificates and keys, please try to find a
25355 source of this background information, which is not Exim-specific. (There are a
25356 few comments below in section <<SECTcerandall>>.)
25357
25358 *Note*: These options do not apply when Exim is operating as a client --
25359 they apply only in the case of a server. For a client, you must set the options
25360 of the same name in an ^smtp^ transport.
25361
25362 With just these options, Exim will work as a server with clients such as
25363 Netscape. It does not require the client to have a certificate (but see below
25364 for how to insist on this). There is one other option that may be needed in
25365 other situations. If
25366
25367   tls_dhparam = /some/file/name
25368
25369 is set, the SSL library is initialized for the use of Diffie-Hellman ciphers
25370 with the parameters contained in the file. This increases the set of cipher
25371 suites that the server supports. See the command
25372
25373   openssl dhparam
25374
25375 for a way of generating this data.
25376 At present, %tls_dhparam% is used only when Exim is linked with OpenSSL. It is
25377 ignored if GnuTLS is being used.
25378
25379 The strings supplied for these three options are expanded every time a client
25380 host connects. It is therefore possible to use different certificates and keys
25381 for different hosts, if you so wish, by making use of the client's IP address
25382 in $sender_host_address$ to control the expansion. If a string expansion is
25383 forced to fail, Exim behaves as if the option is not set.
25384
25385 cindex:[cipher,logging]
25386 cindex:[log,TLS cipher]
25387 cindex:[$tls_cipher$]
25388 The variable $tls_cipher$ is set to the cipher suite that was negotiated for
25389 an incoming TLS connection. It is included in the 'Received:' header of an
25390 incoming message (by default -- you can, of course, change this), and it is
25391 also included in the log line that records a message's arrival, keyed by ``X='',
25392 unless the %tls_cipher% log selector is turned off.
25393 The %encrypted% condition can be used to test for specific cipher suites in
25394 ACLs.
25395
25396 The ACLs that run for subsequent SMTP commands can check the name of the cipher
25397 suite and vary their actions accordingly. The cipher suite names are those used
25398 by OpenSSL. These may differ from the names used elsewhere. For example,
25399 OpenSSL uses the name DES-CBC3-SHA for the cipher suite which in other contexts
25400 is known as TLS_RSA_WITH_3DES_EDE_CBC_SHA. Check the OpenSSL
25401 documentation for more details.
25402
25403
25404
25405 Requesting and verifying client certificates
25406 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25407 cindex:[certificate,verification of client]
25408 cindex:[TLS,client certificate verification]
25409 If you want an Exim server to request a certificate when negotiating a TLS
25410 session with a client, you must set either %tls_verify_hosts% or
25411 %tls_try_verify_hosts%. You can, of course, set either of them to \* to
25412 apply to all TLS connections. For any host that matches one of these options,
25413 Exim requests a certificate as part of the setup of the TLS session. The
25414 contents of the certificate are verified by comparing it with a list of
25415 expected certificates. These must be available in a file or,
25416 for OpenSSL only (not GnuTLS), a directory, identified by
25417 %tls_verify_certificates%.
25418
25419 A file can contain multiple certificates, concatenated end to end. If a
25420 directory is used
25421 (OpenSSL only),
25422 each certificate must be in a separate file, with a name (or a symbolic link)
25423 of the form <'hash'>.0, where <'hash'> is a hash value constructed from the
25424 certificate. You can compute the relevant hash by running the command
25425
25426   openssl x509 -hash -noout -in /cert/file
25427
25428 where _/cert/file_ contains a single certificate.
25429
25430 The difference between %tls_verify_hosts% and %tls_try_verify_hosts% is
25431 what happens if the client does not supply a certificate, or if the certificate
25432 does not match any of the certificates in the collection named by
25433 %tls_verify_certificates%. If the client matches %tls_verify_hosts%, the
25434 attempt to set up a TLS session is aborted, and the incoming connection is
25435 dropped. If the client matches %tls_try_verify_hosts%, the (encrypted) SMTP
25436 session continues. ACLs that run for subsequent SMTP commands can detect the
25437 fact that no certificate was verified, and vary their actions accordingly. For
25438 example, you can insist on a certificate before accepting a message for
25439 relaying, but not when the message is destined for local delivery.
25440
25441 cindex:[$tls_peerdn$]
25442 When a client supplies a certificate (whether it verifies or not), the value of
25443 the Distinguished Name of the certificate is made available in the variable
25444 $tls_peerdn$ during subsequent processing of the message.
25445
25446 cindex:[log,distinguished name]
25447 Because it is often a long text string, it is not included in the log line or
25448 'Received:' header by default. You can arrange for it to be logged, keyed by
25449 ``DN='', by setting the %tls_peerdn% log selector, and you can use
25450 %received_header_text% to change the 'Received:' header. When no certificate
25451 is supplied, $tls_peerdn$ is empty.
25452
25453
25454 Revoked certificates
25455 ~~~~~~~~~~~~~~~~~~~~
25456 cindex:[TLS,revoked certificates]
25457 cindex:[revocation list]
25458 cindex:[certificate,revocation list]
25459 Certificate issuing authorities issue Certificate Revocation Lists (CRLs) when
25460 certificates are revoked. If you have such a list, you can pass it to an Exim
25461 server using the global option called %tls_crl% and to an Exim client using an
25462 identically named option for the ^smtp^ transport. In each case, the value of
25463 the option is expanded and must then be the name of a file that contains a CRL
25464 in PEM format.
25465
25466
25467 Configuring an Exim client to use TLS
25468 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25469 cindex:[cipher,logging]
25470 cindex:[log,TLS cipher]
25471 cindex:[log,distinguished name]
25472 cindex:[TLS,configuring an Exim client]
25473 The %tls_cipher% and %tls_peerdn% log selectors apply to outgoing SMTP
25474 deliveries as well as to incoming, the latter one causing logging of the
25475 server certificate's DN. The remaining client configuration for TLS is all
25476 within the ^smtp^ transport.
25477
25478 It is not necessary to set any options to have TLS work in the ^smtp^
25479 transport. If Exim is built with TLS support, and TLS is advertised by a
25480 server, the ^smtp^ transport always tries to start a TLS session. However,
25481 this can be prevented by setting %hosts_avoid_tls% (an option of the
25482 transport) to a list of server hosts for which TLS should not be used.
25483
25484 If you do not want Exim to attempt to send messages unencrypted when an attempt
25485 to set up an encrypted connection fails in any way, you can set
25486 %hosts_require_tls% to a list of hosts for which encryption is mandatory. For
25487 those hosts, delivery is always deferred if an encrypted connection cannot be
25488 set up. If there are any other hosts for the address, they are tried in the
25489 usual way.
25490
25491 When the server host is not in %hosts_require_tls%, Exim may try to deliver
25492 the message unencrypted. It always does this if the response to STARTTLS is
25493 a 5##'xx' code. For a temporary error code, or for a failure to negotiate a TLS
25494 session after a success response code, what happens is controlled by the
25495 %tls_tempfail_tryclear% option of the ^smtp^ transport. If it is false,
25496 delivery to this host is deferred, and other hosts (if available) are tried. If
25497 it is true, Exim attempts to deliver unencrypted after a 4##'xx' response to
25498 STARTTLS, and if STARTTLS is accepted, but the subsequent TLS
25499 negotiation fails, Exim closes the current connection (because it is in an
25500 unknown state), opens a new one to the same host, and then tries the delivery
25501 unencrypted.
25502
25503
25504 The %tls_certificate% and %tls_privatekey% options of the ^smtp^ transport
25505 provide the client with a certificate, which is passed to the server if it
25506 requests it. If the server is Exim, it will request a certificate only if
25507 %tls_verify_hosts% or %tls_try_verify_hosts% matches the client.
25508 *Note*: these options must be set in the ^smtp^ transport for Exim to use
25509 TLS when it is operating as a client. Exim does not assume that a server
25510 certificate (set by the global options of the same name) should also be used
25511 when operating as a client.
25512
25513 If %tls_verify_certificates% is set, it must name a file or,
25514 for OpenSSL only (not GnuTLS), a directory, that contains a collection of
25515 expected server certificates. The client verifies the server's certificate
25516 against this collection, taking into account any revoked certificates that are
25517 in the list defined by %tls_crl%.
25518
25519 If
25520 %tls_require_ciphers% is set on the ^smtp^ transport, it must contain a
25521 list of permitted cipher suites. If either of these checks fails, delivery to
25522 the current host is abandoned, and the ^smtp^ transport tries to deliver to
25523 alternative hosts, if any.
25524
25525 cindex:[$host$]
25526 cindex:[$host_address$]
25527 All the TLS options in the ^smtp^ transport are expanded before use, with
25528 $host$ and $host_address$ containing the name and address of the server to
25529 which the client is connected. Forced failure of an expansion causes Exim to
25530 behave as if the relevant option were unset.
25531
25532
25533
25534 [[SECTmulmessam]]
25535 Multiple messages on the same encrypted TCP/IP connection
25536 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25537 cindex:[multiple SMTP deliveries with TLS]
25538 cindex:[TLS,multiple message deliveries]
25539 Exim sends multiple messages down the same TCP/IP connection by starting up
25540 an entirely new delivery process for each message, passing the socket from
25541 one process to the next. This implementation does not fit well with the use
25542 of TLS, because there is quite a lot of state information associated with a TLS
25543 connection, not just a socket identification. Passing all the state information
25544 to a new process is not feasible. Consequently, Exim shuts down an existing TLS
25545 session before passing the socket to a new process. The new process may then
25546 try to start a new TLS session, and if successful, may try to re-authenticate
25547 if AUTH is in use, before sending the next message.
25548
25549 The RFC is not clear as to whether or not an SMTP session continues in clear
25550 after TLS has been shut down, or whether TLS may be restarted again later, as
25551 just described. However, if the server is Exim, this shutdown and
25552 reinitialization works. It is not known which (if any) other servers operate
25553 successfully if the client closes a TLS session and continues with unencrypted
25554 SMTP, but there are certainly some that do not work. For such servers, Exim
25555 should not pass the socket to another process, because the failure of the
25556 subsequent attempt to use it would cause Exim to record a temporary host error,
25557 and delay other deliveries to that host.
25558
25559 To test for this case, Exim sends an EHLO command to the server after
25560 closing down the TLS session. If this fails in any way, the connection is
25561 closed instead of being passed to a new delivery process, but no retry
25562 information is recorded.
25563
25564 There is also a manual override; you can set %hosts_nopass_tls% on the
25565 ^smtp^ transport to match those hosts for which Exim should not pass
25566 connections to new processes if TLS has been used.
25567
25568
25569
25570
25571 [[SECTcerandall]]
25572 Certificates and all that
25573 ~~~~~~~~~~~~~~~~~~~~~~~~~
25574 cindex:[certificate,references to discussion]
25575 In order to understand fully how TLS works, you need to know about
25576 certificates, certificate signing, and certificate authorities. This is not the
25577 place to give a tutorial, especially as I do not know very much about it
25578 myself. Some helpful introduction can be found in the FAQ for the SSL addition
25579 to Apache, currently at
25580
25581 &&&
25582 *http://www.modssl.org/docs/2.7/ssl_faq.html#ToC24[]*
25583 &&&
25584
25585 Other parts of the 'modssl' documentation are also helpful, and have
25586 links to further files.
25587 Eric Rescorla's book, 'SSL and TLS', published by Addison-Wesley (ISBN
25588 0-201-61598-3), contains both introductory and more in-depth descriptions.
25589 Some sample programs taken from the book are available from
25590
25591 &&&
25592 *http://www.rtfm.com/openssl-examples/[]*
25593 &&&
25594
25595
25596
25597 Certificate chains
25598 ~~~~~~~~~~~~~~~~~~
25599 The file named by %tls_certificate% may contain more than one
25600 certificate. This is useful in the case where the certificate that is being
25601 sent is validated by an intermediate certificate which the other end does
25602 not have. Multiple certificates must be in the correct order in the file.
25603 First the host's certificate itself, then the first intermediate
25604 certificate to validate the issuer of the host certificate, then the next
25605 intermediate certificate to validate the issuer of the first intermediate
25606 certificate, and so on, until finally (optionally) the root certificate.
25607 The root certificate must already be trusted by the recipient for
25608 validation to succeed, of course, but if it's not preinstalled, sending the
25609 root certificate along with the rest makes it available for the user to
25610 install if the receiving end is a client MUA that can interact with a user.
25611
25612
25613 Self-signed certificates
25614 ~~~~~~~~~~~~~~~~~~~~~~~~
25615 cindex:[certificate,self-signed]
25616 You can create a self-signed certificate using the 'req' command provided
25617 with OpenSSL, like this:
25618
25619 ....
25620 openssl req -x509 -newkey rsa:1024 -keyout file1 -out file2 \
25621             -days 9999 -nodes
25622 ....
25623
25624 _file1_ and _file2_ can be the same file; the key and the certificate are
25625 delimited and so can be identified independently. The %-days% option
25626 specifies a period for which the certificate is valid. The %-nodes% option is
25627 important: if you do not set it, the key is encrypted with a passphrase
25628 that you are prompted for, and any use that is made of the key causes more
25629 prompting for the passphrase. This is not helpful if you are going to use
25630 this certificate and key in an MTA, where prompting is not possible.
25631
25632 A self-signed certificate made in this way is sufficient for testing, and
25633 may be adequate for all your requirements if you are mainly interested in
25634 encrypting transfers, and not in secure identification.
25635
25636 However, many clients require that the certificate presented by the server be a
25637 user (also called ``leaf'' or ``site'') certificate, and not a self-signed
25638 certificate. In this situation, the self-signed certificate described above
25639 must be installed on the client host as a trusted root 'certification
25640 authority' (CA), and the certificate used by Exim must be a user certificate
25641 signed with that self-signed certificate.
25642
25643 For information on creating self-signed CA certificates and using them to sign
25644 user certificates, see the 'General implementation overview' chapter of the
25645 Open-source PKI book, available online at *http://ospkibook.sourceforge.net/[]*.
25646
25647
25648
25649 ////////////////////////////////////////////////////////////////////////////
25650 ////////////////////////////////////////////////////////////////////////////
25651
25652 [[CHAPACL]]
25653 Access control lists
25654 --------------------
25655 cindex:[{ACL},description]
25656 cindex:[control of incoming mail]
25657 cindex:[message,controlling incoming]
25658 cindex:[policy control,access control lists]
25659 Access Control Lists (ACLs) are defined in a separate section of the run time
25660 configuration file, headed by ``begin acl''. Each ACL definition starts with a
25661 name, terminated by a colon. Here is a complete ACL section that contains just
25662 one very small ACL:
25663
25664   begin acl
25665
25666   small_acl:
25667     accept   hosts = one.host.only
25668
25669 You can have as many lists as you like in the ACL section, and the order in
25670 which they appear does not matter. The lists are self-terminating.
25671
25672 The majority of ACLs are used to control Exim's behaviour when it receives
25673 certain SMTP commands. This applies both to incoming TCP/IP connections, and
25674 when a local process submits a message using SMTP by specifying the %-bs%
25675 option. The most common use is for controlling which recipients are accepted
25676 in incoming messages. In addition, you can define an ACL that is used to check
25677 local non-SMTP messages. The default configuration file contains an example of
25678 a realistic ACL for checking RCPT commands. This is discussed in chapter
25679 <<CHAPdefconfil>>.
25680
25681
25682 Testing ACLs
25683 ~~~~~~~~~~~~
25684 The %-bh% command line option provides a way of testing your ACL configuration
25685 locally by running a fake SMTP session with which you interact. The host
25686 'relay-test.mail-abuse.org' provides a service for checking your relaying
25687 configuration (see section <<SECTcheralcon>> for more details).
25688
25689
25690
25691 Specifying when ACLs are used
25692 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
25693 cindex:[{ACL},options for specifying]
25694 In order to cause an ACL to be used, you have to name it in one of the relevant
25695 options in the main part of the configuration. These options are:
25696 cindex:[AUTH,ACL for]
25697 cindex:[DATA, ACLs for]
25698 cindex:[ETRN,ACL for]
25699 cindex:[EXPN,ACL for]
25700 cindex:[HELO,ACL for]
25701 cindex:[EHLO,ACL for]
25702 cindex:[MAIL,ACL for]
25703 cindex:[QUIT, ACL for]
25704 cindex:[RCPT,ACL for]
25705 cindex:[STARTTLS, ACL for]
25706 cindex:[VRFY,ACL for]
25707 cindex:[SMTP connection, ACL for]
25708 cindex:[non-smtp message, ACL for]
25709
25710 [frame="none"]
25711 `--`--------------------`---------------------------------------
25712    %acl_not_smtp%       ACL for non-SMTP messages
25713    %acl_smtp_auth%      ACL for AUTH
25714    %acl_smtp_connect%   ACL for start of SMTP connection
25715    %acl_smtp_data%      ACL after DATA is complete
25716    %acl_smtp_etrn%      ACL for ETRN
25717    %acl_smtp_expn%      ACL for EXPN
25718    %acl_smtp_helo%      ACL for HELO or EHLO
25719    %acl_smtp_mail%      ACL for MAIL
25720    %acl_smtp_mailauth%  ACL for the AUTH parameter of MAIL
25721    %acl_smtp_mime%      ACL for content-scanning MIME parts
25722    %acl_smtp_predata%   ACL at start of DATA command
25723    %acl_smtp_quit%      ACL for QUIT
25724    %acl_smtp_rcpt%      ACL for RCPT
25725    %acl_smtp_starttls%  ACL for STARTTLS
25726    %acl_smtp_vrfy%      ACL for VRFY
25727 ----------------------------------------------------------------
25728
25729 For example, if you set
25730
25731   acl_smtp_rcpt = small_acl
25732
25733 the little ACL defined above is used whenever Exim receives a RCPT command
25734 in an SMTP dialogue. The majority of policy tests on incoming messages can be
25735 done when RCPT commands arrive. A rejection of RCPT should cause the
25736 sending MTA to give up on the recipient address contained in the RCPT
25737 command, whereas rejection at other times may cause the client MTA to keep on
25738 trying to deliver the message. It is therefore recommended that you do as much
25739 testing as possible at RCPT time.
25740
25741
25742 The non-SMTP ACL
25743 ~~~~~~~~~~~~~~~~
25744 cindex:[non-smtp message, ACL for]
25745 The non-SMTP ACL applies to all non-interactive incoming messages, that is, it
25746 applies to batch SMTP as well as to non-SMTP messages. (Batch SMTP is not
25747 really SMTP.) This ACL is run just before the 'local_scan()' function. Any
25748 kind of rejection is treated as permanent, because there is no way of sending a
25749 temporary error for these kinds of message. Many of the ACL conditions (for
25750 example, host tests, and tests on the state of the SMTP connection such as
25751 encryption and authentication) are not relevant and are forbidden in this ACL.
25752
25753
25754 The connect ACL
25755 ~~~~~~~~~~~~~~~
25756 cindex:[SMTP connection, ACL for]
25757 The ACL test specified by %acl_smtp_connect% happens after the test specified
25758 by %host_reject_connection% (which is now an anomaly) and any TCP Wrappers
25759 testing (if configured).
25760
25761
25762 The DATA ACLs
25763 ~~~~~~~~~~~~~
25764 cindex:[DATA, ACLs for]
25765 Two ACLs are associated with the DATA command, because it is two-stage
25766 command, with two responses being sent to the client.
25767 When the DATA command is received, the ACL defined by %acl_smtp_predata%
25768 is obeyed. This gives you control after all the RCPT commands, but before
25769 the message itself is received. It offers the opportunity to give a negative
25770 response to the DATA command before the data is transmitted. Header lines
25771 added by MAIL or RCPT ACLs are not visible at this time, but any that
25772 are defined here are visible when the %acl_smtp_data% ACL is run.
25773
25774 You cannot test the contents of the message, for example, to verify addresses
25775 in the headers, at RCPT time or when the DATA command is received. Such
25776 tests have to appear in the ACL that is run after the message itself has been
25777 received, before the final response to the DATA command is sent. This is
25778 the ACL specified by %acl_smtp_data%, which is the second ACL that is
25779 associated with the DATA command.
25780
25781 For both of these ACLs, it is not possible to reject individual recipients. An
25782 error response rejects the entire message. Unfortunately, it is known that some
25783 MTAs do not treat hard (5##'xx') responses to the DATA command (either
25784 before or after the data) correctly -- they keep the message on their queues
25785 and try again later, but that is their problem, though it does waste some of
25786 your resources.
25787
25788
25789 The MIME ACL
25790 ~~~~~~~~~~~~
25791 The %acl_smtp_mime% option is available only when Exim is compiled with the
25792 content-scanning extension. For details, see chapter <<CHAPexiscan>>.
25793
25794
25795 [[SECTQUITACL]]
25796 The QUIT ACL
25797 ~~~~~~~~~~~~
25798 cindex:[QUIT, ACL for]
25799 The ACL for the SMTP QUIT command is anomalous, in that the outcome of the ACL
25800 does not affect the response code to QUIT, which is always 221. Thus, the ACL
25801 does not in fact control any access. For this reason, the only verbs that are
25802 permitted are %accept% and %warn%.
25803
25804 This ACL can be used for tasks such as custom logging at the end of an SMTP
25805 session. For example, you can use ACL variables in other ACLs to count
25806 messages, recipients, etc., and log the totals at QUIT time using one or
25807 more %logwrite% modifiers on a %warn% verb.
25808
25809 [revisionflag="changed"]
25810 *Warning*: only the $acl_c$'x' variables can be used for this, because the
25811 $acl_m$'x' variables are reset at the end of each incoming message.
25812
25813 You do not need to have a final %accept%, but if you do, you can use a
25814 %message% modifier to specify custom text that is sent as part of the 221
25815 response to QUIT.
25816
25817 This ACL is run only for a ``normal'' QUIT. For certain kinds of disastrous
25818 failure (for example, failure to open a log file, or when Exim is bombing out
25819 because it has detected an unrecoverable error), all SMTP commands from the
25820 client are given temporary error responses until QUIT is received or the
25821 connection is closed. In these special cases, the QUIT ACL does not run.
25822
25823
25824
25825 Finding an ACL to use
25826 ~~~~~~~~~~~~~~~~~~~~~
25827 cindex:[{ACL},finding which to use]
25828 The value of an %acl_smtp_'xxx'% option is expanded before use, so you can
25829 use different ACLs in different circumstances. The resulting string does not
25830 have to be the name of an ACL in the configuration file; there are other
25831 possibilities. Having expanded the string, Exim searches for an ACL as follows:
25832
25833 - If the string begins with a slash, Exim uses it as a file name, and reads its
25834 contents as an ACL. The lines are processed in the same way as lines in the
25835 Exim configuration file. In particular, continuation lines are supported, blank
25836 lines are ignored, as are lines whose first non-whitespace character is ``#''.
25837 If the file does not exist or cannot be read, an error occurs (typically
25838 causing a temporary failure of whatever caused the ACL to be run). For example:
25839 +
25840 ....
25841 acl_smtp_data = /etc/acls/\
25842   ${lookup{$sender_host_address}lsearch\
25843   {/etc/acllist}{$value}{default}}
25844 ....
25845 +
25846 This looks up an ACL file to use on the basis of the host's IP address, falling
25847 back to a default if the lookup fails. If an ACL is successfully read from a
25848 file, it is retained in memory for the duration of the Exim process, so that it
25849 can be re-used without having to re-read the file.
25850
25851 - If the string does not start with a slash, and does not contain any spaces,
25852 Exim searches the ACL section of the configuration for an ACL whose name
25853 matches the string.
25854
25855 - If no named ACL is found, or if the string contains spaces, Exim parses
25856 the string as an inline ACL. This can save typing in cases where you just
25857 want to have something like
25858 +
25859   acl_smtp_vrfy = accept
25860 +
25861 in order to allow free use of the VRFY command. Such a string may contain
25862 newlines; it is processed in the same way as an ACL that is read from a file.
25863
25864
25865
25866
25867 ACL return codes
25868 ~~~~~~~~~~~~~~~~
25869 cindex:[{ACL},return codes]
25870 Except for the QUIT ACL, which does not affect the SMTP return code (see
25871 section <<SECTQUITACL>> above), the
25872
25873 result of running an ACL is either ``accept'' or ``deny'', or, if some test
25874 cannot be completed (for example, if a database is down), ``defer''. These
25875 results cause 2##'xx', 5##'xx', and 4##'xx' return codes, respectively, to be
25876 used in the SMTP dialogue. A fourth return, ``error'', occurs when there is an
25877 error such as invalid syntax in the ACL. This also causes a 4'##xx' return
25878 code.
25879
25880 For the non-SMTP ACL, ``defer'' and ``error'' are treated in the same way as
25881 ``deny'', because there is no mechanism for passing temporary errors to the
25882 submitters of non-SMTP messages.
25883
25884
25885 ACLs that are relevant to message reception may also return ``discard''. This
25886 has the effect of ``accept'', but causes either the entire message or an
25887 individual recipient address to be discarded. In other words, it is a
25888 blackholing facility. Use it with care.
25889
25890 If the ACL for MAIL returns ``discard'', all recipients are discarded, and no
25891 ACL is run for subsequent RCPT commands. The effect of ``discard'' in a
25892 RCPT ACL is to discard just the one recipient address. If there are no
25893 recipients left when the message's data is received, the DATA ACL is not
25894 run. A ``discard'' return from the DATA or the non-SMTP ACL discards all the
25895 remaining recipients.
25896
25897 The ``discard'' return is not permitted for the %acl_smtp_predata% ACL.
25898
25899
25900 cindex:['local_scan()' function,when all recipients discarded]
25901 The 'local_scan()' function is always run, even if there are no remaining
25902 recipients; it may create new recipients.
25903
25904
25905
25906 Unset ACL options
25907 ~~~~~~~~~~~~~~~~~
25908 cindex:[{ACL},unset options]
25909 The default actions when any of the %acl_'xxx'% options are unset are not
25910 all the same. *Note*: These defaults apply only when the relevant ACL is
25911 not defined at all. For any defined ACL, the default action when control reaches
25912 the end of the ACL statements is ``deny''.
25913
25914 For %acl_not_smtp%, %acl_smtp_auth%, %acl_smtp_connect%, %acl_smtp_data%,
25915 %acl_smtp_helo%, %acl_smtp_mail%, %acl_smtp_mailauth%, %acl_smtp_mime%,
25916 %acl_smtp_predata%, %acl_smtp_quit%, and %acl_smtp_starttls%, the action when
25917 the ACL is not defined is ``accept''.
25918
25919 For the others (%acl_smtp_etrn%, %acl_smtp_expn%, %acl_smtp_rcpt%, and
25920 %acl_smtp_vrfy%), the action when the ACL is not defined is ``deny''.
25921 This means that %acl_smtp_rcpt% must be defined in order to receive any
25922 messages over an SMTP connection. For an example, see the ACL in the default
25923 configuration file.
25924
25925
25926
25927
25928 Data for message ACLs
25929 ~~~~~~~~~~~~~~~~~~~~~
25930 cindex:[{ACL},data for message ACL]
25931 cindex:[$domain$]
25932 cindex:[$local_part$]
25933 cindex:[$sender_address$]
25934 cindex:[$sender_host_address$]
25935 When a MAIL or RCPT ACL, or either of the DATA ACLs, is running, the variables
25936 that contain information about the host and the message's sender (for example,
25937 $sender_host_address$ and $sender_address$) are set, and can be used in ACL
25938 statements. In the case of RCPT (but not MAIL or DATA), $domain$ and
25939 $local_part$ are set from the argument address.
25940
25941 When an ACL for the AUTH parameter of MAIL is running, the variables that
25942 contain information about the host are set, but $sender_address$ is not yet
25943 set. Section <<SECTauthparamail>> contains a discussion of this parameter and
25944 how it is used.
25945
25946 cindex:[$message_size$]
25947 The $message_size$ variable is set to the value of the SIZE parameter on
25948 the MAIL command at MAIL, RCPT and pre-data time, or to -1 if
25949 that parameter is not given. The value is updated to the true message size by
25950 the time the final DATA ACL is run (after the message data has been
25951 received).
25952
25953 cindex:[$rcpt_count$]
25954 cindex:[$recipients_count$]
25955 The $rcpt_count$ variable increases by one for each RCPT command received. The
25956 $recipients_count$ variable increases by one each time a RCPT command is
25957 accepted, so while an ACL for RCPT is being processed, it contains the number
25958 of previously accepted recipients. At DATA time (for both the DATA ACLs),
25959 $rcpt_count$ contains the total number of RCPT commands, and $recipients_count$
25960 contains the total number of accepted recipients.
25961
25962
25963
25964
25965
25966 [[SECTdatfornon]]
25967 Data for non-message ACLs
25968 ~~~~~~~~~~~~~~~~~~~~~~~~~
25969 cindex:[{ACL},data for non-message ACL]
25970 cindex:[$smtp_command_argument$]
25971 When an ACL is being run for AUTH, EHLO, ETRN, EXPN, HELO, STARTTLS, or VRFY,
25972 the remainder of the SMTP command line is placed in $smtp_command_argument$.
25973 This can be tested using a %condition% condition. For example, here is an ACL
25974 for use with AUTH, which insists that either the session is encrypted, or the
25975 CRAM-MD5 authentication method is used. In other words, it does not permit
25976 authentication methods that use cleartext passwords on unencrypted connections.
25977
25978 ....
25979 acl_check_auth:
25980   accept encrypted = *
25981   accept condition = ${if eq{${uc:$smtp_command_argument}}\
25982                      {CRAM-MD5}}
25983   deny   message   = TLS encryption or CRAM-MD5 required
25984 ....
25985
25986 (Another way of applying this restriction is to arrange for the authenticators
25987 that use cleartext passwords not to be advertised when the connection is not
25988 encrypted. You can use the generic %server_advertise_condition% authenticator
25989 option to do this.)
25990
25991
25992
25993 Format of an ACL
25994 ~~~~~~~~~~~~~~~~
25995 cindex:[{ACL},format of]
25996 cindex:[{ACL},verbs; definition of]
25997 An individual ACL consists of a number of statements. Each statement starts
25998 with a verb, optionally followed by a number of conditions and ``modifiers''.
25999 Modifiers can change the way the verb operates, define error and log messages,
26000 set variables, insert delays, and vary the processing of accepted messages.
26001
26002 If all the conditions are met, the verb is obeyed. The same condition may be
26003 used (with different arguments) more than once in the same statement. This
26004 provides a means of specifying an ``and'' conjunction between conditions. For
26005 example:
26006
26007   deny  dnslists = list1.example
26008         dnslists = list2.example
26009
26010 If there are no conditions, the verb is always obeyed. Exim stops evaluating
26011 the conditions and modifiers when it reaches a condition that fails. What
26012 happens then depends on the verb (and in one case, on a special modifier). Not
26013 all the conditions make sense at every testing point. For example, you cannot
26014 test a sender address in the ACL that is run for a VRFY command.
26015
26016
26017 ACL verbs
26018 ~~~~~~~~~
26019 The ACL verbs are as follows:
26020
26021 - cindex:[%accept%, ACL verb]
26022 %accept%: If all the conditions are met, the ACL returns ``accept''. If any of
26023 the conditions are not met, what happens depends on whether %endpass% appears
26024 among the conditions (for syntax see below). If the failing condition is before
26025 %endpass%, control is passed to the next ACL statement; if it is after
26026 %endpass%, the ACL returns ``deny''. Consider this statement, used to check a
26027 RCPT command:
26028
26029   accept domains = +local_domains
26030          endpass
26031          verify = recipient
26032 +
26033 If the recipient domain does not match the %domains% condition, control passes
26034 to the next statement. If it does match, the recipient is verified, and the
26035 command is accepted if verification succeeds. However, if verification fails,
26036 the ACL yields ``deny'', because the failing condition is after %endpass%.
26037
26038 - cindex:[%defer%, ACL verb]
26039 %defer%: If all the conditions are met, the ACL returns ``defer'' which, in an
26040 SMTP session, causes a 4##'xx' response to be given. For a non-SMTP ACL,
26041 %defer% is the same as %deny%, because there is no way of sending a temporary
26042 error. For a RCPT command, %defer% is much the same as using a
26043 ^redirect^ router and `:defer:` while verifying, but the %defer% verb can
26044 be used in any ACL, and even for a recipient it might be a simpler approach.
26045
26046 - cindex:[%deny%, ACL verb]
26047 %deny%: If all the conditions are met, the ACL returns ``deny''. If any of the
26048 conditions are not met, control is passed to the next ACL statement. For
26049 example,
26050
26051   deny dnslists = blackholes.mail-abuse.org
26052 +
26053 rejects commands from hosts that are on a DNS black list.
26054
26055 - cindex:[%discard%, ACL verb]
26056 %discard%: This verb behaves like %accept%, except that it returns ``discard''
26057 from the ACL instead of ``accept''. It is permitted only on ACLs that are
26058 concerned with receiving messages, and it causes recipients to be discarded.
26059 If the %log_message% modifier is set when %discard% operates, its contents are
26060 added to the line that is automatically written to the log.
26061 +
26062 If %discard% is used in an ACL for RCPT, just the one recipient is
26063 discarded; if used for MAIL, DATA or in the non-SMTP ACL, all the
26064 message's recipients are discarded. Recipients that are discarded before
26065 DATA do not appear in the log line when the %log_recipients% log selector
26066 is set.
26067
26068 - cindex:[%drop%, ACL verb]
26069 %drop%: This verb behaves like %deny%, except that an SMTP connection is
26070 forcibly closed after the 5##'xx' error message has been sent. For example:
26071
26072   drop   message   = I don't take more than 20 RCPTs
26073
26074          condition = ${if > {$rcpt_count}{20}}
26075 +
26076 There is no difference between %deny% and %drop% for the connect-time ACL. The
26077 connection is always dropped after sending a 550 response.
26078
26079 - cindex:[%require%, ACL verb]
26080 %require%: If all the conditions are met, control is passed to the next ACL
26081 statement. If any of the conditions are not met, the ACL returns ``deny''. For
26082 example, when checking a RCPT command,
26083
26084   require verify = sender
26085 +
26086 passes control to subsequent statements only if the message's sender can be
26087 verified. Otherwise, it rejects the command.
26088
26089 - cindex:[%warn%, ACL verb]
26090 %warn%: If all the conditions are met, a header line is added to an incoming
26091 message and/or a line is written to Exim's main log. In all cases, control
26092 passes to the next ACL statement. The text of the added header line and the log
26093 line are specified by modifiers; if they are not present, a %warn% verb just
26094 checks its conditions and obeys any ``immediate'' modifiers such as %set% and
26095 %logwrite%. There is more about adding header lines in section
26096 <<SECTaddheadwarn>>.
26097 +
26098 If any condition on a %warn% statement cannot be completed (that is, there is
26099 some sort of defer), no header lines are added and the configured log line is
26100 not written. No further conditions or modifiers in the %warn% statement are
26101 processed. The incident is logged, but the ACL continues to be processed, from
26102 the next statement onwards.
26103 +
26104 If a %message% modifier is present on a %warn% verb in an ACL that is not
26105 testing an incoming message, it is ignored, and the incident is logged.
26106 +
26107 A %warn% statement may use the %log_message% modifier to cause a line to be
26108 written to the main log when the statement's conditions are true.
26109 If an identical log line is requested several times in the same message, only
26110 one copy is actually written to the log. If you want to force duplicates to be
26111 written, use the %logwrite% modifier instead.
26112 +
26113 cindex:[$acl_verify_message$]
26114 When one of the %warn% conditions is an address verification that fails, the
26115 text of the verification failure message is in $acl_verify_message$. If you
26116 want this logged, you must set it up explicitly. For example:
26117
26118   warn   !verify = sender
26119           log_message = sender verify failed: $acl_verify_message
26120
26121 At the end of each ACL there is an implicit unconditional %deny%.
26122
26123 As you can see from the examples above, the conditions and modifiers are
26124 written one to a line, with the first one on the same line as the verb, and
26125 subsequent ones on following lines. If you have a very long condition, you can
26126 continue it onto several physical lines by the usual backslash continuation
26127 mechanism. It is conventional to align the conditions vertically.
26128
26129
26130
26131 [[SECTaclvariables]]
26132 ACL variables
26133 ~~~~~~~~~~~~~
26134 cindex:[{ACL},variables]
26135 There are some special variables that can be set during ACL processing. They
26136 can be used to pass information between different ACLs, different invocations
26137 of the same ACL in the same SMTP connection, and between ACLs and the routers,
26138 transports, and filters that are used to deliver a message. There are two sets
26139 of these variables:
26140
26141 - The values of $acl_c0$ to $acl_c9$ persist throughout an SMTP connection.
26142 They are never reset. Thus, a value that is set while receiving one message is
26143 still available when receiving the next message on the same SMTP connection.
26144
26145 - The values of $acl_m0$ to $acl_m9$ persist only while a message is being
26146 received. They are reset afterwards. They are also reset by MAIL, RSET,
26147 EHLO, HELO, and after starting up a TLS session.
26148
26149 When a message is accepted, the current values of all the ACL variables are
26150 preserved with the message and are subsequently made available at delivery
26151 time. The ACL variables are set by modifier called %set%. For example:
26152
26153   accept hosts = whatever
26154          set acl_m4 = some value
26155
26156 *Note*: a leading dollar sign is not used when naming a variable that is to
26157 be set. If you want to set a variable without taking any action, you can use a
26158 %warn% verb without any other modifiers or conditions.
26159
26160
26161
26162 Condition and modifier processing
26163 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
26164 cindex:[{ACL},conditions; processing]
26165 cindex:[{ACL},modifiers; processing]
26166 An exclamation mark preceding a condition negates its result. For example:
26167
26168   deny   domains = *.dom.example
26169         !verify = recipient
26170
26171 [revisionflag="changed"]
26172 causes the ACL to return ``deny'' if the recipient domain ends in 'dom.example'
26173 and the recipient address cannot be verified. Sometimes negation can be used on
26174 the right-hand side of a condition. For example, these two statements are
26175 equivalent:
26176
26177 [revisionflag="changed"]
26178 ....
26179 deny  hosts = !192.168.3.4
26180 deny !hosts =  192.168.3.4
26181 ....
26182
26183 [revisionflag="changed"]
26184 However, for many conditions (%verify% being a good example), only left-hand
26185 side negation of the whole condition is possible.
26186
26187 The arguments of conditions and modifiers are expanded. A forced failure
26188 of an expansion causes a condition to be ignored, that is, it behaves as if the
26189 condition is true. Consider these two statements:
26190
26191 ....
26192 accept  senders = ${lookup{$host_name}lsearch\
26193                   {/some/file}{$value}fail}
26194 accept  senders = ${lookup{$host_name}lsearch\
26195                   {/some/file}{$value}{}}
26196 ....
26197
26198 Each attempts to look up a list of acceptable senders. If the lookup succeeds,
26199 the returned list is searched, but if the lookup fails the behaviour is
26200 different in the two cases. The %fail% in the first statement causes the
26201 condition to be ignored, leaving no further conditions. The %accept% verb
26202 therefore succeeds. The second statement, however, generates an empty list when
26203 the lookup fails. No sender can match an empty list, so the condition fails,
26204 and therefore the %accept% also fails.
26205
26206 ACL modifiers appear mixed in with conditions in ACL statements. Some of them
26207 specify actions that are taken as the conditions for a statement are checked;
26208 others specify text for messages that are used when access is denied or a
26209 warning is generated. The %control% modifier affects the way an incoming
26210 message is handled.
26211
26212 The positioning of the modifiers in an ACL statement important, because the
26213 processing of a verb ceases as soon as its outcome is known. Only those
26214 modifiers that have already been encountered will take effect. For example,
26215 consider this use of the %message% modifier:
26216
26217   require message = Can't verify sender
26218           verify  = sender
26219           message = Can't verify recipient
26220           verify  = recipient
26221           message = This message cannot be used
26222
26223 If sender verification fails, Exim knows that the result of the statement is
26224 ``deny'', so it goes no further. The first %message% modifier has been seen, so
26225 its text is used as the error message. If sender verification succeeds, but
26226 recipient verification fails, the second message is used. If recipient
26227 verification succeeds, the third message becomes ``current'', but is never used
26228 because there are no more conditions to cause failure.
26229
26230 For the %deny% verb, on the other hand, it is always the last %message%
26231 modifier that is used, because all the conditions must be true for rejection to
26232 happen. Specifying more than one %message% modifier does not make sense, and
26233 the message can even be specified after all the conditions. For example:
26234
26235   deny   hosts = ...
26236         !senders = *@my.domain.example
26237          message = Invalid sender from client host
26238
26239 The ``deny'' result does not happen until the end of the statement is reached,
26240 by which time Exim has set up the message.
26241
26242
26243
26244 [[SECTACLmodi]]
26245 ACL modifiers
26246 ~~~~~~~~~~~~~
26247 cindex:[{ACL},modifiers; list of]
26248 The ACL modifiers are as follows:
26249
26250 *control*~=~<'text'>::
26251 cindex:[%control%, ACL modifier]
26252 This modifier affects the subsequent processing of the SMTP connection or of an
26253 incoming message that is accepted. The effect of the first type of control
26254 lasts for the duration of the connection, whereas the effect of the second type
26255 lasts only until the current message has been received. The message-specific
26256 controls always apply to the whole message, not to individual recipients,
26257 even if the %control% modifier appears in a RCPT ACL.
26258 +
26259 As there are now quite a few controls that can be applied, they are described
26260 separately in section <<SECTcontrols>>. The %control% modifier can be used in
26261 several different ways. For example:
26262 +
26263 - It can be at the end of an %accept% statement:
26264 +
26265 ....
26266    accept  ...some conditions
26267            control = queue_only
26268 ....
26269 +
26270 In this case, the control is applied when this statement yields ``accept'', in
26271 other words, when the conditions are all true.
26272
26273 - It can be in the middle of an %accept% statement:
26274 +
26275 ....
26276    accept  ...some conditions...
26277            control = queue_only
26278            ...some more conditions...
26279 ....
26280 +
26281 If the first set of conditions are true, the control is applied, even if the
26282 statement does not accept because one of the second set of conditions is false.
26283 In this case, some subsequent statement must yield ``accept'' for the control to
26284 be relevant.
26285
26286 - It can be used with %warn% to apply the control, leaving the
26287 decision about accepting or denying to a subsequent verb. For
26288 example:
26289 +
26290 ....
26291    warn    ...some conditions...
26292            control = freeze
26293    accept  ...
26294 ....
26295 +
26296 This example of %warn% does not contain %message%, %log_message%, or
26297 %logwrite%, so it does not add anything to the message and does not write a log
26298 entry.
26299
26300 - If you want to apply a control unconditionally, you can use it with a
26301 %require% verb. For example:
26302 +
26303 ....
26304    require  control = no_multiline_response
26305 ....
26306
26307 ///
26308 End of bulleted list, continue with variable list
26309 ///
26310
26311
26312 *delay*~=~<'time'>::
26313 cindex:[%delay%, ACL modifier]
26314 cindex:[%-bh% option]
26315 This modifier causes Exim to wait for the time interval before proceeding. The
26316 time is given in the usual Exim notation. This modifier may appear in any ACL.
26317 The delay happens as soon as the modifier is processed. However, when testing
26318 Exim using the %-bh% option, the delay is not actually imposed (an appropriate
26319 message is output instead).
26320 +
26321 Like %control%, %delay% can be used with %accept% or
26322 %deny%, for example:
26323
26324   deny    ...some conditions...
26325           delay = 30s
26326 +
26327 The delay happens if all the conditions are true, before the statement returns
26328 ``deny''. Compare this with:
26329
26330   deny    delay = 30s
26331           ...some conditions...
26332 +
26333 which waits for 30s before processing the conditions. The %delay% modifier can
26334 also be used with %warn% and together with %control%:
26335
26336   warn    ...some conditions...
26337           delay = 2m
26338           control = freeze
26339   accept  ...
26340
26341 *endpass*::
26342 cindex:[%endpass%, ACL modifier]
26343 This modifier, which has no argument, is recognized only in %accept%
26344 statements. It marks the boundary between the conditions whose failure causes
26345 control to pass to the next statement, and the conditions whose failure causes
26346 the ACL to return ``deny''. See the description of %accept% above.
26347
26348 *log_message*~=~<'text'>::
26349 cindex:[%log_message%, ACL modifier]
26350 This modifier sets up a message that is used as part of the log message if the
26351 ACL denies access or a %warn% statement's conditions are true. For example:
26352
26353   require log_message = wrong cipher suite $tls_cipher
26354           encrypted   = DES-CBC3-SHA
26355 +
26356 %log_message% adds to any underlying error message that may exist because of
26357 the condition failure. For example, while verifying a recipient address, a
26358 ':fail:' redirection might have already set up a message. Although the message
26359 is usually defined before the conditions to which it applies, the expansion
26360 does not happen until Exim decides that access is to be denied. This means that
26361 any variables that are set by the condition are available for inclusion in the
26362 message. For example, the $dnslist_$<'xxx'> variables are set after a DNS
26363 black list lookup succeeds. If the expansion of %log_message% fails, or if the
26364 result is an empty string, the modifier is ignored.
26365 +
26366 cindex:[$acl_verify_message$]
26367 If you want to use a %warn% statement to log the result of an address
26368 verification, you can use $acl_verify_message$ to include the verification
26369 error message.
26370 +
26371 If %log_message% is used with a %warn% statement, ``Warning:'' is added to the
26372 start of the logged message. If the same warning log message is requested more
26373 than once while receiving  a single email message, only one copy is actually
26374 logged. If you want to log multiple copies, use %logwrite% instead of
26375 %log_message%. In the absence of %log_message% and %logwrite%, nothing is
26376 logged for a succesful %warn% statement.
26377 +
26378 If %log_message% is not present and there is no underlying error message (for
26379 example, from the failure of address verification), but %message% is present,
26380 the %message% text is used for logging rejections. However, if any text for
26381 logging contains newlines, only the first line is logged. In the absence of
26382 both %log_message% and %message%, a default built-in message is used for
26383 logging rejections.
26384
26385 *logwrite*~=~<'text'>::
26386 cindex:[%logwrite%, ACL modifier]
26387 cindex:[logging in ACL, immediate]
26388 This modifier writes a message to a log file as soon as it is encountered when
26389 processing an ACL. (Compare %log_message%, which, except in the case of
26390 %warn%, is used only if the ACL statement denies access.) The %logwrite%
26391 modifier can be used to log special incidents in ACLs. For example:
26392
26393   accept <some special conditions>
26394          control  = freeze
26395          logwrite = froze message because ...
26396 +
26397 By default, the message is written to the main log. However, it may begin
26398 with a colon, followed by a comma-separated list of log names, and then
26399 another colon, to specify exactly which logs are to be written. For
26400 example:
26401
26402   logwrite = :main,reject: text for main and reject logs
26403   logwrite = :panic: text for panic log only
26404
26405 *message*~=~<'text'>::
26406 cindex:[%message%, ACL modifier]
26407 This modifier sets up a text string that is expanded and used as an error
26408 message if the current statement causes the ACL to deny access. The expansion
26409 happens at the time Exim decides that access is to be denied, not at the time
26410 it processes %message%. If the expansion fails, or generates an empty string,
26411 the modifier is ignored. For ACLs that are triggered by SMTP commands, the
26412 message is returned as part of the SMTP error response.
26413 +
26414 The %message% modifier is also used with the %warn% verb to specify one or more
26415 header lines to be added to an incoming message when all the conditions are
26416 true. See section <<SECTaddheadwarn>> for more details. If %message% is used
26417 with %warn% in an ACL that is not concerned with receiving a message, it has no
26418 effect.
26419 +
26420 The text is literal; any quotes are taken as literals, but because the string
26421 is expanded, backslash escapes are processed anyway. If the message contains
26422 newlines, this gives rise to a multi-line SMTP response. Like %log_message%,
26423 the contents of %message% are not expanded until after a condition has failed.
26424 +
26425 cindex:[$acl_verify_message$]
26426 If %message% is used on a statement that verifies an address, the message
26427 specified overrides any message that is generated by the verification process.
26428 However, the original message is available in the variable
26429 $acl_verify_message$, so you can incorporate it into your message if you wish.
26430 In particular, if you want the text from %:fail:% items in ^redirect^ routers
26431 to be passed back as part of the SMTP response, you should either not use a
26432 %message% modifier, or make use of $acl_verify_message$.
26433
26434 *set*~<'acl_name'>~=~<'value'>::
26435 cindex:[%set%, ACL modifier]
26436 This modifier puts a value into one of the ACL variables (see section
26437 <<SECTaclvariables>>).
26438
26439
26440
26441 [[SECTcontrols]]
26442 Use of the control modifier
26443 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
26444 cindex:[%control%, ACL modifier]
26445 The %control% modifier supports the following settings:
26446
26447 *control~=~caseful_local_part*::
26448 See below.
26449
26450 *control~=~caselower_local_part*::
26451 cindex:[{ACL},case of local part in]
26452 cindex:[case of local parts]
26453 cindex:[$local_part$]
26454 These two controls are permitted only in the ACL specified by %acl_smtp_rcpt%
26455 (that is, during RCPT processing). By default, the contents of $local_part$ are
26456 lower cased before ACL processing. If ``caseful_local_part'' is specified, any
26457 uppercase letters in the original local part are restored in $local_part$ for
26458 the rest of the ACL, or until a control that sets ``caselower_local_part'' is
26459 encountered.
26460 +
26461 These controls affect only the current recipient. Moreover, they apply only to
26462 local part handling that takes place directly in the ACL (for example, as a key
26463 in lookups). If a test to verify the recipient is obeyed, the case-related
26464 handling of the local part during the verification is controlled by the router
26465 configuration (see the %caseful_local_part% generic router option).
26466 +
26467 This facility could be used, for example, to add a spam score to local parts
26468 containing upper case letters. For example, using $acl_m4$ to accumulate the
26469 spam score:
26470 +
26471 ....
26472 warn  control = caseful_local_part
26473       set acl_m4 = ${eval:\
26474                      $acl_m4 + \
26475                      ${if match{$local_part}{[A-Z]}{1}{0}}\
26476                     }
26477       control = caselower_local_part
26478 ....
26479 +
26480 Notice that we put back the lower cased version afterwards, assuming that
26481 is what is wanted for subsequent tests.
26482
26483 *control~=~enforce_sync*::
26484 See below.
26485
26486 *control~=~no_enforce_sync*::
26487 cindex:[SMTP,synchronization checking]
26488 cindex:[synchronization checking in SMTP]
26489 These controls make it possible to be selective about when SMTP synchronization
26490 is enforced. The global option %smtp_enforce_sync% specifies the initial
26491 state of the switch (it is true by default). See the description of this option
26492 in chapter <<CHAPmainconfig>> for details of SMTP synchronization checking.
26493 +
26494 The effect of these two controls lasts for the remainder of the SMTP
26495 connection. They can appear in any ACL except the one for the non-SMTP
26496 messages. The most straightforward place to put them is in the ACL defined by
26497 %acl_smtp_connect%, which is run at the start of an incoming SMTP connection,
26498 before the first synchronization check. The expected use is to turn off the
26499 synchronization checks for badly-behaved hosts that you nevertheless need to
26500 work with.
26501
26502
26503 [revisionflag="changed"]
26504 *control~=~fakedefer/*<'message'>::
26505 cindex:[fake defer]
26506 cindex:[defer,fake]
26507 This control works in exactly the same way as %fakereject% (described below)
26508 except that it causes an SMTP 450 response after the message data instead of a
26509 550 response. You must take care when using %fakedefer% because it causes the
26510 messages to be duplicated when the sender retries. Therefore, you should not
26511 use %fakedefer% if the message is to be delivered normally.
26512
26513
26514 *control~=~fakereject/*<'message'>::
26515 cindex:[fake rejection]
26516 cindex:[rejection, fake]
26517 This control is permitted only for the MAIL, RCPT, and DATA ACLs, in other
26518 words, only when an SMTP message is being received. If Exim accepts the
26519 message, instead the final 250 response, a 550 rejection message is sent.
26520 However, Exim proceeds to deliver the message as normal. The control applies
26521 only to the current message, not to any subsequent ones that may be received in
26522 the same SMTP connection.
26523 +
26524 The text for the 550 response is taken from the %control% modifier. If no
26525 message is supplied, the following is used:
26526
26527   550-Your message has been rejected but is being
26528   550-kept for evaluation.
26529   550-If it was a legitimate message, it may still be
26530   550 delivered to the target recipient(s).
26531 +
26532 This facilty should be used with extreme caution.
26533
26534 *control~=~freeze*::
26535 cindex:[frozen messages,forcing in ACL]
26536 This control is permitted only for the MAIL, RCPT, DATA, and non-SMTP ACLs, in
26537 other words, only when a message is being received. If the message is accepted,
26538 it is placed on Exim's queue and frozen. The control applies only to the
26539 current message, not to any subsequent ones that may be received in the same
26540 SMTP connection.
26541
26542 *control~=~no_mbox_unspool*::
26543 This control is available when Exim is compiled with the content scanning
26544 extension. Content scanning may require a copy of the current message, or parts
26545 of it, to be written in ``mbox format'' to a spool file, for passing to a virus
26546 or spam scanner. Normally, such copies are deleted when they are no longer
26547 needed. If this control is set, the copies are not deleted. The control applies
26548 only to the current message, not to any subsequent ones that may be received in
26549 the same SMTP connection. It is provided for debugging purposes and is unlikely
26550 to be useful in production.
26551
26552 *control~=~no_multiline_response*::
26553 cindex:[multiline responses, suppressing]
26554 This control is permitted for any ACL except the one for non-SMTP messages.
26555 It seems that there are broken clients in use that cannot handle multiline
26556 SMTP responses, despite the fact that RFC 821 defined them over 20 years ago.
26557 +
26558 If this control is set, multiline SMTP responses from ACL rejections are
26559 suppressed. One way of doing this would have been to put out these responses as
26560 one long line. However, RFC 2821 specifies a maximum of 512 bytes per response
26561 (``use multiline responses for more'' it says -- ha!), and some of the responses
26562 might get close to that. So this facility, which is after all only a sop to
26563 broken clients, is implemented by doing two very easy things:
26564 +
26565 --
26566 . Extra information that is normally output as part of a rejection caused by
26567 sender verification failure is omitted. Only the final line (typically ``sender
26568 verification failed'') is sent.
26569
26570 . If a %message% modifier supplies a multiline response, only the first
26571 line is output.
26572 --
26573 +
26574 The setting of the switch can, of course, be made conditional on the
26575 calling host. Its effect lasts until the end of the SMTP connection.
26576
26577 *control~=~queue_only*::
26578 cindex:[%queue_only%]
26579 cindex:[queueing incoming messages]
26580 This control is permitted only for the MAIL, RCPT, DATA, and non-SMTP ACLs, in
26581 other words, only when a message is being received. If the message is accepted,
26582 it is placed on Exim's queue and left there for delivery by a subsequent queue
26583 runner. No immediate delivery process is started. In other words, it has the
26584 effect as the %queue_only% global option. However, the control applies only to
26585 the current message, not to any subsequent ones that may be received in the
26586 same SMTP connection.
26587
26588 *control~=~submission/*<'options'>::
26589 cindex:[message,submission]
26590 cindex:[submission mode]
26591 This control is permitted only for the MAIL, RCPT, and start of data ACLs (the
26592 latter is the one defined by %acl_smtp_predata%). Setting it tells Exim that
26593 the current message is a submission from a local MUA. In this case, Exim
26594 operates in ``submission mode'', and applies certain fixups to the message if
26595 necessary. For example, it add a 'Date:' header line if one is not present.
26596 This control is not permitted in the %acl_smtp_data% ACL, because that is too
26597 late (the message has already been created).
26598 +
26599 Chapter <<CHAPmsgproc>> describes the processing that Exim applies to messages.
26600 Section <<SECTsubmodnon>> covers the processing that happens in submission mode;
26601 the available options for this control are described there. The control applies
26602 only to the current message, not to any subsequent ones that may be received in
26603 the same SMTP connection.
26604
26605 [revisionflag="changed"]
26606 *control~=~suppress_local_fixups*::
26607 cindex:[submission fixups,suppressing]
26608 This control applies to locally submitted (non TCP/IP) messages, and is the
26609 complement of `control = submission`. It disables the fixups that are normally
26610 applied to locally-submitted messages. Specifically:
26611 +
26612 --
26613 [revisionflag="changed"]
26614 - Any 'Sender:' header line is left alone (in this respect, it is a
26615 dynamic version of %local_sender_retain%).
26616
26617 [revisionflag="changed"]
26618 - No 'Message-ID:', 'From:', or 'Date:' header lines are added.
26619
26620 [revisionflag="changed"]
26621 - There is no check that 'From:' corresponds to the actual sender.
26622 --
26623 +
26624 [revisionflag="changed"]
26625 This feature may be useful when a remotely-originated message is accepted,
26626 passed to some scanning program, and then re-submitted for delivery.
26627
26628 [revisionflag="changed"]
26629 All four possibilities for message fixups can be specified:
26630
26631 [revisionflag="changed"]
26632 - Locally submitted, fixups applied: the default.
26633
26634 [revisionflag="changed"]
26635 - Locally submitted, no fixups applied: use `control = suppress_local_fixups`.
26636
26637 [revisionflag="changed"]
26638 - Remotely submitted, no fixups applied: the default.
26639
26640 [revisionflag="changed"]
26641 - Remotely submitted, fixups applied: use `control = submission`.
26642
26643
26644
26645
26646
26647 [[SECTaddheadwarn]]
26648 Adding header lines with the warn verb
26649 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
26650 cindex:[header lines,adding in an ACL]
26651 cindex:[header lines,position of added lines]
26652 cindex:[%warn%, ACL verb]
26653 cindex:[%message%, ACL modifier]
26654 The %message% modifier can be used on a %warn% statement to add an extra header
26655 line to an incoming message, as in this example:
26656
26657 ....
26658 warn message = X-blacklisted-at: $dnslist_domain
26659      dnslists = sbl.spamhaus.org : \
26660                 dialup.mail-abuse.org
26661 ....
26662
26663 If an identical header line is requested several times (provoked, for example,
26664 by multiple RCPT commands), only one copy is actually added to the message.
26665 If the text of the %message% modifier contains one or more newlines that are
26666 not followed by a space or a tab, it is assumed to contain multiple header
26667 lines. Each one is checked for valid syntax; `X-ACL-Warn:` is added to the
26668 front of any line that is not a valid header line.
26669
26670 By default, new lines are added at the end of the existing header lines.
26671 However, you can specify that any particular header line should be added right
26672 at the start (before all the 'Received:' lines), immediately after the first
26673 block of 'Received:' lines, or immediately before any line that is not a
26674 'Received:' or 'Resent-something:' header.
26675
26676 This is done by specifying ``:at_start:'', ``:after_received:'', or
26677 ``:at_start_rfc:'' (or, for completeness, ``:at_end:'') before the text of the
26678 header line, respectively. (Header text cannot start with a colon, as there has
26679 to be a header name first.) For example:
26680
26681   warn message = :after_received:X-My-Header: something or other...
26682
26683
26684 If more than one header is supplied in a single warn statement, each one is
26685 treated independently and can therefore be placed differently. If you add
26686 more than one line at the start, or after the Received: block, they will
26687 end up in reverse order.
26688
26689 *Warning*: This facility currently applies only to header lines that are
26690 added in an ACL. It does NOT work for header lines that are added in a
26691 system filter or in a router or transport.
26692
26693 [revisionflag="changed"]
26694 cindex:[header lines,added; visibility of]
26695 Header lines that are added by an ACL at MAIL or RCPT time are not visible in
26696 string expansions in ACLs for subsequent RCPT commands or in the
26697 %acl_smtp_predata% ACL. However, they are visible in string expansions in the
26698 ACL that is run after DATA is complete (the %acl_smtp_data% ACL). This is also
26699 true for header lines that are added in the %acl_smtp_predata% ACL. However,
26700 header lines that are added in the %acl_smtp_data% itself are not visible
26701 during that ACL. If a message is rejected after DATA, all added header lines
26702 are included in the entry that is written to the reject log.
26703
26704 If you want to preserve data between MAIL, RCPT, and the
26705 %acl_smtp_predata% ACLs, you can use ACL variables, as described in section
26706 <<SECTaclvariables>>.
26707
26708
26709
26710
26711
26712 [[SECTaclconditions]]
26713 ACL conditions
26714 ~~~~~~~~~~~~~~
26715 cindex:[{ACL},conditions; list of]
26716 Some of conditions listed in this section are available only when Exim is
26717 compiled with the content-scanning extension. They are included here briefly
26718 for completeness. More detailed descriptions can be found in the discussion on
26719 content scanning in chapter <<CHAPexiscan>>.
26720
26721 Not all conditions are relevant in all circumstances. For example, testing
26722 senders and recipients does not make sense in an ACL that is being run as the
26723 result of the arrival of an ETRN command, and checks on message headers can be
26724 done only in the ACLs specified by %acl_smtp_data% and %acl_not_smtp%. You can
26725 use the same condition (with different parameters) more than once in the same
26726 ACL statement. This provides a way of specifying an ``and'' conjunction. The
26727 conditions are as follows:
26728
26729
26730 *acl~=~*<'name~of~acl~or~ACL~string~or~file~name~'>::
26731 cindex:[{ACL},nested]
26732 cindex:[{ACL},indirect]
26733 cindex:[%acl%, ACL condition]
26734 The possible values of the argument are the same as for the %acl_smtp_%##'xxx'
26735 options. The named or inline ACL is run. If it returns ``accept'' the condition
26736 is true; if it returns ``deny'' the condition is false. If it returns
26737 ``defer'', the current ACL returns ``defer'' unless the condition is on a
26738 %warn% verb. In that case, a ``defer'' return makes the condition false. This
26739 means that further processing of the %warn% verb ceases, but processing of the
26740 ACL continues.
26741 +
26742 If the nested %acl% returns ``drop'' and the outer condition denies access, the
26743 connection is dropped. If it returns ``discard'', the verb must be %accept% or
26744 %discard%, and the action is taken immediately -- no further conditions are
26745 tested.
26746 +
26747 ACLs may be nested up to 20 deep; the limit exists purely to catch runaway
26748 loops. This condition allows you to use different ACLs in different
26749 circumstances. For example, different ACLs can be used to handle RCPT commands
26750 for different local users or different local domains.
26751
26752 *authenticated~=~*<'string~list'>::
26753 cindex:[%authenticated%, ACL condition]
26754 cindex:[authentication,ACL checking]
26755 cindex:[{ACL},testing for authentication]
26756 If the SMTP connection is not authenticated, the condition is false. Otherwise,
26757 the name of the authenticator is tested against the list. To test for
26758 authentication by any authenticator, you can set
26759
26760   authenticated = *
26761
26762 *condition~=~*<'string'>::
26763 cindex:[%condition%, ACL condition]
26764 cindex:[customizing,ACL condition]
26765 cindex:[{ACL},customized test]
26766 cindex:[{ACL},testing; customized]
26767 This feature allows you to make up custom conditions. If the result of
26768 expanding the string is an empty string, the number zero, or one of the strings
26769 ``no'' or ``false'', the condition is false. If the result is any non-zero
26770 number, or one of the strings ``yes'' or ``true'', the condition is true. For
26771 any other values, some error is assumed to have occured, and the ACL returns
26772 ``defer''.
26773
26774 *decode~=~*<'location'>::
26775 cindex:[%decode%, ACL condition]
26776 This condition is available only when Exim is compiled with the
26777 content-scanning extension, and it is allowed only the the ACL defined by
26778 %acl_smtp_mime%. It causes the current MIME part to be decoded into a file. For
26779 details, see chapter <<CHAPexiscan>>.
26780
26781 *demime~=~*<'extension~list'>::
26782 cindex:[%demime%, ACL condition]
26783 This condition is available only when Exim is compiled with the
26784 content-scanning extension. Its use is described in section <<SECTdemimecond>>.
26785
26786 *dnslists~=~*<'list~of~domain~names~and~other~data'>::
26787 cindex:[%dnslists%, ACL condition]
26788 cindex:[DNS list,in ACL]
26789 cindex:[black list (DNS)]
26790 cindex:[{ACL},testing a DNS list]
26791 This condition checks for entries in DNS black lists. These are also known as
26792 ``RBL lists'', after the original Realtime Blackhole List, but note that the
26793 use of the lists at 'mail-abuse.org' now carries a charge. There are too many
26794 different variants of this condition to describe briefly here. See sections
26795 <<SECTmorednslists>>--<<SECTmorednslistslast>> for details.
26796
26797 *domains~=~*<'domain~list'>::
26798 cindex:[%domains%, ACL condition]
26799 cindex:[domain,ACL checking]
26800 cindex:[{ACL},testing a recipient domain]
26801 cindex:[$domain_data$]
26802 This condition is relevant only after a RCPT command. It checks that the domain
26803 of the recipient address is in the domain list. If percent-hack processing is
26804 enabled, it is done before this test is done. If the check succeeds with a
26805 lookup, the result of the lookup is placed in $domain_data$ until the next
26806 %domains% test.
26807
26808 *encrypted~=~*<'string~list'>::
26809 cindex:[%encrypted%, ACL condition]
26810 cindex:[encryption,checking in an ACL]
26811 cindex:[{ACL},testing for encryption]
26812 If the SMTP connection is not encrypted, the condition is false. Otherwise, the
26813 name of the cipher suite in use is tested against the list. To test for
26814 encryption without testing for any specific cipher suite(s), set
26815
26816   encrypted = *
26817
26818 *hosts~=~*<'~host~list'>::
26819 cindex:[%hosts%, ACL condition]
26820 cindex:[host,ACL checking]
26821 cindex:[{ACL},testing the client host]
26822 This condition tests that the calling host matches the host list. If you have
26823 name lookups or wildcarded host names and IP addresses in the same host list,
26824 you should normally put the IP addresses first. For example, you could have:
26825
26826   accept hosts = 10.9.8.7 : dbm;/etc/friendly/hosts
26827 +
26828 The reason for this lies in the left-to-right way that Exim processes lists.
26829 It can test IP addresses without doing any DNS lookups, but when it reaches an
26830 item that requires a host name, it fails if it cannot find a host name to
26831 compare with the pattern. If the above list is given in the opposite order, the
26832 %accept% statement fails for a host whose name cannot be found, even if its
26833 IP address is 10.9.8.7.
26834 +
26835 If you really do want to do the name check first, and still recognize the IP
26836 address even if the name lookup fails, you can rewrite the ACL like this:
26837
26838   accept hosts = dbm;/etc/friendly/hosts
26839   accept hosts = 10.9.8.7
26840 +
26841 The default action on failing to find the host name is to assume that the host
26842 is not in the list, so the first %accept% statement fails. The second statement
26843 can then check the IP address.
26844 +
26845 cindex:[$host_data$]
26846 If a %hosts% condition is satisfied by means of a lookup, the result
26847 of the lookup is made available in the $host_data$ variable. This
26848 allows you, for example, to set up a statement like this:
26849
26850   deny  hosts = net-lsearch;/some/file
26851         message = $host_data
26852 +
26853 which gives a custom error message for each denied host.
26854
26855 *local_parts~=~*<'local~part~list'>::
26856 cindex:[%local_parts%, ACL condition]
26857 cindex:[local part,ACL checking]
26858 cindex:[{ACL},testing a local part]
26859 cindex:[$local_part_data$]
26860 This condition is relevant only after a RCPT command. It checks that the local
26861 part of the recipient address is in the list. If percent-hack processing is
26862 enabled, it is done before this test. If the check succeeds with a lookup, the
26863 result of the lookup is placed in $local_part_data$, which remains set until
26864 the next %local_parts% test.
26865
26866 *malware~=~*<'option'>::
26867 cindex:[%malware%, ACL condition]
26868 cindex:[{ACL},virus scanning]
26869 cindex:[{ACL},scanning for viruses]
26870 This condition is available only when Exim is compiled with the
26871 content-scanning extension. It causes the incoming message to be scanned for
26872 viruses. For details, see chapter <<CHAPexiscan>>.
26873
26874 *mime_regex~=~*<'list~of~regular~expressions'>::
26875 cindex:[%mime_regex%, ACL condition]
26876 cindex:[{ACL},testing by regex matching]
26877 This condition is available only when Exim is compiled with the
26878 content-scanning extension, and it is allowed only the the ACL defined by
26879 %acl_smtp_mime%. It causes the current MIME part to be scanned for a match with
26880 any of the regular expressions. For details, see chapter <<CHAPexiscan>>.
26881
26882 [revisionflag="changed"]
26883 *ratelimit~=~*<'parameters'>::
26884 cindex:[rate limiting]
26885 This condition can be used to limit the rate at which a user or host submits
26886 messages. Details are given in section <<SECTratelimiting>>.
26887
26888 *recipients~=~*<'address~list'>::
26889 cindex:[%recipients%, ACL condition]
26890 cindex:[recipient,ACL checking]
26891 cindex:[{ACL},testing a recipient]
26892 This condition is relevant only after a RCPT command. It checks the entire
26893 recipient address against a list of recipients.
26894
26895 *regex~=~*<'list~of~regular~expressions'>::
26896 cindex:[%regex%, ACL condition]
26897 cindex:[{ACL},testing by regex matching]
26898 This condition is available only when Exim is compiled with the
26899 content-scanning extension, and is available only in the DATA, MIME, and
26900 non-SMTP ACLs. It causes the incoming message to be scanned for a match with
26901 any of the regular expressions. For details, see chapter <<CHAPexiscan>>.
26902
26903 *sender_domains~=~*<'domain~list'>::
26904 cindex:[%sender_domains%, ACL condition]
26905 cindex:[sender,ACL checking]
26906 cindex:[{ACL},testing a sender domain]
26907 cindex:[$domain$]
26908 cindex:[$sender_address_domain$]
26909 This condition tests the domain of the sender of the message against the given
26910 domain list. *Note*: the domain of the sender address is in
26911 $sender_address_domain$. It is 'not' put in $domain$ during the testing of this
26912 condition. This is an exception to the general rule for testing domain lists.
26913 It is done this way so that, if this condition is used in an ACL for a RCPT
26914 command, the recipient's domain (which is in $domain$) can be used to influence
26915 the sender checking.
26916 +
26917 [revisionflag="changed"]
26918 *Note*: it is a bad idea to use this condition on its own as a control on
26919 relaying, because sender addresses are easily, and commonly, forged.
26920
26921 *senders~=~*<'address~list'>::
26922 cindex:[%senders%, ACL condition]
26923 cindex:[sender,ACL checking]
26924 cindex:[{ACL},testing a sender]
26925 This condition tests the sender of the message against the given list. To test
26926 for a bounce message, which has an empty sender, set
26927
26928   senders = :
26929 +
26930 [revisionflag="changed"]
26931 *Note*: it is a bad idea to use this condition on its own as a control on
26932 relaying, because sender addresses are easily, and commonly, forged.
26933
26934 *spam~=~*<'username'>::
26935 cindex:[%spam%, ACL condition]
26936 cindex:[{ACL},scanning for spam]
26937 This condition is available only when Exim is compiled with the
26938 content-scanning extension. It causes the incoming message to be scanned by
26939 SpamAssassin. For details, see chapter <<CHAPexiscan>>.
26940
26941 *verify~=~certificate*::
26942 cindex:[%verify%, ACL condition]
26943 cindex:[TLS,client certificate verification]
26944 cindex:[certificate,verification of client]
26945 cindex:[{ACL},certificate verification]
26946 cindex:[{ACL},testing a TLS certificate]
26947 This condition is true in an SMTP session if the session is encrypted, and a
26948 certificate was received from the client, and the certificate was verified. The
26949 server requests a certificate only if the client matches %tls_verify_hosts% or
26950 %tls_try_verify_hosts% (see chapter <<CHAPTLS>>).
26951
26952 [revisionflag="changed"]
26953 *verify~=~csa*::
26954 cindex:[CSA verification]
26955 This condition checks whether the sending host (the client) is authorized to
26956 send email. Details of how this works are given in section
26957 <<SECTverifyCSA>>.
26958
26959 *verify~=~header_sender/*<'options'>::
26960 cindex:[%verify%, ACL condition]
26961 cindex:[{ACL},verifying sender in the header]
26962 cindex:[header lines,verifying the sender in]
26963 cindex:[sender,verifying in header]
26964 cindex:[verifying,sender in header]
26965 This condition is relevant only in an ACL that is run after a message has been
26966 received, that is, in an ACL specified by %acl_smtp_data% or %acl_not_smtp%. It
26967 checks that there is a verifiable address in at least one of the 'Sender:',
26968 'Reply-To:', or 'From:' header lines. Such an address is loosely thought of as
26969 a ``sender'' address (hence the name of the test). However, an address that
26970 appears in one of these headers need not be an address that accepts bounce
26971 messages; only sender addresses in envelopes are required to accept bounces.
26972 Therefore, if you use the callout option on this check, you might want to
26973 arrange for a non-empty address in the MAIL command.
26974 +
26975 Details of address verification and the options are given later, starting at
26976 section <<SECTaddressverification>> (callouts are described in section
26977 <<SECTcallver>>). You can combine this condition with the %senders% condition to
26978 restrict it to bounce messages only:
26979
26980   deny    senders = :
26981           message = A valid sender header is required for bounces
26982          !verify  = header_sender
26983
26984 *verify~=~header_syntax*::
26985 cindex:[%verify%, ACL condition]
26986 cindex:[{ACL},verifying header syntax]
26987 cindex:[header lines,verifying syntax]
26988 cindex:[verifying,header syntax]
26989 This condition is relevant only in an ACL that is run after a message has been
26990 received, that is, in an ACL specified by %acl_smtp_data% or %acl_not_smtp%. It
26991 checks the syntax of all header lines that can contain lists of addresses
26992 ('Sender:', 'From:', 'Reply-To:', 'To:', 'Cc:', and 'Bcc:'). Unqualified
26993 addresses (local parts without domains) are permitted only in locally generated
26994 messages and from hosts that match %sender_unqualified_hosts% or
26995 %recipient_unqualified_hosts%, as appropriate.
26996 +
26997 Note that this condition is a syntax check only. However, a common spamming
26998 ploy used to be to send syntactically invalid headers such as
26999
27000   To: @
27001 +
27002 and this condition can be used to reject such messages, though they are not as
27003 common as they used to be.
27004
27005 [revisionflag="changed"]
27006 *verify~=~helo*::
27007 cindex:[%verify%, ACL condition]
27008 cindex:[{ACL},verifying HELO/EHLO]
27009 cindex:[HELO,verifying]
27010 cindex:[EHLO,verifying]
27011 cindex:[verifying,EHLO]
27012 cindex:[verifying,HELO]
27013 This condition is true if a HELO or EHLO command has been received from the
27014 client host, and its contents have been verified. It there has been no previous
27015 attempt to verify the the HELO/EHLO contents, it is carried out when this
27016 condition is encountered. See the description of the %helo_verify_hosts% and
27017 %helo_try_verify_hosts% options for details of how to request verification
27018 independently of this condition.
27019
27020 [revisionflag="changed"]
27021 *verify~=~not_blind*::
27022 cindex:[verifying,not blind]
27023 cindex:[bcc recipients,verifying none]
27024 This condition checks that there are no blind (bcc) recipients in the message.
27025 Every envelope recipient must appear either in a 'To:' header line or in a
27026 'Cc:' header line for this condition to be true. Local parts are checked
27027 case-sensitively; domains are checked case-insensitively. If 'Resent-To:' or
27028 'Resent-Cc:' header lines exist, they are also checked. This condition can be
27029 used only in a DATA or non-SMTP ACL.
27030 +
27031 [revisionflag="changed"]
27032 There are, of course, many legitimate messages that make use of blind
27033 (bcc) recipients. This check should not be used on its own for blocking
27034 messages.
27035
27036
27037
27038 *verify~=~recipient/*<'options'>::
27039 cindex:[%verify%, ACL condition]
27040 cindex:[{ACL},verifying recipient]
27041 cindex:[recipient,verifying]
27042 cindex:[verifying,recipient]
27043 cindex:[$address_data$]
27044 This condition is relevant only after a RCPT command. It verifies the current
27045 recipient. Details of address verification are given later, starting at section
27046 <<SECTaddressverification>>. After a recipient has been verified, the value of
27047 $address_data$ is the last value that was set while routing the address. This
27048 applies even if the verification fails. When an address that is being verified
27049 is redirected to a single address, verification continues with the new address,
27050 and in that case, the subsequent value of $address_data$ is the value for the
27051 child address.
27052
27053 *verify~=~reverse_host_lookup*::
27054 cindex:[%verify%, ACL condition]
27055 cindex:[{ACL},verifying host reverse lookup]
27056 cindex:[host,verifying reverse lookup]
27057 This condition ensures that a verified host name has been looked up from the IP
27058 address of the client host. (This may have happened already if the host name
27059 was needed for checking a host list, or if the host matched %host_lookup%.)
27060 Verification ensures that the host name obtained from a reverse DNS lookup, or
27061 one of its aliases, does, when it is itself looked up in the DNS, yield the
27062 original IP address.
27063 +
27064 If this condition is used for a locally generated message (that is, when there
27065 is no client host involved), it always succeeds.
27066
27067 *verify~=~sender/*<'options'>::
27068 cindex:[%verify%, ACL condition]
27069 cindex:[{ACL},verifying sender]
27070 cindex:[sender,verifying]
27071 cindex:[verifying,sender]
27072 This condition is relevant only after a MAIL or RCPT command, or after a
27073 message has been received (the %acl_smtp_data% or %acl_not_smtp% ACLs). If the
27074 message's sender is empty (that is, this is a bounce message), the condition is
27075 true. Otherwise, the sender address is verified.
27076 +
27077 cindex:[$address_data$]
27078 cindex:[$sender_address_data$]
27079 If there is data in the $address_data$ variable at the end of routing, its
27080 value is placed in $sender_address_data$ at the end of verification. This
27081 value can be used in subsequent conditions and modifiers in the same ACL
27082 statement. It does not persist after the end of the current statement. If you
27083 want to preserve the value for longer, you can save it in an ACL variable.
27084 +
27085 Details of verification are given later, starting at section
27086 <<SECTaddressverification>>. Exim caches the result of sender verification, to
27087 avoid doing it more than once per message.
27088
27089 *verify~=~sender=*<'address'>*/*<'options'>::
27090 cindex:[%verify%, ACL condition]
27091 This is a variation of the previous option, in which a modified address is
27092 verified as a sender.
27093
27094
27095
27096 [[SECTmorednslists]]
27097 Using DNS lists
27098 ~~~~~~~~~~~~~~~
27099 cindex:[DNS list,in ACL]
27100 cindex:[black list (DNS)]
27101 cindex:[{ACL},testing a DNS list]
27102 In its simplest form, the %dnslists% condition tests whether the calling host
27103 is on at least one of a number of DNS lists by looking up the inverted IP
27104 address in one or more DNS domains. For example, if the calling host's IP
27105 address is 192.168.62.43, and the ACL statement is
27106
27107 ....
27108 deny dnslists = blackholes.mail-abuse.org : \
27109                 dialups.mail-abuse.org
27110 ....
27111
27112 the following records are looked up:
27113
27114   43.62.168.192.blackholes.mail-abuse.org
27115   43.62.168.192.dialups.mail-abuse.org
27116
27117 As soon as Exim finds an existing DNS record, processing of the list stops.
27118 Thus, multiple entries on the list provide an ``or'' conjunction. If you want to
27119 test that a host is on more than one list (an ``and'' conjunction), you can use
27120 two separate conditions:
27121
27122   deny dnslists = blackholes.mail-abuse.org
27123        dnslists = dialups.mail-abuse.org
27124
27125 If a DNS lookup times out or otherwise fails to give a decisive answer, Exim
27126 behaves as if the host does not match the list item, that is, as if the DNS
27127 record does not exist. If there are further items in the DNS list, they are
27128 processed.
27129
27130 This is usually the required action when %dnslists% is used with %deny% (which
27131 is the most common usage), because it prevents a DNS failure from blocking
27132 mail. However, you can change this behaviour by putting one of the following
27133 special items in the list:
27134
27135 cindex:[`+include_unknown`]
27136 cindex:[`+exclude_unknown`]
27137 cindex:[`+defer_unknown`]
27138 &&&
27139 `+include_unknown `   behave as if the item is on the list
27140 `+exclude_unknown `   behave as if the item is not on the list (default)
27141 `+defer_unknown   `   give a temporary error
27142 &&&
27143 Each of these applies to any subsequent items on the list. For example:
27144
27145   deny dnslists = +defer_unknown : foo.bar.example
27146
27147
27148 Testing the list of domains stops as soon as a match is found. If you want to
27149 warn for one list and block for another, you can use two different statements:
27150
27151   deny  dnslists = blackholes.mail-abuse.org
27152   warn  message  = X-Warn: sending host is on dialups list
27153         dnslists = dialups.mail-abuse.org
27154
27155
27156 DNS list lookups are cached by Exim for the duration of the SMTP session,
27157 so a lookup based on the IP address is done at most once for any incoming
27158 connection. Exim does not share information between multiple incoming
27159 connections (but your local name server cache should be active).
27160
27161
27162
27163 Specifying the IP address for a DNS list lookup
27164 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
27165 cindex:[DNS list,keyed by explicit IP address]
27166 By default, the IP address that is used in a DNS list lookup is the IP address
27167 of the calling host. However, you can specify another IP address by listing it
27168 after the domain name, introduced by a slash. For example:
27169
27170   deny dnslists = black.list.tld/192.168.1.2
27171
27172 This feature is not very helpful with explicit IP addresses; it is intended for
27173 use with IP addresses that are looked up, for example, the IP addresses of the
27174 MX hosts or nameservers of an email sender address. For an example, see section
27175 <<SECTmulkeyfor>> below.
27176
27177
27178
27179
27180 DNS lists keyed on domain names
27181 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
27182 cindex:[DNS list,keyed by domain name]
27183 There are some lists that are keyed on domain names rather than inverted IP
27184 addresses (see for example the 'domain based zones' link at
27185 *http://www.rfc-ignorant.org/[]*). No reversing of components is used with
27186 these lists. You can change the name that is looked up in a DNS list by listing
27187 it after the domain name, introduced by a slash. For example,
27188
27189   deny  message  = Sender's domain is listed at $dnslist_domain
27190         dnslists = dsn.rfc-ignorant.org/$sender_address_domain
27191
27192 This particular example is useful only in ACLs that are obeyed after the
27193 RCPT or DATA commands, when a sender address is available. If (for
27194 example) the message's sender is 'user@tld.example' the name that is looked
27195 up by this example is
27196
27197   tld.example.dsn.rfc-ignorant.org
27198
27199 A single %dnslists% condition can contain entries for both names and IP
27200 addresses. For example:
27201
27202 ....
27203 deny dnslists = sbl.spamhaus.org : \
27204                 dsn.rfc-ignorant.org/$sender_address_domain
27205 ....
27206
27207 The first item checks the sending host's IP address; the second checks a domain
27208 name. The whole condition is true if either of the DNS lookups succeeds.
27209
27210
27211
27212
27213 [[SECTmulkeyfor]]
27214 Multiple explicit keys for a DNS list
27215 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
27216 cindex:[DNS list,multiple keys for]
27217 The syntax described above for looking up explicitly-defined values (either
27218 names or IP addresses) in a DNS blacklist is a simplification. After the domain
27219 name for the DNS list, what follows the slash can in fact be a list of items.
27220 As with all lists in Exim, the default separator is a colon. However, because
27221 this is a sublist within the list of DNS blacklist domains, it is necessary
27222 either to double the separators like this:
27223
27224   dnslists = black.list.tld/name.1::name.2
27225
27226 or to change the separator character, like this:
27227
27228   dnslists = black.list.tld/<;name.1;name.2
27229
27230 If an item in the list is an IP address, it is inverted before the DNS
27231 blacklist domain is appended. If it is not an IP address, no inversion
27232 occurs. Consider this condition:
27233
27234   dnslists = black.list.tld/<;192.168.1.2;a.domain
27235
27236 The DNS lookups that occur are:
27237
27238   2.1.168.192.black.list.tld
27239   a.domain.black.list.tld
27240
27241 Once a DNS record has been found (that matches a specific IP return
27242 address, if specified -- see section <<SECTaddmatcon>>), no further lookups are
27243 done. If there is a temporary DNS error, the rest of the sublist of domains or
27244 IP addresses is tried. A temporary error for the whole dnslists item occurs
27245 only if no other DNS lookup in this sublist succeeds. In other words, a
27246 successful lookup for any of the items in the sublist overrides a temporary
27247 error for a previous item.
27248
27249 The ability to supply a list of items after the slash is in some sense just a
27250 syntactic convenience. These two examples have the same effect:
27251
27252   dnslists = black.list.tld/a.domain : black.list.tld/b.domain
27253   dnslists = black.list.tld/a.domain::b.domain
27254
27255 However, when the data for the list is obtained from a lookup, the second form
27256 is usually much more convenient. Consider this example:
27257
27258 ....
27259 deny message  =  The mail servers for the domain \
27260                  $sender_address_domain \
27261                  are listed at $dnslist_domain ($dnslist_value); \
27262                  see $dnslist_text.
27263      dnslists =  sbl.spamhaus.org/<|${lookup dnsdb {>|a=<|\
27264                                     ${lookup dnsdb {>|mxh=\
27265                                     $sender_address_domain} }} }
27266 ....
27267
27268 Note the use of `>|` in the dnsdb lookup to specify the separator for
27269 multiple DNS records. The inner dnsdb lookup produces a list of MX hosts
27270 and the outer dnsdb lookup finds the IP addresses for these hosts. The result
27271 of expanding the condition might be something like this:
27272
27273   dnslists = sbl.spahmaus.org/<|192.168.2.3|192.168.5.6|...
27274
27275 Thus, this example checks whether or not the IP addresses of the sender
27276 domain's mail servers are on the Spamhaus black list.
27277
27278
27279
27280
27281
27282 Data returned by DNS lists
27283 ~~~~~~~~~~~~~~~~~~~~~~~~~~
27284 cindex:[DNS list,data returned from]
27285 DNS lists are constructed using address records in the DNS. The original RBL
27286 just used the address 127.0.0.1 on the right hand side of each record, but the
27287 RBL+ list and some other lists use a number of values with different meanings.
27288 The values used on the RBL+ list are:
27289
27290 &&&
27291 127.1.0.1  RBL
27292 127.1.0.2  DUL
27293 127.1.0.3  DUL and RBL
27294 127.1.0.4  RSS
27295 127.1.0.5  RSS and RBL
27296 127.1.0.6  RSS and DUL
27297 127.1.0.7  RSS and DUL and RBL
27298 &&&
27299
27300 Some DNS lists may return more than one address record.
27301
27302
27303 Variables set from DNS lists
27304 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
27305 cindex:[DNS list,variables set from]
27306 cindex:[$dnslist_domain$]
27307 cindex:[$dnslist_text$]
27308 cindex:[$dnslist_value$]
27309 When an entry is found in a DNS list, the variable $dnslist_domain$
27310 contains the name of the domain that matched, $dnslist_value$ contains the
27311 data from the entry, and $dnslist_text$ contains the contents of any
27312 associated TXT record. If more than one address record is returned by the DNS
27313 lookup, all the IP addresses are included in $dnslist_value$, separated by
27314 commas and spaces.
27315
27316 You can use these variables in %message% or %log_message% modifiers --
27317 although these appear before the condition in the ACL, they are not expanded
27318 until after it has failed. For example:
27319
27320 ....
27321 deny    hosts = !+local_networks
27322         message = $sender_host_address is listed \
27323                   at $dnslist_domain
27324         dnslists = rbl-plus.mail-abuse.example
27325 ....
27326
27327
27328
27329
27330 [[SECTaddmatcon]]
27331 Additional matching conditions for DNS lists
27332 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
27333 cindex:[DNS list,matching specific returned data]
27334 You can add an equals sign and an IP address after a %dnslists% domain name in
27335 order to restrict its action to DNS records with a matching right hand side.
27336 For example,
27337
27338   deny dnslists = rblplus.mail-abuse.org=127.0.0.2
27339
27340 rejects only those hosts that yield 127.0.0.2. Without this additional data,
27341 any address record is considered to be a match. If more than one address record
27342 is found on the list, they are all checked for a matching right-hand side.
27343
27344 More than one IP address may be given for checking, using a comma as a
27345 separator. These are alternatives -- if any one of them matches, the %dnslists%
27346 condition is true. For example:
27347
27348   deny  dnslists = a.b.c=127.0.0.2,127.0.0.3
27349
27350
27351 If you want to specify a constraining address list and also specify names or IP
27352 addresses to be looked up, the constraining address list must be specified
27353 first. For example:
27354
27355 ....
27356 deny dnslists = dsn.rfc-ignorant.org\
27357                 =127.0.0.2/$sender_address_domain
27358 ....
27359
27360
27361 If the character ``&'' is used instead of ``='', the comparison for each listed
27362 IP address is done by a bitwise ``and'' instead of by an equality test. In
27363 other words, the listed addresses are used as bit masks. The comparison is
27364 true if all the bits in the mask are present in the address that is being
27365 tested. For example:
27366
27367   dnslists = a.b.c&0.0.0.3
27368
27369 matches if the address is 'x.x.x.'3, 'x.x.x.'7, 'x.x.x.'11, etc. If you
27370 want to test whether one bit or another bit is present (as opposed to both
27371 being present), you must use multiple values. For example:
27372
27373   dnslists = a.b.c&0.0.0.1,0.0.0.2
27374
27375 matches if the final component of the address is an odd number or two times
27376 an odd number.
27377
27378
27379
27380 Negated DNS matching conditions
27381 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
27382 You can supply a negative list of IP addresses as part of a %dnslists%
27383 condition. Whereas
27384
27385   deny  dnslists = a.b.c=127.0.0.2,127.0.0.3
27386
27387 means ``deny if the host is in the black list at the domain 'a.b.c' and the IP
27388 address yielded by the list is either 127.0.0.2 or 127.0.0.3'',
27389
27390   deny  dnslists = a.b.c!=127.0.0.2,127.0.0.3
27391
27392 means ``deny if the host is in the black list at the domain 'a.b.c' and the IP
27393 address yielded by the list is not 127.0.0.2 and not 127.0.0.3''. In other
27394 words, the result of the test is inverted if an exclamation mark appears before
27395 the ``='' (or the ``&'') sign.
27396
27397 *Note*: this kind of negation is not the same as negation in a domain,
27398 host, or address list (which is why the syntax is different).
27399
27400 If you are using just one list, the negation syntax does not gain you much. The
27401 previous example is precisely equivalent to
27402
27403   deny  dnslists = a.b.c
27404        !dnslists = a.b.c=127.0.0.2,127.0.0.3
27405
27406 However, if you are using multiple lists, the negation syntax is clearer.
27407 Consider this example:
27408
27409 ....
27410 deny  dnslists = sbl.spamhaus.org : \
27411                  list.dsbl.org : \
27412                  dnsbl.njabl.org!=127.0.0.3 : \
27413                  relays.ordb.org
27414 ....
27415
27416 Using only positive lists, this would have to be:
27417
27418 ....
27419 deny  dnslists = sbl.spamhaus.org : \
27420                  list.dsbl.org
27421 deny  dnslists = dnsbl.njabl.org
27422      !dnslists = dnsbl.njabl.org=127.0.0.3
27423 deny  dnslists = relays.ordb.org
27424 ....
27425
27426 which is less clear, and harder to maintain.
27427
27428
27429
27430
27431 [[SECTmorednslistslast]]
27432 DNS lists and IPv6
27433 ~~~~~~~~~~~~~~~~~~
27434 cindex:[IPv6,DNS black lists]
27435 cindex:[DNS list,IPv6 usage]
27436 If Exim is asked to do a dnslist lookup for an IPv6 address, it inverts it
27437 nibble by nibble. For example, if the calling host's IP address is
27438 3ffe:ffff:836f:0a00:000a:0800:200a:c031, Exim might look up
27439
27440   1.3.0.c.a.0.0.2.0.0.8.0.a.0.0.0.0.0.a.0.f.6.3.8.
27441     f.f.f.f.e.f.f.3.blackholes.mail-abuse.org
27442
27443 (split over two lines here to fit on the page). Unfortunately, some of the DNS
27444 lists contain wildcard records, intended for IPv4, that interact badly with
27445 IPv6. For example, the DNS entry
27446
27447   *.3.some.list.example.    A    127.0.0.1
27448
27449 is probably intended to put the entire 3.0.0.0/8 IPv4 network on the list.
27450 Unfortunately, it also matches the entire 3::/4 IPv6 network.
27451
27452 You can exclude IPv6 addresses from DNS lookups by making use of a suitable
27453 %condition% condition, as in this example:
27454
27455   deny   condition = ${if isip4{$sender_host_address}}
27456          dnslists  = some.list.example
27457
27458
27459
27460 [[SECTratelimiting]]
27461 Rate limiting senders
27462 ~~~~~~~~~~~~~~~~~~~~~
27463 [revisionflag="changed"]
27464 cindex:[rate limiting,client sending]
27465 cindex:[limiting client sending rates]
27466 oindex:[%smpt_ratelimit_*%]
27467 The %ratelimit% ACL condition can be used to measure and control the rate at
27468 which clients can send email. This is more powerful than the %smtp_ratelimit_*%
27469 options, because those options control the rate of commands in a single SMTP
27470 session only, whereas the %ratelimit% condition works across all connections
27471 (concurrent and sequential) from the same client host. There's a script in
27472 _util/ratelimit.pl_ which extracts sending rates from log files, to assist with
27473 choosing appropriate settings when deploying the %ratelimit% ACL condition.
27474 The syntax of the %ratelimit% condition is:
27475
27476 [revisionflag="changed"]
27477 &&&
27478 `ratelimit =` <'m'> `/` <'p'> `/` <'options'> `/` <'key'>
27479 &&&
27480
27481 [revisionflag="changed"]
27482 If the average client sending rate is less than 'm' messages per time
27483 period 'p' then the condition is false; otherwise it is true.
27484
27485 [revisionflag="changed"]
27486 The parameter 'p' is the smoothing time constant, in the form of an Exim
27487 time interval, for example, `8h` for eight hours. A larger time constant means
27488 that it takes Exim longer to forget a client's past behaviour. The parameter
27489 'm' is the maximum number of messages that a client is permitted to send in a
27490 fast burst. By increasing both 'm' and 'p' but keeping 'm/p' constant, you can
27491 allow a client to send more messages in a burst without changing its overall
27492 sending rate limit. Conversely, if 'm' and 'p' are both small, messages must be
27493 sent at an even rate.
27494
27495 [revisionflag="changed"]
27496 The key is used to look up the data for calculating the client's average
27497 sending rate. This data is stored in a database maintained by Exim in its spool
27498 directory, alongside the retry and other hints databases. You can limit the
27499 sending rate of each authenticated user, independent of the computer they are
27500 sending from, by setting the key to $authenticated_id$. The default key is
27501 $sender_host_address$, which applies the limit to the client host, independent
27502 of the sender.
27503
27504 [revisionflag="changed"]
27505 Internally, Exim includes the smoothing constant 'p' and the options in the
27506 lookup key because they alter the meaning of the stored data. This is not true
27507 for the limit 'm', so you can alter the configured maximum rate and Exim will
27508 still remember clients' past behaviour, but if you alter the other ratelimit
27509 parameters Exim forgets past behaviour.
27510
27511 [revisionflag="changed"]
27512 Each %ratelimit% condition can have up to two options. The first option
27513 specifies what Exim measures the rate of, and the second specifies how Exim
27514 handles excessively fast clients. The options are separated by a slash, like
27515 the other parameters.
27516
27517 [revisionflag="changed"]
27518 The %per_conn% option limits the client's connection rate. The %per_mail%
27519 option limits the client's rate of sending messages. This is the default if
27520 none of the %per_*% options is specified.
27521
27522 [revisionflag="changed"]
27523 The %per_byte% option limits the sender's email bandwidth. Note that it is best
27524 to use this option in the DATA ACL; if it is used in an earlier ACL it relies
27525 on the SIZE parameter on the MAIL command, which may be inaccurate or
27526 completely missing. You can follow the limit 'm' in the configuration with K,
27527 M, or G to specify limits in kilobytes, megabytes, or gigabytes, respectively.
27528
27529 [revisionflag="changed"]
27530 The %per_cmd% option causes Exim to recompute the rate every time the condition
27531 is processed. This can be used to limit the SMTP command rate. The alias
27532 %per_rcpt% is provided for use in the RCPT ACL instead of %per_cmd% to make it
27533 clear that the effect is to limit the rate at which recipients are accepted.
27534 Note that in this case the rate limiting engine will see a message with many
27535 recipients as a large high-speed burst.
27536
27537 [revisionflag="changed"]
27538 If a client's average rate is greater than the maximum, the rate limiting
27539 engine can react in two possible ways, depending on the presence of the
27540 %strict% or %leaky% options. This is independent of the other counter-measures
27541 (such as rejecting the message) that may be specified by the rest of the ACL.
27542 The default mode is leaky, which avoids a sender's over-aggressive retry rate
27543 preventing it from getting any email through.
27544
27545 [revisionflag="changed"]
27546 The %strict% option means that the client's recorded rate is always updated.
27547 The effect of this is that Exim measures the client's average rate of attempts
27548 to send email, which can be much higher than the maximum. If the client is over
27549 the limit it will be subjected to counter-measures until it slows down below
27550 the maximum rate. The smoothing period determines the time it takes for a high
27551 sending rate to decay exponentially to 37% of its peak value, which means that
27552 you can work out the time (the number of smoothing periods) that a client is
27553 subjected to counter-measures after an over-limit burst with this formula:
27554
27555   ln(peakrate/maxrate)
27556
27557 [revisionflag="changed"]
27558 The %leaky% option means that the client's recorded rate is not updated if it
27559 is above the limit. The effect of this is that Exim measures the client's
27560 average rate of successfully sent email, which cannot be greater than the
27561 maximum. If the client is over the limit it will suffer some counter-measures,
27562 but it will still be able to send email at the configured maximum rate,
27563 whatever the rate of its attempts.
27564
27565 [revisionflag="changed"]
27566 As a side-effect, the %ratelimit% condition sets the expansion variable
27567 $sender_rate$ to the client's computed rate, $sender_rate_limit$ to the
27568 configured value of 'm', and $sender_rate_period$ to the configured value of
27569 'p'.
27570
27571 [revisionflag="changed"]
27572 Exim's other ACL facilities are used to define what counter-measures are taken
27573 when the rate limit is exceeded. This might be anything from logging a warning
27574 (for example, while measuring existing sending rates in order to define
27575 policy), through time delays to slow down fast senders, up to rejecting the
27576 message. For example:
27577
27578 [revisionflag="changed"]
27579 ....
27580 # Log all senders' rates
27581 warn
27582   ratelimit = 0 / 1h / strict
27583   log_message = Sender rate $sender_rate / $sender_rate_period
27584
27585 # Slow down fast senders
27586 warn
27587   ratelimit = 100 / 1h / per_rcpt / strict
27588   delay     = ${eval: $sender_rate - $sender_rate_limit }s
27589
27590 # Keep authenticated users under control
27591 deny
27592   ratelimit = 100 / 1d / strict / $authenticated_id
27593
27594 # System-wide rate limit
27595 defer
27596   message = Sorry, too busy. Try again later.
27597   ratelimit = 10 / 1s / $primary_hostname
27598
27599 # Restrict incoming rate from each host, with a default
27600 # set using a macro and special cases looked up in a table.
27601 defer
27602   message = Sender rate exceeds $sender_rate_limit \
27603             messages per $sender_rate_period
27604   ratelimit = ${lookup {$sender_host_address} \
27605                 cdb {DB/ratelimits.cdb} \
27606                 {$value} {RATELIMIT} }
27607 ....
27608
27609 [revisionflag="changed"]
27610 *Warning*: if you have a busy server with a lot of %ratelimit% tests,
27611 especially with the %per_rcpt% option, you may suffer from a performance
27612 bottleneck caused by locking on the ratelimit hints database. Apart from
27613 making your ACLs less complicated, you can reduce the problem by using a
27614 RAM disk for Exim's hints directory (usually _/var/spool/exim/db/_). However
27615 this means that Exim will lose its hints data after a reboot (including retry
27616 hints, the callout cache, and ratelimit data).
27617
27618
27619
27620 [[SECTaddressverification]]
27621 Address verification
27622 ~~~~~~~~~~~~~~~~~~~~
27623 cindex:[verifying address, options for]
27624 cindex:[policy control,address verification]
27625 Several of the %verify% conditions described in section <<SECTaclconditions>>
27626 cause addresses to be verified. These conditions can be followed by options
27627 that modify the verification process. The options are separated from the
27628 keyword and from each other by slashes, and some of them contain parameters.
27629 For example:
27630
27631   verify = sender/callout
27632   verify = recipient/defer_ok/callout=10s,defer_ok
27633
27634 The first stage of address verification, which always happens, is to run the
27635 address through the routers, in ``verify mode''. Routers can detect the
27636 difference between verification and routing for delivery, and their actions can
27637 be varied by a number of generic options such as %verify% and %verify_only%
27638 (see chapter <<CHAProutergeneric>>). If routing fails, verification fails.
27639 The available options are as follows:
27640
27641 - If the %callout% option is specified, successful routing to one or more remote
27642 hosts is followed by a ``callout'' to those hosts as an additional check.
27643 Callouts and their sub-options are discussed in the next section.
27644
27645 - If there is a defer error while doing verification routing, the ACL
27646 normally returns ``defer''. However, if you include %defer_ok% in the options,
27647 the condition is forced to be true instead. Note that this is a main
27648 verification option as well as a suboption for callouts.
27649
27650 - The %no_details% option is covered in section <<SECTsenaddver>>, which
27651 discusses the reporting of sender address verification failures.
27652
27653 [revisionflag="changed"]
27654 - The %success_on_redirect% option causes verification always to succeed
27655 immediately after a successful redirection. By default, if a redirection
27656 generates just one address, that address is also verified. See further
27657 discussion in section <<SECTredirwhilveri>>.
27658
27659 [revisionflag="changed"]
27660 cindex:[verifying address, differentiating failures]
27661 cindex:[$recipient_verify_failure$]
27662 cindex:[$sender_verify_failure$]
27663 cindex:[$acl_verify_message$]
27664 After an address verification failure, $acl_verify_message$ contains the error
27665 message that is associated with the failure. It can be preserved by coding like
27666 this:
27667
27668   warn  !verify = sender
27669          set acl_m0 = $acl_verify_message
27670
27671 [revisionflag="changed"]
27672 If you are writing your own custom rejection message or log message when
27673 denying access, you can use this variable to include information about the
27674 verification failure.
27675
27676 In addition, $sender_verify_failure$ or $recipient_verify_failure$ (as
27677 appropriate) contains one of the following words:
27678
27679 - %qualify%: The address was unqualified (no domain), and the message
27680 was neither local nor came from an exempted host.
27681
27682 - %route%: Routing failed.
27683
27684 - %mail%: Routing succeeded, and a callout was attempted; rejection
27685 occurred at or before the MAIL command (that is, on initial
27686 connection, HELO, or MAIL).
27687
27688 - %recipient%: The RCPT command in a callout was rejected.
27689
27690 - %postmaster%: The postmaster check in a callout was rejected.
27691
27692 The main use of these variables is expected to be to distinguish between
27693 rejections of MAIL and rejections of RCPT in callouts.
27694
27695
27696
27697
27698 [[SECTcallver]]
27699 Callout verification
27700 ~~~~~~~~~~~~~~~~~~~~
27701 [revisionflag="changed"]
27702 cindex:[verifying address, by callout]
27703 cindex:[callout,verification]
27704 cindex:[SMTP,callout verification]
27705 For non-local addresses, routing verifies the domain, but is unable to do any
27706 checking of the local part. There are situations where some means of verifying
27707 the local part is desirable. One way this can be done is to make an SMTP
27708 'callback' to a delivery host for the sender address or a 'callforward' to a
27709 subsequent host for a recipient address, to see if the host accepts the
27710 address. We use the term 'callout' to cover both cases. Note that for a sender
27711 address, the callback is not to the client host that is trying to deliver the
27712 message, but to one of the hosts that accepts incoming mail for the sender's
27713 domain.
27714
27715 [revisionflag="changed"]
27716 Exim does not do callouts by default. If you want them to happen, you must
27717 request them by setting appropriate options on the %verify% condition, as
27718 described below. This facility should be used with care, because it can add a
27719 lot of resource usage to the cost of verifying an address. However, Exim does
27720 cache the results of callouts, which helps to reduce the cost. Details of
27721 caching are in section <<SECTcallvercache>>.
27722
27723 Recipient callouts are usually used only between hosts that are controlled by
27724 the same administration. For example, a corporate gateway host could use
27725 callouts to check for valid recipients on an internal mailserver. A successful
27726 callout does not guarantee that a real delivery to the address would succeed;
27727 on the other hand, a failing callout does guarantee that a delivery would fail.
27728
27729 If the %callout% option is present on a condition that verifies an address, a
27730 second stage of verification occurs if the address is successfully routed to
27731 one or more remote hosts. The usual case is routing by a ^dnslookup^ or a
27732 ^manualroute^ router, where the router specifies the hosts. However, if a
27733 router that does not set up hosts routes to an ^smtp^ transport with a
27734 %hosts% setting, the transport's hosts are used. If an ^smtp^ transport has
27735 %hosts_override% set, its hosts are always used, whether or not the router
27736 supplies a host list.
27737
27738 The port that is used is taken from the transport, if it is specified and is a
27739 remote transport. (For routers that do verification only, no transport need be
27740 specified.) Otherwise, the default SMTP port is used. If a remote transport
27741 specifies an outgoing interface, this is used; otherwise the interface is not
27742 specified.
27743
27744 For a sender callout check, Exim makes SMTP connections to the remote hosts, to
27745 test whether a bounce message could be delivered to the sender address. The
27746 following SMTP commands are sent:
27747
27748 &&&
27749 `HELO `<'smtp active host name'>
27750 `MAIL FROM:<>`
27751 `RCPT TO:`<'the address to be tested'>
27752 `QUIT`
27753 &&&
27754
27755 LHLO is used instead of HELO if the transport's %protocol% option is
27756 set to ``lmtp''.
27757
27758 A recipient callout check is similar. By default, it also uses an empty address
27759 for the sender. This default is chosen because most hosts do not make use of
27760 the sender address when verifying a recipient. Using the same address means
27761 that a single cache entry can be used for each recipient. Some sites, however,
27762 do make use of the sender address when verifying. These are catered for by the
27763 %use_sender% and %use_postmaster% options, described in the next section.
27764
27765 If the response to the RCPT command is a 2'##xx' code, the verification
27766 succeeds. If it is 5##'xx', the verification fails. For any other condition,
27767 Exim tries the next host, if any. If there is a problem with all the remote
27768 hosts, the ACL yields ``defer'', unless the %defer_ok% parameter of the
27769 %callout% option is given, in which case the condition is forced to succeed.
27770
27771
27772
27773
27774
27775 [[CALLaddparcall]]
27776 Additional parameters for callouts
27777 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
27778 cindex:[callout,additional parameters for]
27779 The %callout% option can be followed by an equals sign and a number of optional
27780 parameters, separated by commas. For example:
27781
27782   verify = recipient/callout=10s,defer_ok
27783
27784 The old syntax, which had %callout_defer_ok% and %check_postmaster% as
27785 separate verify options, is retained for backwards compatibility, but is now
27786 deprecated. The additional parameters for %callout% are as follows:
27787
27788
27789 <'a~time~interval'>::
27790 cindex:[callout timeout, specifying]
27791 This specifies the timeout that applies for the callout attempt to each host.
27792 For example:
27793
27794   verify = sender/callout=5s
27795 +
27796 The default is 30 seconds. The timeout is used for each response from the
27797 remote host. It is also used for the intial connection, unless overridden by
27798 the %connect% parameter.
27799
27800
27801 *connect~=~*<'time~interval'>::
27802 cindex:[callout connection timeout, specifying]
27803 This parameter makes it possible to set a different (usually smaller) timeout
27804 for making the SMTP connection. For example:
27805
27806   verify = sender/callout=5s,connect=1s
27807 +
27808 If not specified, this timeout defaults to the general timeout value.
27809
27810 *defer_ok*::
27811 cindex:[callout defer, action on]
27812 When this parameter is present, failure to contact any host, or any other kind
27813 of temporary error, is treated as success by the ACL. However, the cache is not
27814 updated in this circumstance.
27815
27816 [revisionflag="changed"]
27817 *fullpostmaster*::
27818 cindex:[callout,full postmaster check]
27819 This operates like the %postmaster% option (see below), but if the check for
27820 'postmaster@domain' fails, it tries just 'postmaster', without a domain, in
27821 accordance with the specification in RFC 2821. The RFC states that the
27822 unqualified address 'postmaster' should be accepted.
27823
27824
27825
27826 *mailfrom~=~*<'email~address'>::
27827 cindex:[callout,sender when verifying header]
27828 When verifying addresses in header lines using the %header_sender% verification
27829 option, Exim behaves by default as if the addresses are envelope sender
27830 addresses from a message. Callout verification therefore tests to see whether a
27831 bounce message could be delivered, by using an empty address in the MAIL
27832 command. However, it is arguable that these addresses might never be used as
27833 envelope senders, and could therefore justifiably reject bounce messages (empty
27834 senders). The %mailfrom% callout parameter allows you to specify what address
27835 to use in the MAIL command. For example:
27836
27837   require  verify = header_sender/callout=mailfrom=abcd@x.y.z
27838 +
27839 This parameter is available only for the %header_sender% verification option.
27840
27841
27842 *maxwait~=~*<'time~interval'>::
27843 cindex:[callout overall timeout, specifying]
27844 This parameter sets an overall timeout for performing a callout verification.
27845 For example:
27846
27847   verify = sender/callout=5s,maxwait=30s
27848 +
27849 This timeout defaults to four times the callout timeout for individual SMTP
27850 commands. The overall timeout applies when there is more than one host that can
27851 be tried. The timeout is checked before trying the next host. This prevents
27852 very long delays if there are a large number of hosts and all are timing out
27853 (for example, when network connections are timing out).
27854
27855
27856 *no_cache*::
27857 cindex:[callout cache, suppressing]
27858 cindex:[caching callout, suppressing]
27859 When this parameter is given, the callout cache is neither read nor updated.
27860
27861 *postmaster*::
27862 cindex:[callout,postmaster; checking]
27863 When this parameter is set, a sucessful callout check is followed by a similar
27864 check for the local part 'postmaster' at the same domain. If this address is
27865 rejected, the callout fails (but see %fullpostmaster% above). The result of the
27866 postmaster check is recorded in a cache record; if it is a failure, this is
27867 used to fail subsequent callouts for the domain without a connection being
27868 made, until the cache record expires.
27869
27870 *postmaster_mailfrom~=~*<'email~address'>::
27871 The postmaster check uses an empty sender in the MAIL command by default.
27872 You can use this parameter to do a postmaster check using a different address.
27873 For example:
27874
27875   require  verify = sender/callout=postmaster_mailfrom=abc@x.y.z
27876 +
27877 If both %postmaster% and %postmaster_mailfrom% are present, the rightmost one
27878 overrides. The %postmaster% parameter is equivalent to this example:
27879
27880   require  verify = sender/callout=postmaster_mailfrom=
27881 +
27882 *Warning*: The caching arrangements for postmaster checking do not take
27883 account of the sender address. It is assumed that either the empty address or
27884 a fixed non-empty address will be used. All that Exim remembers is that the
27885 postmaster check for the domain succeeded or failed.
27886
27887
27888 *random*::
27889 cindex:[callout,``random'' check]
27890 When this parameter is set, before doing the normal callout check, Exim does a
27891 check for a ``random'' local part at the same domain. The local part is not
27892 really random -- it is defined by the expansion of the option
27893 %callout_random_local_part%, which defaults to
27894
27895   $primary_host_name-$tod_epoch-testing
27896 +
27897 The idea here is to try to determine whether the remote host accepts all local
27898 parts without checking. If it does, there is no point in doing callouts for
27899 specific local parts. If the ``random'' check succeeds, the result is saved in
27900 a cache record, and used to force the current and subsequent callout checks to
27901 succeed without a connection being made, until the cache record expires.
27902
27903 *use_postmaster*::
27904 cindex:[callout,sender for recipient check]
27905 This parameter applies to recipient callouts only. For example:
27906
27907   deny  !verify = recipient/callout=use_postmaster
27908 +
27909 [revisionflag="changed"]
27910 cindex:[$qualify_domain$]
27911 It causes a non-empty postmaster address to be used in the MAIL command when
27912 performing the callout for the recipient, and also for a ``random'' check if
27913 that is configured. The local part of the address is `postmaster` and the
27914 domain is the contents of $qualify_domain$.
27915
27916 *use_sender*::
27917 This option applies to recipient callouts only. For example:
27918
27919   require  verify = recipient/callout=use_sender
27920 +
27921 It causes the message's actual sender address to be used in the MAIL
27922 command when performing the callout, instead of an empty address. There is no
27923 need to use this option unless you know that the called hosts make use of the
27924 sender when checking recipients. If used indiscriminately, it reduces the
27925 usefulness of callout caching.
27926
27927 ///
27928 End of list
27929 ///
27930
27931 If you use any of the parameters that set a non-empty sender for the MAIL
27932 command (%mailfrom%, %postmaster_mailfrom%, %use_postmaster%, or
27933 %use_sender%), you should think about possible loops. Recipient checking is
27934 usually done between two hosts that are under the same management, and the host
27935 that receives the callouts is not normally configured to do callouts itself.
27936 Therefore, it is normally safe to use %use_postmaster% or %use_sender% in
27937 these circumstances.
27938
27939 However, if you use a non-empty sender address for a callout to an arbitrary
27940 host, there is the likelihood that the remote host will itself initiate a
27941 callout check back to your host. As it is checking what appears to be a message
27942 sender, it is likely to use an empty address in MAIL, thus avoiding a
27943 callout loop. However, to be on the safe side it would be best to set up your
27944 own ACLs so that they do not do sender verification checks when the recipient
27945 is the address you use for header sender or postmaster callout checking.
27946
27947 Another issue to think about when using non-empty senders for callouts is
27948 caching. When you set %mailfrom% or %use_sender%, the cache record is keyed by
27949 the sender/recipient combination; thus, for any given recipient, many more
27950 actual callouts are performed than when an empty sender or postmaster is used.
27951
27952
27953
27954
27955 [[SECTcallvercache]]
27956 Callout caching
27957 ~~~~~~~~~~~~~~~
27958 cindex:[hints database,callout cache]
27959 cindex:[callout,caching]
27960 cindex:[caching,callout]
27961 Exim caches the results of callouts in order to reduce the amount of resources
27962 used, unless you specify the %no_cache% parameter with the %callout% option.
27963 A hints database called ``callout'' is used for the cache. Two different record
27964 types are used: one records the result of a callout check for a specific
27965 address, and the other records information that applies to the entire domain
27966 (for example, that it accepts the local part 'postmaster').
27967
27968 When an original callout fails, a detailed SMTP error message is given about
27969 the failure. However, for subsequent failures use the cache data, this message
27970 is not available.
27971
27972 The expiry times for negative and positive address cache records are
27973 independent, and can be set by the global options %callout_negative_expire%
27974 (default 2h) and %callout_positive_expire% (default 24h), respectively.
27975
27976 If a host gives a negative response to an SMTP connection, or rejects any
27977 commands up to and including
27978
27979   MAIL FROM:<>
27980
27981 (but not including the MAIL command with a non-empty address),
27982 any callout attempt is bound to fail. Exim remembers such failures in a
27983 domain cache record, which it uses to fail callouts for the domain without
27984 making new connections, until the domain record times out. There are two
27985 separate expiry times for domain cache records:
27986 %callout_domain_negative_expire% (default 3h) and
27987 %callout_domain_positive_expire% (default 7d).
27988
27989 Domain records expire when the negative expiry time is reached if callouts
27990 cannot be made for the domain, or if the postmaster check failed.
27991 Otherwise, they expire when the positive expiry time is reached. This
27992 ensures that, for example, a host that stops accepting ``random'' local parts
27993 will eventually be noticed.
27994
27995 The callout caching mechanism is based on the domain of the address that is
27996 being tested. If the domain routes to several hosts, it is assumed that their
27997 behaviour will be the same.
27998
27999
28000
28001 [[SECTsenaddver]]
28002 Sender address verification reporting
28003 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
28004 cindex:[verifying,suppressing error details]
28005 When sender verification fails in an ACL, the details of the failure are
28006 given as additional output lines before the 550 response to the relevant
28007 SMTP command (RCPT or DATA). For example, if sender callout is in use,
28008 you might see:
28009
28010   MAIL FROM:<xyz@abc.example>
28011   250 OK
28012   RCPT TO:<pqr@def.example>
28013   550-Verification failed for <xyz@abc.example>
28014   550-Called:   192.168.34.43
28015   550-Sent:     RCPT TO:<xyz@abc.example>
28016   550-Response: 550 Unknown local part xyz in <xyz@abc.example>
28017   550 Sender verification failed
28018
28019 If more than one RCPT command fails in the same way, the details are given
28020 only for the first of them. However, some administrators do not want to send
28021 out this much information. You can suppress the details by adding
28022 ``/no_details'' to the ACL statement that requests sender verification. For
28023 example:
28024
28025   verify = sender/no_details
28026
28027
28028
28029 [[SECTredirwhilveri]]
28030 Redirection while verifying
28031 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
28032 cindex:[verifying,redirection while]
28033 cindex:[address redirection,while verifying]
28034 A dilemma arises when a local address is redirected by aliasing or forwarding
28035 during verification: should the generated addresses themselves be verified,
28036 or should the successful expansion of the original address be enough to verify
28037 it? By default, Exim takes the following pragmatic approach:
28038
28039 - When an incoming address is redirected to just one child address, verification
28040 continues with the child address, and if that fails to verify, the original
28041 verification also fails.
28042
28043 - When an incoming address is redirected to more than one child address,
28044 verification does not continue. A success result is returned.
28045
28046 This seems the most reasonable behaviour for the common use of aliasing as a
28047 way of redirecting different local parts to the same mailbox. It means, for
28048 example, that a pair of alias entries of the form
28049
28050   A.Wol:   aw123
28051   aw123:   :fail: Gone away, no forwarding address
28052
28053 work as expected, with both local parts causing verification failure. When a
28054 redirection generates more than one address, the behaviour is more like a
28055 mailing list, where the existence of the alias itself is sufficient for
28056 verification to succeed.
28057
28058 [revisionflag="changed"]
28059 It is possible, however, to change the default behaviour so that all successful
28060 redirections count as successful verifications, however many new addresses are
28061 generated. This is specified by the %success_on_redirect% verification option.
28062 For example:
28063
28064 [revisionflag="changed"]
28065   require verify = recipient/success_on_redirect/callout=10s
28066
28067 [revisionflag="changed"]
28068 In this example, verification succeeds if a router generates a new address, and
28069 the callout does not occur, because no address was routed to a remote host.
28070
28071
28072
28073
28074
28075 [[SECTverifyCSA]]
28076 Client SMTP authorization (CSA)
28077 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
28078 [revisionflag="changed"]
28079 cindex:[CSA,verifying]
28080 Client SMTP Authorization is a system that allows a site to advertise
28081 which machines are and are not permitted to send email. This is done by placing
28082 special SRV records in the DNS; these are looked up using the client's HELO
28083 domain. At the time of writing, CSA is still an Internet Draft. Client SMTP
28084 Authorization checks in Exim are performed by the ACL condition:
28085
28086   verify = csa
28087
28088 [revisionflag="changed"]
28089 This fails if the client is not authorized. If there is a DNS problem, or if no
28090 valid CSA SRV record is found, or if the client is authorized, the condition
28091 succeeds. These three cases can be distinguished using the expansion variable
28092 $csa_status$, which can take one of the values ``fail'', ``defer'',
28093 ``unknown'', or ``ok''. The condition does not itself defer because that would
28094 be likely to cause problems for legitimate email.
28095
28096 [revisionflag="changed"]
28097 The error messages produced by the CSA code include slightly more
28098 detail. If $csa_status$ is ``defer'', this may be because of problems
28099 looking up the CSA SRV record, or problems looking up the CSA target
28100 address record. There are four reasons for $csa_status$ being ``fail'':
28101
28102 [revisionflag="changed"]
28103 - The client's host name is explicitly not authorized.
28104
28105 [revisionflag="changed"]
28106 - The client's IP address does not match any of the CSA target IP addresses.
28107
28108 [revisionflag="changed"]
28109 - The client's host name is authorized but it has no valid target IP addresses
28110 (for example, the target's addresses are IPv6 and the client is using IPv4).
28111
28112 [revisionflag="changed"]
28113 - The client's host name has no CSA SRV record but a parent domain has asserted
28114 that all subdomains must be explicitly authorized.
28115
28116 [revisionflag="changed"]
28117 The %csa% verification condition can take an argument which is the domain to
28118 use for the DNS query. The default is:
28119
28120   verify = csa/$sender_helo_name
28121
28122 [revisionflag="changed"]
28123 This implementation includes an extension to CSA. If the query domain
28124 is an address literal such as [192.0.2.95], or if it is a bare IP
28125 address, Exim searches for CSA SRV records in the reverse DNS as if
28126 the HELO domain was (for example) '95.2.0.192.in-addr.arpa'. Therefore it is
28127 meaningful to say:
28128
28129   verify = csa/$sender_host_address
28130
28131 [revisionflag="changed"]
28132 In fact, this is the check that Exim performs if the client does not say HELO.
28133 This extension can be turned off by setting the main configuration option
28134 %dns_csa_use_reverse% to be false.
28135
28136 [revisionflag="changed"]
28137 If a CSA SRV record is not found for the domain itself, a search
28138 is performed through its parent domains for a record which might be
28139 making assertions about subdomains. The maximum depth of this search is limited
28140 using the main configuration option %dns_csa_search_limit%, which is 5 by
28141 default. Exim does not look for CSA SRV records in a top level domain, so the
28142 default settings handle HELO domains as long as seven
28143 ('hostname.five.four.three.two.one.com'). This encompasses the vast majority of
28144 legitimate HELO domains.
28145
28146 [revisionflag="changed"]
28147 The 'dnsdb' lookup also has support for CSA. Although 'dnsdb' also supports
28148 direct SRV lookups, this is not sufficient because of the extra parent domain
28149 search behaviour of CSA, and (as with PTR lookups) 'dnsdb' also turns IP
28150 addresses into lookups in the reverse DNS space. The result of a successful
28151 lookup such as:
28152
28153 [revisionflag="changed"]
28154 ....
28155 ${lookup dnsdb {csa=$sender_helo_name}}
28156 ....
28157
28158 [revisionflag="changed"]
28159 has two space-separated fields: an authorization code and a target host name.
28160 The authorization code can be ``Y'' for yes, ``N'' for no, ``X'' for explicit
28161 authorization required but absent, or ``?'' for unknown.
28162
28163
28164
28165
28166 [[SECTverifyPRVS]]
28167 Bounce address tag validation
28168 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
28169 [revisionflag="changed"]
28170 cindex:[BATV,verifying]
28171 Bounce address tag validation (BATV) is a scheme whereby the envelope senders
28172 of outgoing messages have a cryptographic, timestamped ``tag'' added to them.
28173 Genuine incoming bounce messages should therefore always be addressed to
28174 recipients that have a valid tag. This scheme is a way of detecting unwanted
28175 bounce messages caused by sender address forgeries (often called ``collateral
28176 spam''), because the recipients of such messages will not include valid tags.
28177
28178 [revisionflag="changed"]
28179 There are two expansion items to help with the implementation of the BATV
28180 ``prvs'' (private signature) scheme in an Exim configuration. This scheme signs
28181 the original envelope sender address by using a simple shared key to add a hash
28182 of the address and some time-based randomizing information. The %prvs%
28183 expansion item creates a signed address, and the %prvscheck% expansion item
28184 checks one. The syntax of these expansion items is described in section
28185 <<SECTexpansionitems>>.
28186
28187 [revisionflag="changed"]
28188 As an example, suppose the secret per-address keys are stored in an MySQL
28189 database. A query to look up the key for an address could be defined as a macro
28190 like this:
28191
28192 [revisionflag="changed"]
28193 ....
28194 PRVSCHECK_SQL = ${lookup mysql{SELECT secret FROM batv_prvs \
28195                 WHERE sender='${quote_mysql:$prvscheck_address}'\
28196                 }{$value}}
28197 ....
28198
28199 [revisionflag="changed"]
28200 Suppose also that the senders who make use of BATV are defined by an address
28201 list called %batv_senders%. Then, in the ACL for RCPT commands, you could
28202 use this:
28203
28204 [revisionflag="changed"]
28205 ....
28206 # Bounces: drop unsigned addresses for BATV senders
28207 deny message = This address does not send an unsigned reverse path.
28208      senders = :
28209      recipients = +batv_senders
28210
28211 # Bounces: In case of prvs-signed address, check signature.
28212 deny message = Invalid reverse path signature.
28213      senders = :
28214      condition  = ${prvscheck {$local_part@$domain}\
28215                   {PRVSCHECK_SQL}{1}}
28216      !condition = $prvscheck_result
28217 ....
28218
28219 [revisionflag="changed"]
28220 The first statement rejects recipients for bounce messages that are addressed
28221 to plain BATV sender addresses, because it is known that BATV senders do not
28222 send out messages with plain sender addresses. The second statement rejects
28223 recipients that are prvs-signed, but with invalid signatures (either because
28224 the key is wrong, or the signature has timed out).
28225
28226 [revisionflag="changed"]
28227 A non-prvs-signed address is not rejected by the second statement, because the
28228 %prvscheck% expansion yields an empty string if its first argument is not a
28229 prvs-signed address, thus causing the %condition% condition to be false. If the
28230 first argument is a syntactically valid prvs-signed address, the yield is the
28231 third string (in this case ``1''), whether or not the cryptographic and timeout
28232 checks succeed. The $prvscheck_result$ variable contains the result of the
28233 checks (empty for failure, ``1'' for success).
28234
28235 [revisionflag="changed"]
28236 Of course, when you accept a prvs-signed address, you have to ensure that the
28237 routers accept it and deliver it correctly. The easiest way to handle this is
28238 to use a ^redirect^ router to remove the signature with a configuration along
28239 these lines:
28240
28241 [revisionflag="changed"]
28242 ....
28243 batv_redirect:
28244   driver = redirect
28245   data = ${prvscheck {$local_part@$domain}{PRVSCHECK_SQL}}
28246 ....
28247
28248 [revisionflag="changed"]
28249 This works because, if the third argument of %prvscheck% is empty, the result
28250 of the expansion of a prvs-signed address is the decoded value of the original
28251 address. This router should probably be the first of your routers that handles
28252 local addresses.
28253
28254 [revisionflag="changed"]
28255 To create BATV-signed addresses in the first place, a transport of this form
28256 can be used:
28257
28258 [revisionflag="changed"]
28259 ....
28260 external_smtp_batv:
28261   driver = smtp
28262   return_path = ${prvs {$return_path} \
28263                        {${lookup mysql{SELECT \
28264                        secret FROM batv_prvs WHERE \
28265                        sender='${quote_mysql:$sender_address}'} \
28266                        {$value}fail}}}
28267 ....
28268
28269 [revisionflag="changed"]
28270 If no key can be found for the existing return path, no signing takes place.
28271
28272
28273
28274
28275 [[SECTrelaycontrol]]
28276 Using an ACL to control relaying
28277 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
28278 cindex:[{ACL},relay control]
28279 cindex:[relaying,control by ACL]
28280 cindex:[policy control,relay control]
28281 An MTA is said to 'relay' a message if it receives it from some host and
28282 delivers it directly to another host as a result of a remote address contained
28283 within it. Redirecting a local address via an alias or forward file and then
28284 passing the message on to another host is not relaying,
28285 cindex:[``percent hack'']
28286 but a redirection as a result of the ``percent hack'' is.
28287
28288 Two kinds of relaying exist, which are termed ``incoming'' and ``outgoing''.
28289 A host which is acting as a gateway or an MX backup is concerned with incoming
28290 relaying from arbitrary hosts to a specific set of domains. On the other hand,
28291 a host which is acting as a smart host for a number of clients is concerned
28292 with outgoing relaying from those clients to the Internet at large. Often the
28293 same host is fulfilling both functions,
28294 ///
28295 as illustrated in the diagram below,
28296 ///
28297 but in principle these two kinds of relaying are entirely independent. What is
28298 not wanted is the transmission of mail from arbitrary remote hosts through your
28299 system to arbitrary domains.
28300
28301
28302 You can implement relay control by means of suitable statements in the ACL that
28303 runs for each RCPT command. For convenience, it is often easiest to use
28304 Exim's named list facility to define the domains and hosts involved. For
28305 example, suppose you want to do the following:
28306
28307 - Deliver a number of domains to mailboxes on the local host (or process them
28308 locally in some other way). Let's say these are 'my.dom1.example' and
28309 'my.dom2.example'.
28310
28311 - Relay mail for a number of other domains for which you are the secondary MX.
28312 These might be 'friend1.example' and 'friend2.example'.
28313
28314 - Relay mail from the hosts on your local LAN, to whatever domains are involved.
28315 Suppose your LAN is 192.168.45.0/24.
28316
28317
28318 In the main part of the configuration, you put the following definitions:
28319
28320   domainlist local_domains = my.dom1.example : my.dom2.example
28321   domainlist relay_domains = friend1.example : friend2.example
28322   hostlist   relay_hosts   = 192.168.45.0/24
28323
28324 Now you can use these definitions in the ACL that is run for every RCPT
28325 command:
28326
28327   acl_check_rcpt:
28328     accept domains = +local_domains : +relay_domains
28329     accept hosts   = +relay_hosts
28330
28331 The first statement accepts any RCPT command that contains an address in
28332 the local or relay domains. For any other domain, control passes to the second
28333 statement, which accepts the command only if it comes from one of the relay
28334 hosts. In practice, you will probably want to make your ACL more sophisticated
28335 than this, for example, by including sender and recipient verification. The
28336 default configuration includes a more comprehensive example, which is described
28337 in chapter <<CHAPdefconfil>>.
28338
28339
28340
28341 [[SECTcheralcon]]
28342 Checking a relay configuration
28343 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
28344 cindex:[relaying,checking control of]
28345 You can check the relay characteristics of your configuration in the same way
28346 that you can test any ACL behaviour for an incoming SMTP connection, by using
28347 the %-bh% option to run a fake SMTP session with which you interact.
28348
28349 For specifically testing for unwanted relaying, the host
28350 'relay-test.mail-abuse.org' provides a useful service. If you telnet to this
28351 host from the host on which Exim is running, using the normal telnet port, you
28352 will see a normal telnet connection message and then quite a long delay. Be
28353 patient. The remote host is making an SMTP connection back to your host, and
28354 trying a number of common probes to test for open relay vulnerability. The
28355 results of the tests will eventually appear on your terminal.
28356
28357
28358
28359
28360 ////////////////////////////////////////////////////////////////////////////
28361 ////////////////////////////////////////////////////////////////////////////
28362
28363 [[CHAPexiscan]]
28364 Content scanning at ACL time
28365 ----------------------------
28366 cindex:[content scanning,at ACL time]
28367 The extension of Exim to include content scanning at ACL time, formerly known
28368 as ``exiscan'', was originally implemented as a patch by Tom Kistner. The code
28369 was integrated into the main source for Exim release 4.50, and Tom continues to
28370 maintain it. Most of the wording of this chapter is taken from Tom's
28371 specification.
28372
28373 [revisionflag="changed"]
28374 It is also possible to scan the content of messages at other times. The
28375 'local_scan()' function (see chapter <<CHAPlocalscan>>) allows for content
28376 scanning after all the ACLs have run. A transport filter can be used to scan
28377 messages at delivery time (see the %transport_filter% option, described in
28378 chapter <<CHAPtransportgeneric>>).
28379
28380 If you want to include the ACL-time content-scanning features when you compile
28381 Exim, you need to arrange for WITH_CONTENT_SCAN to be defined in your
28382 _Local/Makefile_. When you do that, the Exim binary is built with:
28383
28384 [revisionflag="changed"]
28385 - Two additional ACLs (%acl_smtp_mime% and %acl_not_smtp_mime%) that are run for
28386 all MIME parts for SMTP and non-SMTP messages, respectively.
28387
28388 - Additional ACL conditions and modifiers: %decode%, %malware%, %mime_regex%,
28389 %regex%, and %spam%. These can be used in the ACL that is run at the end of
28390 message reception (the %acl_smtp_data% ACL).
28391
28392 - An additional control feature (``no_mbox_unspool'') that saves spooled copies
28393 of messages, or parts of messages, for debugging purposes.
28394
28395 - Additional expansion variables that are set in the new ACL and by the new
28396 conditions.
28397
28398 - Two new main configuration options: %av_scanner% and %spamd_address%.
28399
28400 There is another content-scanning configuration option for _Local/Makefile_,
28401 called WITH_OLD_DEMIME. If this is set, the old, deprecated %demime% ACL
28402 condition is compiled, in addition to all the other content-scanning features.
28403
28404 Content-scanning is continually evolving, and new features are still being
28405 added. While such features are still unstable and liable to incompatible
28406 changes, they are made available in Exim by setting options whose names begin
28407 EXPERIMENTAL_ in _Local/Makefile_. Such features are not documented in
28408 this manual. You can find out about them by reading the file called
28409 _doc/experimental.txt_.
28410
28411 All the content-scanning facilites work on a MBOX copy of the message that is
28412 temporarily created in a file called:
28413
28414   <spool_directory>/scan/<message_id>/<message_id>.eml
28415
28416 The _.eml_ extension is a friendly hint to virus scanners that they can
28417 expect an MBOX-like structure inside that file. The file is created when the
28418 first content scanning facility is called. Subsequent calls to content
28419 scanning conditions open the same file again. The directory is recursively
28420 removed when the %acl_smtp_data% ACL has finished running, unless
28421
28422   control = no_mbox_unspool
28423
28424 has been encountered. When the MIME ACL decodes files, they are put into the
28425 same directory by default.
28426
28427
28428
28429 [[SECTscanvirus]]
28430 Scanning for viruses
28431 ~~~~~~~~~~~~~~~~~~~~
28432 cindex:[virus scanning]
28433 cindex:[content scanning,for viruses]
28434 cindex:[content scanning,the %malware% condition]
28435 The %malware% ACL condition lets you connect virus scanner software to Exim. It
28436 supports a ``generic'' interface to scanners called via the shell, and
28437 specialized interfaces for ``daemon'' type virus scanners, which are resident in
28438 memory and thus are much faster.
28439
28440 cindex:[%av_scanner%]
28441 You can set the %av_scanner% option in first part of the Exim configuration
28442 file to specify which scanner to use, together with any additional options that
28443 are needed. The basic syntax is as follows:
28444
28445   av_scanner = <scanner-type>:<option1>:<option2>:[...]
28446
28447 If you do not set %av_scanner%, it defaults to
28448
28449   av_scanner = sophie:/var/run/sophie
28450
28451 If the value of %av_scanner% starts with dollar character, it is expanded
28452 before use.
28453
28454 The following scanner types are supported in this release:
28455
28456 %aveserver%::
28457 cindex:[virus scanners,Kaspersky]
28458 This is the scanner daemon of Kaspersky Version 5. You can get a trial version
28459 at *http://www.kaspersky.com[]*. This scanner type takes one option, which is
28460 the path to the daemon's UNIX socket. The default is shown in this example:
28461
28462   av_scanner = aveserver:/var/run/aveserver
28463
28464 %clamd%::
28465 cindex:[virus scanners,clamd]
28466 This daemon-type scanner is GPL and free. You can get it at
28467 *http://www.clamav.net/[]*. Some older versions of clamd do not seem to unpack
28468 MIME containers, so it used to be recommended to unpack MIME attachments in the
28469 MIME ACL. This no longer believed to be necessary. One option is required:
28470 either the path and name of a UNIX socket file, or a hostname or IP number, and
28471 a port, separated by space, as in the second of these examples:
28472
28473   av_scanner = clamd:/opt/clamd/socket
28474   av_scanner = clamd:192.168.2.100 1234
28475 +
28476 If the option is unset, the default is _/tmp/clamd_. Thanks to David Saez for
28477 contributing the code for this scanner.
28478
28479 %cmdline%::
28480 cindex:[virus scanners,command line interface]
28481 This is the keyword for the generic command line scanner interface. It can be
28482 used to attach virus scanners that are invoked from the shell. This scanner
28483 type takes 3 mandatory options:
28484 +
28485 --
28486 . The full path and name of the scanner binary, with all command line options,
28487 and a placeholder (%s) for the directory to scan.
28488
28489 . A regular expression to match against the STDOUT and STDERR output of the
28490 virus scanner. If the expression matches, a virus was found. You must make
28491 absolutely sure that this expression matches on ``virus found''. This is called
28492 the ``trigger'' expression.
28493
28494 . Another regular expression, containing exactly one pair of parentheses, to
28495 match the name of the virus found in the scanners output. This is called the
28496 ``name'' expression.
28497 --
28498 +
28499 For example, Sophos Sweep reports a virus on a line like this:
28500
28501   Virus 'W32/Magistr-B' found in file ./those.bat
28502 +
28503 For the trigger expression, we can just match the word ``found''. For the name
28504 expression, we want to extract the W32/Magistr-B string, so we can match for
28505 the single quotes left and right of it. Altogether, this makes the
28506 configuration setting:
28507 +
28508 ....
28509 av_scanner = cmdline:\
28510              /path/to/sweep -all -rec -archive %s:\
28511              found:'(.+)'
28512 ....
28513
28514
28515 %drweb%::
28516 cindex:[virus scanners,DrWeb]
28517 The DrWeb daemon scanner (*http://www.sald.com/[]*) interface takes one
28518 argument, either a full path to a UNIX socket, or an IP address and port
28519 separated by white space, as in these examples:
28520
28521   av_scanner = drweb:/var/run/drwebd.sock
28522   av_scanner = drweb:192.168.2.20 31337
28523 +
28524 If you omit the argument, the default path _/usr/local/drweb/run/drwebd.sock_
28525 is used. Thanks to Alex Miller for contributing the code for this scanner.
28526
28527 %fsecure%::
28528 cindex:[virus scanners,F-Secure]
28529 The F-Secure daemon scanner (*http://www.f-secure.com[]*) takes one argument
28530 which is the path to a UNIX socket. For example:
28531
28532   av_scanner = fsecure:/path/to/.fsav
28533 +
28534 If no argument is given, the default is _/var/run/.fsav_. Thanks to Johan
28535 Thelmen for contributing the code for this scanner.
28536
28537 %kavdaemon%::
28538 cindex:[virus scanners,Kaspersky]
28539 This is the scanner daemon of Kaspersky Version 4. This version of the
28540 Kaspersky scanner is outdated. Please upgrade (see %aveserver% above). This
28541 scanner type takes one option, which is the path to the daemon's UNIX socket.
28542 For example:
28543
28544   av_scanner = kavdaemon:/opt/AVP/AvpCtl
28545 +
28546 The default path is _/var/run/AvpCtl_.
28547
28548 %mksd%::
28549 cindex:[virus scanners,mksd]
28550 This is a daemon type scanner that is aimed mainly at Polish users, though some
28551 parts of documentation are now available in English. You can get it at
28552 *http://linux.mks.com.pl/[]*. The only option for this scanner type is the
28553 maximum number of processes used simultaneously to scan the attachments,
28554 provided that the demime facility is employed and also provided that mksd has
28555 been run with at least the same number of child processes. For example:
28556
28557   av_scanner = mksd:2
28558 +
28559 You can safely omit this option (the default value is 1).
28560
28561 %sophie%::
28562 cindex:[virus scanners,Sophos and Sophie]
28563 Sophie is a daemon that uses Sophos' %libsavi% library to scan for viruses. You
28564 can get Sophie at *http://www.vanja.com/tools/sophie/[]*. The only option for
28565 this scanner type is the path to the UNIX socket that Sophie uses for client
28566 communication. For example:
28567
28568   av_scanner = sophie:/tmp/sophie
28569 +
28570 The default path is _/var/run/sophie_, so if you are using this, you can omit
28571 the option.
28572
28573 ///
28574 End of list
28575 ///
28576
28577 [revisionflag="changed"]
28578 When %av_scanner% is correctly set, you can use the %malware% condition in the
28579 DATA ACL. *Note*: you cannot use the %malware% condition in the MIME ACL.
28580
28581 The %av_scanner% option is expanded each time %malware% is called. This makes
28582 it possible to use different scanners. See further below for an example. The
28583 %malware% condition caches its results, so when you use it multiple times for
28584 the same message, the actual scanning process is only carried out once.
28585 However, using expandable items in %av_scanner% disables this caching, in which
28586 case each use of the %malware% condition causes a new scan of the message.
28587
28588 The %malware% condition takes a right-hand argument that is expanded before
28589 use. It can then be one of
28590
28591 - ``true'', ``\*'', or ``1'', in which case the message is scanned for viruses.
28592 The condition succeeds if a virus was found, and fail otherwise. This is the
28593 recommended usage.
28594
28595 - ``false'' or ``0'', in which case no scanning is done and the condition fails
28596 immediately.
28597
28598 - A regular expression, in which case the message is scanned for viruses. The
28599 condition succeeds if a virus is found and its name matches the regular
28600 expression. This allows you to take special actions on certain types of virus.
28601
28602 You can append `/defer_ok` to the %malware% condition to accept messages even
28603 if there is a problem with the virus scanner.
28604
28605 cindex:[$malware_name$]
28606 When a virus is found, the condition sets up an expansion variable called
28607 $malware_name$ that contains the name of the virus. You can use it in a
28608 %message% modifier that specifies the error returned to the sender, and/or in
28609 logging data.
28610
28611 If your virus scanner cannot unpack MIME and TNEF containers itself, you should
28612 use the %demime% condition (see section <<SECTdemimecond>>) before the %malware%
28613 condition.
28614
28615 Here is a very simple scanning example:
28616
28617   deny message = This message contains malware ($malware_name)
28618      demime = *
28619      malware = *
28620
28621 The next example accepts messages when there is a problem with the scanner:
28622
28623   deny message = This message contains malware ($malware_name)
28624      demime = *
28625      malware = */defer_ok
28626
28627 The next example shows how to use an ACL variable to scan with both sophie and
28628 aveserver. It assumes you have set:
28629
28630   av_scanner = $acl_m0
28631
28632 in the main Exim configuration.
28633
28634   deny message = This message contains malware ($malware_name)
28635      set acl_m0 = sophie
28636      malware = *
28637
28638   deny message = This message contains malware ($malware_name)
28639      set acl_m0 = aveserver
28640      malware = *
28641
28642
28643
28644
28645 [[SECTscanspamass]]
28646 Scanning with SpamAssassin
28647 ~~~~~~~~~~~~~~~~~~~~~~~~~~
28648 cindex:[content scanning,for spam]
28649 cindex:[spam scanning]
28650 cindex:[SpamAssassin, scanning with]
28651 The %spam% ACL condition calls SpamAssassin's %spamd% daemon to get a spam
28652 score and a report for the message. You can get SpamAssassin at
28653 *http://www.spamassassin.org[]*, or, if you have a working Perl installation,
28654 you can use CPAN by running:
28655
28656   perl -MCPAN -e 'install Mail::SpamAssassin'
28657
28658 SpamAssassin has its own set of configuration files. Please review its
28659 documentation to see how you can tweak it. The default installation should work
28660 nicely, however.
28661
28662 cindex:[%spamd_address%]
28663 After having installed and configured SpamAssassin, start the %spamd% daemon.
28664 By default, it listens on 127.0.0.1, TCP port 783. If you use another host or
28665 port for %spamd%, you must set the %spamd_address% option in the global part
28666 of the Exim configuration as follows (example):
28667
28668   spamd_address = 192.168.99.45 387
28669
28670 You do not need to set this option if you use the default. As of version 2.60,
28671 %spamd% also supports communication over UNIX sockets. If you want to use
28672 these, supply %spamd_address% with an absolute file name instead of a
28673 address/port pair:
28674
28675   spamd_address = /var/run/spamd_socket
28676
28677 You can have multiple %spamd% servers to improve scalability. These can reside
28678 on other hardware reachable over the network. To specify multiple %spamd%
28679 servers, put multiple address/port pairs in the %spamd_address% option,
28680 separated with colons:
28681
28682 ....
28683 spamd_address = 192.168.2.10 783 : \
28684                 192.168.2.11 783 : \
28685                 192.168.2.12 783
28686 ....
28687
28688 Up to 32 %spamd% servers are supported. The servers are queried in a random
28689 fashion. When a server fails to respond to the connection attempt, all other
28690 servers are tried until one succeeds. If no server responds, the %spam%
28691 condition defers.
28692
28693 *Warning*: It is not possible to use the UNIX socket connection method with
28694 multiple %spamd% servers.
28695
28696
28697 Calling SpamAssassin from an Exim ACL
28698 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
28699 Here is a simple example of the use of the %spam% condition in a DATA ACL:
28700
28701   deny message = This message was classified as SPAM
28702           spam = joe
28703
28704 The right-hand side of the %spam% condition specifies the username that
28705 SpamAssassin should scan for. If you do not want to scan for a particular user,
28706 but rather use the SpamAssassin system-wide default profile, you can scan for
28707 an unknown user, or simply use ``nobody''. However, you must put something on
28708 the right-hand side.
28709
28710 The username allows you to use per-domain or per-user antispam profiles. The
28711 right-hand side is expanded before being used, so you can put lookups or
28712 conditions there. When the right-hand side evaluates to ``0'' or ``false'', no
28713 scanning is done and the condition fails immediately.
28714
28715 [revisionflag="changed"]
28716 Scanning with SpamAssassin uses a lot of resources. If you scan every message,
28717 large ones may cause significant performance degredation. As most spam messages
28718 are quite small, it is recommended that you do not scan the big ones. For
28719 example:
28720
28721 [revisionflag="changed"]
28722 ....
28723 deny message = This message was classified as SPAM
28724      condition = ${if < {$message_size}{10K}}
28725      spam = nobody
28726 ....
28727
28728 The %spam% condition returns true if the threshold specified in the user's
28729 SpamAssassin profile has been matched or exceeded. If you want to use the
28730 %spam% condition for its side effects (see the variables below), you can make
28731 it always return ``true'' by appending `:true` to the username.
28732
28733 cindex:[spam scanning,returned variables]
28734 When the %spam% condition is run, it sets up the following expansion
28735 variables:
28736
28737 $spam_score$::
28738 The spam score of the message, for example ``3.4'' or ``30.5''. This is useful
28739 for inclusion in log or reject messages.
28740
28741 $spam_score_int$::
28742 The spam score of the message, multiplied by ten, as an integer value. For
28743 example ``34'' or ``305''. This is useful for numeric comparisons in
28744 conditions. This variable is special; it is saved with the message, and written
28745 to Exim's spool file. This means that it can be used during the whole life of
28746 the message on your Exim system, in particular, in routers or transports during
28747 the later delivery phase.
28748
28749 $spam_bar$::
28750 A string consisting of a number of ``+'' or ``-'' characters, representing the
28751 integer part of the spam score value. A spam score of 4.4 would have a
28752 $spam_bar$ value of ``++++''. This is useful for inclusion in warning headers,
28753 since MUAs can match on such strings.
28754
28755 $spam_report$::
28756 A multiline text table, containing the full SpamAssassin report for the
28757 message. Useful for inclusion in headers or reject messages.
28758
28759 ///
28760 End of list
28761 ///
28762
28763 The %spam% condition caches its results. If you call it again with the same
28764 user name, it does not scan again, but rather returns the same values as
28765 before.
28766
28767 The %spam% condition returns DEFER if there is any error while running the
28768 message through SpamAssassin. If you want to treat DEFER as FAIL (to pass on to
28769 the next ACL statement block), append `/defer_ok` to the right-hand side of
28770 the spam condition, like this:
28771
28772   deny message = This message was classified as SPAM
28773        spam    = joe/defer_ok
28774
28775 This causes messages to be accepted even if there is a
28776 problem with %spamd%.
28777
28778 Here is a longer, commented example of the use of the %spam%
28779 condition:
28780
28781   # put headers in all messages (no matter if spam or not)
28782   warn  message = X-Spam-Score: $spam_score ($spam_bar)
28783         spam = nobody:true
28784   warn  message = X-Spam-Report: $spam_report
28785         spam = nobody:true
28786
28787   # add second subject line with *SPAM* marker when message
28788   # is over threshold
28789   warn  message = Subject: *SPAM* $h_Subject:
28790         spam = nobody
28791
28792   # reject spam at high scores (> 12)
28793   deny   message = This message scored $spam_score spam points.
28794          spam = nobody:true
28795          condition = ${if >{$spam_score_int}{120}{1}{0}}
28796
28797
28798
28799
28800
28801 [[SECTscanmimepart]]
28802 Scanning MIME parts
28803 ~~~~~~~~~~~~~~~~~~~
28804 [revisionflag="changed"]
28805 cindex:[content scanning,MIME parts]
28806 cindex:[MIME content scanning]
28807 cindex:[%acl_smtp_mime%]
28808 The %acl_smtp_mime% global option specifies an ACL that is called once for each
28809 MIME part of an SMTP message, including multipart types, in the sequence of
28810 their position in the message. Similarly, the %acl_not_smtp_mime% option
28811 specifies an ACL that is used for the MIME parts of non-SMTP messages. These
28812 options may both refer to the same ACL if you want the same processing in both
28813 cases.
28814
28815 [revisionflag="changed"]
28816 These ACLs are called (possibly many times) just before the %acl_smtp_data% ACL
28817 in the case of an SMTP message, or just before a non-SMTP message is accepted.
28818 However, a MIME ACL is called only if the message contains a 'MIME-Version:'
28819 header line. When a call to a MIME ACL does not yield ``accept'', ACL
28820 processing is aborted and the appropriate result code is sent to the client. In
28821 the case of an SMTP message, the %acl_smtp_data% ACL is not called when this
28822 happens.
28823
28824 [revisionflag="changed"]
28825 You cannot use the %malware% or %spam% conditions in a MIME ACL; these can only
28826 be used in the DATA or non-SMTP ACLs. However, you can use the %regex%
28827 condition to match against the raw MIME part. You can also use the %mime_regex%
28828 condition to match against the decoded MIME part (see section
28829 <<SECTscanregex>>).
28830
28831 At the start of a MIME ACL, a number of variables are set from the header
28832 information for the relevant MIME part. These are described below. The contents
28833 of the MIME part are not by default decoded into a disk file except for MIME
28834 parts whose content-type is ``message/rfc822''. If you want to decode a MIME
28835 part into a disk file, you can use the %decode% modifier. The general syntax
28836 is:
28837
28838   decode = [/<path>/]<filename>
28839
28840 The right hand side is expanded before use. After expansion,
28841 the value can be:
28842
28843 . ``0'' or ``false'', in which case no decoding is done.
28844
28845 . The string ``default''. In that case, the file is put in the temporary
28846 ``default'' directory <'spool_directory'>_/scan/_<'message_id'>_/_ with a
28847 sequential file name consisting of the message id and a sequence number. The
28848 full path and name is available in $mime_decoded_filename$ after decoding.
28849
28850 . A full path name starting with a slash. If the full name is an existing
28851 directory, it is used as a replacement for the default directory. The filename
28852 is then sequentially assigned. If the path does not exist, it is used as
28853 the full path and file name.
28854
28855 . If the string does not start with a slash, it is used as the
28856 filename, and the default path is then used.
28857
28858 ///
28859 End of list
28860 ///
28861
28862 You can easily decode a file with its original, proposed filename using
28863
28864   decode = $mime_filename
28865
28866 However, you should keep in mind that $mime_filename$ might contain
28867 anything. If you place files outside of the default path, they are not
28868 automatically unlinked.
28869
28870 For RFC822 attachments (these are messages attached to messages, with a
28871 content-type of ``message/rfc822''), the ACL is called again in the same manner
28872 as for the primary message, only that the $mime_is_rfc822$ expansion
28873 variable is set (see below). Attached messages are always decoded to disk
28874 before being checked, and the files are unlinked once the check is done.
28875
28876 The MIME ACL supports the %regex% and %mime_regex% conditions. These can be
28877 used to match regular expressions against raw and decoded MIME parts,
28878 respectively. They are described in section <<SECTscanregex>>.
28879
28880 cindex:[MIME content scanning,returned variables]
28881 The following list describes all expansion variables that are
28882 available in the MIME ACL:
28883
28884 $mime_boundary$::
28885 If the current part is a multipart (see $mime_is_multipart$) below, it should
28886 have a boundary string, which is stored in this variable. If the current part
28887 has no boundary parameter in the 'Content-Type:' header, this variable contains
28888 the empty string.
28889
28890 $mime_charset$::
28891 This variable contains the character set identifier, if one was found in the
28892 'Content-Type:' header. Examples for charset identifiers are:
28893
28894   us-ascii
28895   gb2312 (Chinese)
28896   iso-8859-1
28897 +
28898 Please note that this value is not normalized, so you should do matches
28899 case-insensitively.
28900
28901 $mime_content_description$::
28902 This variable contains the normalized content of the 'Content-Description:'
28903 header. It can contain a human-readable description of the parts content. Some
28904 implementations repeat the filename for attachments here, but they are usually
28905 only used for display purposes.
28906
28907 $mime_content_disposition$::
28908 This variable contains the normalized content of the 'Content-Disposition:'
28909 header. You can expect strings like ``attachment'' or ``inline'' here.
28910
28911 $mime_content_id$::
28912 This variable contains the normalized content of the 'Content-ID:' header.
28913 This is a unique ID that can be used to reference a part from another part.
28914
28915 $mime_content_size$::
28916 This variable is set only after the %decode% modifier (see above) has been
28917 successfully run. It contains the size of the decoded part in kilobytes. The
28918 size is always rounded up to full kilobytes, so only a completely empty part
28919 has a $mime_content_size$ of zero.
28920
28921 $mime_content_transfer_encoding$::
28922 This variable contains the normalized content of the
28923 'Content-transfer-encoding:' header. This is a symbolic name for an encoding
28924 type. Typical values are ``base64'' and ``quoted-printable''.
28925
28926 $mime_content_type$::
28927 If the MIME part has a 'Content-Type:' header, this variable contains its
28928 value, lowercased, and without any options (like ``name'' or ``charset''). Here
28929 are some examples of popular MIME types, as they may appear in this variable:
28930
28931   text/plain
28932   text/html
28933   application/octet-stream
28934   image/jpeg
28935   audio/midi
28936 +
28937 If the MIME part has no 'Content-Type:' header, this variable contains the
28938 empty string.
28939
28940 $mime_decoded_filename$::
28941 This variable is set only after the %decode% modifier (see above) has been
28942 successfully run. It contains the full path and file name of the file
28943 containing the decoded data.
28944
28945 $mime_filename$::
28946 This is perhaps the most important of the MIME variables. It contains a
28947 proposed filename for an attachment, if one was found in either the
28948 'Content-Type:' or 'Content-Disposition:' headers. The filename will be RFC2047
28949 decoded, but no additional sanity checks are done. If no filename was found,
28950 this variable contains the empty string.
28951
28952 $mime_is_coverletter$::
28953 This variable attempts to differentiate the ``cover letter'' of an e-mail from
28954 attached data. It can be used to clamp down on flashy or unneccessarily encoded
28955 content in the cover letter, while not restricting attachments at all.
28956 +
28957 The variable contains 1 (true) for a MIME part believed to be part of the
28958 cover letter, and 0 (false) for an attachment. At present, the algorithm is as
28959 follows:
28960 +
28961 --
28962 . The outermost MIME part of a message is always a cover letter.
28963
28964 . If a multipart/alternative or multipart/related MIME part is a cover letter, so
28965 are all MIME subparts within that multipart.
28966
28967 . If any other multipart is a cover letter, the first subpart is a cover letter,
28968 and the rest are attachments.
28969
28970 . All parts contained within an attachment multipart are attachments.
28971 --
28972 +
28973 As an example, the following will ban ``HTML mail'' (including that sent with
28974 alternative plain text), while allowing HTML files to be attached. HTML
28975 coverletter mail attached to non-HMTL coverletter mail will also be allowed:
28976
28977   deny message = HTML mail is not accepted here
28978      !condition = $mime_is_rfc822
28979      condition = $mime_is_coverletter
28980      condition = ${if eq{$mime_content_type}{text/html}{1}{0}}
28981
28982 $mime_is_multipart$::
28983 This variable has the value 1 (true) when the current part has the main type
28984 ``multipart'', for example ``multipart/alternative'' or ``multipart/mixed''.
28985 Since multipart entities only serve as containers for other parts, you may not
28986 want to carry out specific actions on them.
28987
28988 $mime_is_rfc822$::
28989 This variable has the value 1 (true) if the current part is not a part of the
28990 checked message itself, but part of an attached message. Attached message
28991 decoding is fully recursive.
28992
28993 $mime_part_count$::
28994 This variable is a counter that is raised for each processed MIME part. It
28995 starts at zero for the very first part (which is usually a multipart). The
28996 counter is per-message, so it is reset when processing RFC822 attachments (see
28997 $mime_is_rfc822$). The counter stays set after %acl_smtp_mime% is
28998 complete, so you can use it in the DATA ACL to determine the number of MIME
28999 parts of a message. For non-MIME messages, this variable contains the value -1.
29000
29001
29002
29003 [[SECTscanregex]]
29004 Scanning with regular expressions
29005 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
29006 cindex:[content scanning,with regular expressions]
29007 cindex:[regular expressions,content scanning with]
29008 You can specify your own custom regular expression matches on the full body of
29009 the message, or on individual MIME parts.
29010
29011 The %regex% condition takes one or more regular expressions as arguments and
29012 matches them against the full message (when called in the DATA ACL) or a raw
29013 MIME part (when called in the MIME ACL). The %regex% condition matches
29014 linewise, with a maximum line length of 32K characters. That means you cannot
29015 have multiline matches with the %regex% condition.
29016
29017 The %mime_regex% condition can be called only in the MIME ACL. It matches up
29018 to 32K of decoded content (the whole content at once, not linewise). If the
29019 part has not been decoded with the %decode% modifier earlier in the ACL, it is
29020 decoded automatically when %mime_regex% is executed (using default path and
29021 filename values). If the decoded data is larger than  32K, only the first 32K
29022 characters are checked.
29023
29024 The regular expressions are passed as a colon-separated list. To include a
29025 literal colon, you must double it. Since the whole right-hand side string is
29026 expanded before being used, you must also escape dollar signs and backslashes
29027 with more backslashes, or use the `\N` facility to disable expansion.
29028 Here is a simple example that contains two regular expressions:
29029
29030   deny message = contains blacklisted regex ($regex_match_string)
29031          regex = [Mm]ortgage : URGENT BUSINESS PROPOSAL
29032
29033 The conditions returns true if any one of the regular expressions matches. The
29034 $regex_match_string$ expansion variable is then set up and contains the
29035 matching regular expression.
29036
29037 *Warning*: With large messages, these conditions can be fairly
29038 CPU-intensive.
29039
29040
29041
29042
29043 [[SECTdemimecond]]
29044 The demime condition
29045 ~~~~~~~~~~~~~~~~~~~~
29046 cindex:[content scanning,MIME checking]
29047 cindex:[MIME content scanning]
29048 The %demime% ACL condition provides MIME unpacking, sanity checking and file
29049 extension blocking. It is usable only in the DATA and non-SMTP ACLs. The
29050 %demime% condition uses a simpler interface to MIME decoding than the MIME ACL
29051 functionality, but provides no additional facilities. Please note that this
29052 condition is deprecated and kept only for backward compatibility. You must set
29053 the WITH_OLD_DEMIME option in _Local/Makefile_ at build time to be able to use
29054 the %demime% condition.
29055
29056 The %demime% condition unpacks MIME containers in the message. It detects
29057 errors in MIME containers and can match file extensions found in the message
29058 against a list. Using this facility produces files containing the unpacked MIME
29059 parts of the message in the temporary scan directory. If you do antivirus
29060 scanning, it is recommened that you use the %demime% condition before the
29061 antivirus (%malware%) condition.
29062
29063 On the right-hand side of the %demime% condition you can pass a colon-separated
29064 list of file extensions that it should match against. For example:
29065
29066   deny message = Found blacklisted file attachment
29067        demime  = vbs:com:bat:pif:prf:lnk
29068
29069 If one of the file extensions is found, the condition is true, otherwise it is
29070 false. If there is a temporary error while demimeing (for example, ``disk
29071 full''), the condition defers, and the message is temporarily rejected (unless
29072 the condition is on a %warn% verb).
29073
29074 The right-hand side is expanded before being treated as a list, so you can have
29075 conditions and lookups there. If it expands to an empty string, ``false'', or
29076 zero (``0''), no demimeing is done and the condition is false.
29077
29078 The %demime% condition set the following variables:
29079
29080 $demime_errorlevel$::
29081 cindex:[$demime_errorlevel$]
29082 When an error is detected in a MIME container, this variable contains the
29083 severity of the error, as an integer number. The higher the value, the more
29084 severe the error (the current maximum value is 3). If this variable is unset or
29085 zero, no error occurred.
29086
29087 $demime_reason$::
29088 cindex:[$demime_reason$]
29089 When $demime_errorlevel$ is greater than zero, this variable contains a
29090 human-readable text string describing the MIME error that occurred.
29091
29092 cindex:[$found_extension$]
29093 $found_extension$::
29094 When the %demime% condition is true, this variable contains the file extension
29095 it found.
29096
29097 ///
29098 End of list
29099 ///
29100
29101 Both $demime_errorlevel$ and $demime_reason$ are set by the first call of
29102 the %demime% condition, and are not changed on subsequent calls.
29103
29104 If you do not want to check for file extensions, but rather use the %demime%
29105 condition for unpacking or error checking purposes, pass ``\*'' as the
29106 right-hand side value. Here is a more elaborate example of how to use this
29107 facility:
29108
29109   # Reject messages with serious MIME container errors
29110   deny  message = Found MIME error ($demime_reason).
29111         demime = *
29112         condition = ${if >{$demime_errorlevel}{2}{1}{0}}
29113
29114   # Reject known virus spreading file extensions.
29115   # Accepting these is pretty much braindead.
29116   deny  message = contains $found_extension file (blacklisted).
29117         demime  = com:vbs:bat:pif:scr
29118
29119   # Freeze .exe and .doc files. Postmaster can
29120   # examine them and eventually thaw them.
29121   deny  log_message = Another $found_extension file.
29122         demime = exe:doc
29123         control = freeze
29124
29125
29126
29127
29128
29129
29130 ////////////////////////////////////////////////////////////////////////////
29131 ////////////////////////////////////////////////////////////////////////////
29132
29133 [[CHAPlocalscan]]
29134 [titleabbrev="Local scan function"]
29135 Adding a local scan function to Exim
29136 ------------------------------------
29137 cindex:['local_scan()' function,description of]
29138 cindex:[customizing,input scan using C function]
29139 cindex:[policy control,by local scan function]
29140 In these days of email worms, viruses, and ever-increasing spam, some sites
29141 want to apply a lot of checking to messages before accepting them.
29142
29143 The content scanning extension (chapter <<CHAPexiscan>>) has facilities for
29144 passing messages to external virus and spam scanning software. You can also do
29145
29146 a certain amount in Exim itself through string expansions and the %condition%
29147 condition in the ACL that runs after the SMTP DATA command or the ACL for
29148 non-SMTP messages (see chapter <<CHAPACL>>), but this has its limitations.
29149
29150 To allow for further customization to a site's own requirements, there is the
29151 possibility of linking Exim with a private message scanning function, written
29152 in C. If you want to run code that is written in something other than C, you
29153 can of course use a little C stub to call it.
29154
29155 The local scan function is run once for every incoming message, at the point
29156 when Exim is just about to accept the message.
29157 It can therefore be used to control non-SMTP messages from local processes as
29158 well as messages arriving via SMTP.
29159
29160 Exim applies a timeout to calls of the local scan function, and there is an
29161 option called %local_scan_timeout% for setting it. The default is 5 minutes.
29162 Zero means ``no timeout''.
29163 Exim also sets up signal handlers for SIGSEGV, SIGILL, SIGFPE, and SIGBUS
29164 before calling the local scan function, so that the most common types of crash
29165 are caught. If the timeout is exceeded or one of those signals is caught, the
29166 incoming message is rejected with a temporary error if it is an SMTP message.
29167 For a non-SMTP message, the message is dropped and Exim ends with a non-zero
29168 code. The incident is logged on the main and reject logs.
29169
29170
29171
29172 Building Exim to use a local scan function
29173 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
29174 cindex:['local_scan()' function,building Exim to use]
29175 To make use of the local scan function feature, you must tell Exim where your
29176 function is before building Exim, by setting LOCAL_SCAN_SOURCE in your
29177 _Local/Makefile_. A recommended place to put it is in the _Local_
29178 directory, so you might set
29179
29180   LOCAL_SCAN_SOURCE=Local/local_scan.c
29181
29182 for example. The function must be called 'local_scan()'. It is called by
29183 Exim after it has received a message, when the success return code is about to
29184 be sent. This is after all the ACLs have been run. The return code from your
29185 function controls whether the message is actually accepted or not. There is a
29186 commented template function (that just accepts the message) in the file
29187 _src/local_scan.c_.
29188
29189 If you want to make use of Exim's run time configuration file to set options
29190 for your 'local_scan()' function, you must also set
29191
29192   LOCAL_SCAN_HAS_OPTIONS=yes
29193
29194 in _Local/Makefile_ (see section <<SECTconoptloc>> below).
29195
29196
29197
29198
29199 [[SECTapiforloc]]
29200 API for local_scan()
29201 ~~~~~~~~~~~~~~~~~~~~
29202 cindex:['local_scan()' function,API description]
29203 You must include this line near the start of your code:
29204
29205   #include "local_scan.h"
29206
29207 This header file defines a number of variables and other values, and the
29208 prototype for the function itself. Exim is coded to use unsigned char values
29209 almost exclusively, and one of the things this header defines is a shorthand
29210 for `unsigned char` called `uschar`.
29211 It also contains the following macro definitions, to simplify casting character
29212 strings and pointers to character strings:
29213
29214   #define CS   (char *)
29215   #define CCS  (const char *)
29216   #define CSS  (char **)
29217   #define US   (unsigned char *)
29218   #define CUS  (const unsigned char *)
29219   #define USS  (unsigned char **)
29220
29221
29222 The function prototype for 'local_scan()' is:
29223
29224   extern int local_scan(int fd, uschar **return_text);
29225
29226 The arguments are as follows:
29227
29228 - %fd% is a file descriptor for the file that contains the body of the message
29229 (the -D file). The file is open for reading and writing, but updating it is not
29230 recommended. *Warning*: You must 'not' close this file descriptor.
29231 +
29232 The descriptor is positioned at character 19 of the file, which is the first
29233 character of the body itself, because the first 19 characters are the message
29234 id followed by `-D` and a newline. If you rewind the file, you should use the
29235 macro SPOOL_DATA_START_OFFSET to reset to the start of the data, just in
29236 case this changes in some future version.
29237
29238 - %return_text% is an address which you can use to return a pointer to a text
29239 string at the end of the function. The value it points to on entry is NULL.
29240
29241 The function must return an %int% value which is one of the following macros:
29242
29243 `LOCAL_SCAN_ACCEPT`::
29244 cindex:[$local_scan_data$]
29245 The message is accepted. If you pass back a string of text, it is saved with
29246 the message, and made available in the variable $local_scan_data$. No
29247 newlines are permitted (if there are any, they are turned into spaces) and the
29248 maximum length of text is 1000 characters.
29249
29250 `LOCAL_SCAN_ACCEPT_FREEZE`::
29251 This behaves as LOCAL_SCAN_ACCEPT, except that the accepted message is
29252 queued without immediate delivery, and is frozen.
29253
29254 `LOCAL_SCAN_ACCEPT_QUEUE`::
29255 This behaves as LOCAL_SCAN_ACCEPT, except that the accepted message is
29256 queued without immediate delivery.
29257
29258 `LOCAL_SCAN_REJECT`::
29259 The message is rejected; the returned text is used as an error message which is
29260 passed back to the sender and which is also logged. Newlines are permitted --
29261 they cause a multiline response for SMTP rejections, but are converted to `\n`
29262 in log lines. If no message is given, ``Administrative prohibition'' is used.
29263
29264 `LOCAL_SCAN_TEMPREJECT`::
29265 The message is temporarily rejected; the returned text is used as an error
29266 message as for LOCAL_SCAN_REJECT. If no message is given, ``Temporary local
29267 problem'' is used.
29268
29269 `LOCAL_SCAN_REJECT_NOLOGHDR`::
29270 This behaves as LOCAL_SCAN_REJECT, except that the header of the rejected
29271 message is not written to the reject log. It has the effect of unsetting the
29272 %rejected_header% log selector for just this rejection. If %rejected_header%
29273 is already unset (see the discussion of the %log_selection% option in section
29274 <<SECTlogselector>>), this code is the same as LOCAL_SCAN_REJECT.
29275
29276 `LOCAL_SCAN_TEMPREJECT_NOLOGHDR`::
29277 This code is a variation of LOCAL_SCAN_TEMPREJECT in the same way that
29278 LOCAL_SCAN_REJECT_NOLOGHDR is a variation of LOCAL_SCAN_REJECT.
29279
29280 ///
29281 End of list
29282 ///
29283
29284 If the message is not being received by interactive SMTP, rejections are
29285 reported by writing to %stderr% or by sending an email, as configured by the
29286 %-oe% command line options.
29287
29288
29289
29290 [[SECTconoptloc]]
29291 Configuration options for local_scan()
29292 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
29293 cindex:['local_scan()' function,configuration options]
29294 It is possible to have option settings in the main configuration file
29295 that set values in static variables in the 'local_scan()' module. If you
29296 want to do this, you must have the line
29297
29298   LOCAL_SCAN_HAS_OPTIONS=yes
29299
29300 in your _Local/Makefile_ when you build Exim. (This line is in
29301 _OS/Makefile-Default_, commented out). Then, in the 'local_scan()' source
29302 file, you must define static variables to hold the option values, and a table to
29303 define them.
29304
29305 The table must be a vector called %local_scan_options%, of type
29306 `optionlist`. Each entry is a triplet, consisting of a name, an option type,
29307 and a pointer to the variable that holds the value. The entries must appear in
29308 alphabetical order. Following %local_scan_options% you must also define a
29309 variable called %local_scan_options_count% that contains the number of
29310 entries in the table. Here is a short example, showing two kinds of option:
29311
29312   static int my_integer_option = 42;
29313   static uschar *my_string_option = US"a default string";
29314
29315   optionlist local_scan_options[] = {
29316     { "my_integer", opt_int,       &my_integer_option },
29317     { "my_string",  opt_stringptr, &my_string_option }
29318   };
29319   int local_scan_options_count =
29320     sizeof(local_scan_options)/sizeof(optionlist);
29321
29322 The values of the variables can now be changed from Exim's runtime
29323 configuration file by including a local scan section as in this example:
29324
29325   begin local_scan
29326   my_integer = 99
29327   my_string = some string of text...
29328
29329 The available types of option data are as follows:
29330
29331 *opt_bool*::
29332 This specifies a boolean (true/false) option. The address should point to a
29333 variable of type `BOOL`, which will be set to TRUE or FALSE, which are macros
29334 that are defined as ``1'' and ``0'', respectively. If you want to detect
29335 whether such a variable has been set at all, you can initialize it to
29336 TRUE_UNSET. (BOOL variables are integers underneath, so can hold more than two
29337 values.)
29338
29339 *opt_fixed*::
29340 This specifies a fixed point number, such as is used for load averages.
29341 The address should point to a variable of type `int`. The value is stored
29342 multiplied by 1000, so, for example, 1.4142 is truncated and stored as 1414.
29343
29344 *opt_int*::
29345 This specifies an integer; the address should point to a variable of type
29346 `int`. The value may be specified in any of the integer formats accepted by
29347 Exim.
29348
29349 *opt_mkint*::
29350 This is the same as %opt_int%, except that when such a value is output in a
29351 %-bP% listing, if it is an exact number of kilobytes or megabytes, it is
29352 printed with the suffix K or M.
29353
29354 *opt_octint*::
29355 This also specifies an integer, but the value is always interpeted as an
29356 octal integer, whether or not it starts with the digit zero, and it is
29357 always output in octal.
29358
29359 *opt_stringptr*::
29360 This specifies a string value; the address must be a pointer to a
29361 variable that points to a string (for example, of type `uschar \*`).
29362
29363 *opt_time*::
29364 This specifies a time interval value. The address must point to a variable of
29365 type `int`. The value that is placed there is a number of seconds.
29366
29367 ///
29368 End of list
29369 ///
29370
29371 If the %-bP% command line option is followed by `local_scan`, Exim prints
29372 out the values of all the 'local_scan()' options.
29373
29374
29375
29376 Available Exim variables
29377 ~~~~~~~~~~~~~~~~~~~~~~~~
29378 cindex:['local_scan()' function,available Exim variables]
29379 The header _local_scan.h_ gives you access to a number of C variables. These
29380 are the only ones that are guaranteed to be maintained from release to release.
29381 Note, however, that you can obtain the value of any Exim variable by calling
29382 'expand_string()'. The exported variables are as follows:
29383
29384 *unsigned~int~debug_selector*::
29385 This variable is set to zero when no debugging is taking place. Otherwise, it
29386 is a bitmap of debugging selectors. Two bits are identified for use in
29387 'local_scan()'; they are defined as macros:
29388 +
29389 --
29390 - The `D_v` bit is set when %-v% was present on the command line. This is a
29391 testing option that is not privileged -- any caller may set it. All the
29392 other selector bits can be set only by admin users.
29393
29394 - The `D_local_scan` bit is provided for use by 'local_scan()'; it is set
29395 by the `+local_scan` debug selector. It is not included in the default set
29396 of debugging bits.
29397 --
29398 +
29399 Thus, to write to the debugging output only when `+local_scan` has been
29400 selected, you should use code like this:
29401
29402   if ((debug_selector & D_local_scan) != 0)
29403     debug_printf("xxx", ...);
29404
29405
29406 *uschar~\*expand_string_message*::
29407 After a failing call to 'expand_string()' (returned value NULL), the
29408 variable %expand_string_message% contains the error message, zero-terminated.
29409
29410 *header_line~\*header_list*::
29411 A pointer to a chain of header lines. The %header_line% structure is discussed
29412 below.
29413
29414 *header_line~\*header_last*::
29415 A pointer to the last of the header lines.
29416
29417 *uschar~\*headers_charset*::
29418 The value of the %headers_charset% configuration option.
29419
29420 *BOOL~host_checking*::
29421 This variable is TRUE during a host checking session that is initiated by the
29422 %-bh% command line option.
29423
29424 *uschar~\*interface_address*::
29425 The IP address of the interface that received the message, as a string. This
29426 is NULL for locally submitted messages.
29427
29428 *int~interface_port*::
29429 The port on which this message was received.
29430
29431 *uschar~\*message_id*::
29432 This variable contains the message id for the incoming message as a
29433 zero-terminated string.
29434
29435 *uschar~\*received_protocol*::
29436 The name of the protocol by which the message was received.
29437
29438 *int~recipients_count*::
29439 The number of accepted recipients.
29440
29441 *recipient_item~\*recipients_list*::
29442 cindex:[recipient,adding in local scan]
29443 cindex:[recipient,removing in local scan]
29444 The list of accepted recipients, held in a vector of length %recipients_count%.
29445 The %recipient_item% structure is discussed below. You can add additional
29446 recipients by calling 'receive_add_recipient()' (see below). You can delete
29447 recipients by removing them from the vector and adusting the value in
29448 %recipients_count%. In particular, by setting %recipients_count% to zero you
29449 remove all recipients. If you then return the value `LOCAL_SCAN_ACCEPT`, the
29450 message is accepted, but immediately blackholed. To replace the recipients, set
29451 %recipients_count% to zero and then call 'receive_add_recipient()' as often as
29452 needed.
29453
29454 *uschar~\*sender_address*::
29455 The envelope sender address. For bounce messages this is the empty string.
29456
29457 *uschar~\*sender_host_address*::
29458 The IP address of the sending host, as a string. This is NULL for
29459 locally-submitted messages.
29460
29461 *uschar~\*sender_host_authenticated*::
29462 The name of the authentication mechanism that was used, or NULL if the message
29463 was not received over an authenticated SMTP connection.
29464
29465 *uschar~\*sender_host_name*::
29466 The name of the sending host, if known.
29467
29468 *int~sender_host_port*::
29469 The port on the sending host.
29470
29471 *BOOL~smtp_input*::
29472 This variable is TRUE for all SMTP input, including BSMTP.
29473
29474 *BOOL~smtp_batched_input*::
29475 This variable is TRUE for BSMTP input.
29476
29477 *int~store_pool*::
29478 The contents of this variable control which pool of memory is used for new
29479 requests. See section <<SECTmemhanloc>> for details.
29480
29481 ///
29482 End of list
29483 ///
29484
29485
29486
29487 Structure of header lines
29488 ~~~~~~~~~~~~~~~~~~~~~~~~~
29489 The %header_line% structure contains the members listed below.
29490 You can add additional header lines by calling the 'header_add()' function
29491 (see below). You can cause header lines to be ignored (deleted) by setting
29492 their type to \*.
29493
29494
29495 *struct~header_line~\*next*::
29496 A pointer to the next header line, or NULL for the last line.
29497
29498 *int~type*::
29499 A code identifying certain headers that Exim recognizes. The codes are printing
29500 characters, and are documented in chapter <<CHAPspool>> of this manual. Notice
29501 in particular that any header line whose type is \* is not transmitted with the
29502 message. This flagging is used for header lines that have been rewritten, or
29503 are to be removed (for example, 'Envelope-sender:' header lines.) Effectively,
29504 \* means ``deleted''.
29505
29506 *int~slen*::
29507 The number of characters in the header line, including the terminating and any
29508 internal newlines.
29509
29510 *uschar~\*text*::
29511 A pointer to the text of the header. It always ends with a newline, followed by
29512 a zero byte. Internal newlines are preserved.
29513
29514
29515
29516 Structure of recipient items
29517 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
29518 The %recipient_item% structure contains these members:
29519
29520 *uschar~\*address*::
29521 This is a pointer to the recipient address as it was received.
29522
29523 *int~pno*::
29524 This is used in later Exim processing when top level addresses are created by
29525 the %one_time% option. It is not relevant at the time 'local_scan()' is run and
29526 must always contain -1 at this stage.
29527
29528 *uschar~\*errors_to*::
29529 If this value is not NULL, bounce messages caused by failing to deliver to the
29530 recipient are sent to the address it contains. In other words, it overrides the
29531 envelope sender for this one recipient. (Compare the %errors_to% generic router
29532 option.) If a 'local_scan()' function sets an %errors_to% field to an
29533 unqualified address, Exim qualifies it using the domain from
29534 %qualify_recipient%. When 'local_scan()' is called, the %errors_to% field is
29535 NULL for all recipients.
29536
29537
29538
29539 Available Exim functions
29540 ~~~~~~~~~~~~~~~~~~~~~~~~
29541 cindex:['local_scan()' function,available Exim functions]
29542 The header _local_scan.h_ gives you access to a number of Exim functions.
29543 These are the only ones that are guaranteed to be maintained from release to
29544 release:
29545
29546 *pid_t~child_open(uschar~{star}{star}argv,~uschar~{star}{star}envp,~int~newumask,~int~{star}infdptr,~int~{star}outfdptr,~BOOL~make_leader)*::
29547
29548 This function creates a child process that runs the command specified by
29549 %argv%. The environment for the process is specified by %envp%, which can be
29550 NULL if no environment variables are to be passed. A new umask is supplied for
29551 the process in %newumask%.
29552 +
29553 Pipes to the standard input and output of the new process are set up
29554 and returned to the caller via the %infdptr% and %outfdptr% arguments. The
29555 standard error is cloned to the standard output. If there are any file
29556 descriptors ``in the way'' in the new process, they are closed. If the final
29557 argument is TRUE, the new process is made into a process group leader.
29558 +
29559 The function returns the pid of the new process, or -1 if things go wrong.
29560
29561 *int~child_close(pid_t~pid,~int~timeout)*::
29562 This function waits for a child process to terminate, or for a timeout (in
29563 seconds) to expire. A timeout value of zero means wait as long as it takes. The
29564 return value is as follows:
29565 +
29566 - >= 0
29567 +
29568 The process terminated by a normal exit and the value is the process ending
29569 status.
29570
29571 - < 0 and > --256
29572 +
29573 The process was terminated by a signal and the value is the negation of the
29574 signal number.
29575
29576 - --256
29577 +
29578 The process timed out.
29579
29580 - --257
29581 +
29582 The was some other error in wait(); %errno% is still set.
29583
29584
29585 *pid_t~child_open_exim(int~{star}fd)*::
29586 This function provide you with a means of submitting a new message to
29587 Exim. (Of course, you can also call _/usr/sbin/sendmail_ yourself if you
29588 want, but this packages it all up for you.) The function creates a pipe,
29589 forks a subprocess that is running
29590
29591   exim -t -oem -oi -f <>
29592 +
29593 and returns to you (via the `int *` argument) a file descriptor for the pipe
29594 that is connected to the standard input. The yield of the function is the PID
29595 of the subprocess. You can then write a message to the file descriptor, with
29596 recipients in 'To:', 'Cc:', and/or 'Bcc:' header lines.
29597 +
29598 When you have finished, call 'child_close()' to wait for the process to
29599 finish and to collect its ending status. A timeout value of zero is usually
29600 fine in this circumstance. Unless you have made a mistake with the recipient
29601 addresses, you should get a return code of zero.
29602
29603 *void~debug_printf(char~{star},~...)*::
29604 This is Exim's debugging function, with arguments as for '(printf()'. The
29605 output is written to the standard error stream. If no debugging is selected,
29606 calls to 'debug_printf()' have no effect. Normally, you should make calls
29607 conditional on the `local_scan` debug selector by coding like this:
29608
29609   if ((debug_selector & D_local_scan) != 0)
29610     debug_printf("xxx", ...);
29611
29612 *uschar~{star}expand_string(uschar~{star}string)*::
29613 This is an interface to Exim's string expansion code. The return value is the
29614 expanded string, or NULL if there was an expansion failure.
29615 The C variable %expand_string_message% contains an error message after an
29616 expansion failure. If expansion does not change the string, the return value is
29617 the pointer to the input string. Otherwise, the return value points to a new
29618 block of memory that was obtained by a call to 'store_get()'. See section
29619 <<SECTmemhanloc>> below for a discussion of memory handling.
29620
29621 *void~header_add(int~type,~char~{star}format,~...)*::
29622 This function allows you to an add additional header line at the end of the
29623 existing ones. The first argument is the type, and should normally be a space
29624 character. The second argument is a format string and any number of
29625 substitution arguments as for 'sprintf()'. You may include internal newlines if
29626 you want, and you must ensure that the string ends with a newline.
29627
29628 *void~header_add_at_position(BOOL~after,~uschar~{star}name,~BOOL~topnot,~int~type,~char~{star}format,~...)*::
29629 This function adds a new header line at a specified point in the header
29630 chain. The header itself is specified as for 'header_add()'.
29631 +
29632 If %name% is NULL, the new header is added at the end of the chain if %after%
29633 is true, or at the start if %after% is false. If %name% is not NULL, the header
29634 lines are searched for the first non-deleted header that matches the name. If
29635 one is found, the new header is added before it if %after% is false. If %after%
29636 is true, the new header is added after the found header and any adjacent
29637 subsequent ones with the same name (even if marked ``deleted''). If no matching
29638 non-deleted header is found, the %topnot% option controls where the header is
29639 added. If it is true, addition is at the top; otherwise at the bottom. Thus, to
29640 add a header after all the 'Received:' headers, or at the top if there are no
29641 'Received:' headers, you could use
29642
29643   header_add_at_position(TRUE, US"Received", TRUE,
29644     ' ', "X-xxx: ...");
29645 +
29646 Normally, there is always at least one non-deleted 'Received:' header, but
29647 there may not be if %received_header_text% expands to an empty string.
29648
29649
29650 *void~header_remove(int~occurrence,~uschar~{star}name)*::
29651 This function removes header lines. If %occurrence% is zero or negative, all
29652 occurrences of the header are removed. If occurrence is greater than zero, that
29653 particular instance of the header is removed. If no header(s) can be found that
29654 match the specification, the function does nothing.
29655
29656
29657 *BOOL~header_testname(header_line~{star}hdr,~uschar~{star}name,~int~length,~BOOL~notdel)*::
29658 This function tests whether the given header has the given name. It is not just
29659 a string comparison, because white space is permitted between the name and the
29660 colon. If the %notdel% argument is true, a false return is forced for all
29661 ``deleted'' headers; otherwise they are not treated specially. For example:
29662
29663   if (header_testname(h, US"X-Spam", 6, TRUE)) ...
29664
29665
29666 *uschar~{star}lss_b64encode(uschar~{star}cleartext,~int~length)*::
29667 cindex:[base64 encoding,functions for 'local_scan()' use]
29668 This function base64-encodes a string, which is passed by address and length.
29669 The text may contain bytes of any value, including zero. The result is passed
29670 back in dynamic memory that is obtained by calling 'store_get()'. It is
29671 zero-terminated.
29672
29673 *int~lss_b64decode(uschar~{star}codetext,~uschar~{star}{star}cleartext)*::
29674 This function decodes a base64-encoded string. Its arguments are a
29675 zero-terminated base64-encoded string and the address of a variable that is set
29676 to point to the result, which is in dynamic memory. The length of the decoded
29677 string is the yield of the function. If the input is invalid base64 data, the
29678 yield is -1. A zero byte is added to the end of the output string to make it
29679 easy to interpret as a C string (assuming it contains no zeros of its own). The
29680 added zero byte is not included in the returned count.
29681
29682 *int~lss_match_domain(uschar~{star}domain,~uschar~{star}list)*::
29683 This function checks for a match in a domain list. Domains are always
29684 matched caselessly. The return value is one of the following:
29685 +
29686 &&&
29687 `OK     ` match succeeded
29688 `FAIL   ` match failed
29689 `DEFER  ` match deferred
29690 &&&
29691 +
29692 DEFER is usually caused by some kind of lookup defer, such as the
29693 inability to contact a database.
29694
29695 *int~lss_match_local_part(uschar~{star}localpart,~uschar~{star}list,~BOOL~caseless)*::
29696 This function checks for a match in a local part list. The third argument
29697 controls case-sensitivity. The return values are as for
29698 'lss_match_domain()'.
29699
29700 *int~lss_match_address(uschar~{star}address,~uschar~{star}list,~BOOL~caseless)*::
29701 This function checks for a match in an address list. The third argument
29702 controls the case-sensitivity of the local part match. The domain is always
29703 matched caselessly. The return values are as for 'lss_match_domain()'.
29704
29705 *int~lss_match_host(uschar~{star}host_name,~uschar~{star}host_address,~uschar~{star}list)*::
29706 This function checks for a match in a host list. The most common usage is
29707 expected to be
29708
29709   lss_match_host(sender_host_name, sender_host_address, ...)
29710 +
29711 cindex:[$sender_host_address$]
29712 An empty address field matches an empty item in the host list. If the host name
29713 is NULL, the name corresponding to $sender_host_address$ is automatically
29714 looked up if a host name is required to match an item in the list. The return
29715 values are as for 'lss_match_domain()', but in addition, 'lss_match_host()'
29716 returns ERROR in the case when it had to look up a host name, but the lookup
29717 failed.
29718
29719 *void~log_write(unsigned~int~selector,~int~which,~char~{star}format,~...)*::
29720 This function writes to Exim's log files. The first argument should be zero (it
29721 is concerned with %log_selector%). The second argument can be `LOG_MAIN` or
29722 `LOG_REJECT` or `LOG_PANIC` or the inclusive ``or'' of any combination of them.
29723 It specifies to which log or logs the message is written. The remaining
29724 arguments are a format and relevant insertion arguments. The string should not
29725 contain any newlines, not even at the end.
29726
29727
29728 *void~receive_add_recipient(uschar~{star}address,~int~pno)*::
29729 This function adds an additional recipient to the message. The first argument
29730 is the recipient address. If it is unqualified (has no domain), it is qualified
29731 with the %qualify_recipient% domain. The second argument must always be -1.
29732 +
29733 This function does not allow you to specify a private %errors_to% address (as
29734 described with the structure of %recipient_item% above), because it pre-dates
29735 the addition of that field to the structure. However, it is easy to add such a
29736 value afterwards. For example:
29737
29738   receive_add_recipient(US"monitor@mydom.example", -1);
29739   recipients_list[recipients_count-1].errors_to =
29740     US"postmaster@mydom.example";
29741
29742 *BOOL~receive_remove_recipient(uschar~{star}recipient)*::
29743 This is a convenience function to remove a named recipient from the list of
29744 recipients. It returns true if a recipient was removed, and false if no
29745 matching recipient could be found. The argument must be a complete email
29746 address.
29747
29748
29749 *uschar~*rfc2047_decode(uschar~{star}string,~BOOL~lencheck,~uschar~{star}target,~int~zeroval,~int~{star}lenptr,~uschar~{star}{star}error)*::
29750 This function decodes strings that are encoded according to RFC 2047. Typically
29751 these are the contents of header lines. First, each encoded ``word'' is decoded
29752 from the Q or B encoding into a byte-string. Then, if provided with the name of
29753 a charset encoding, and if the 'iconv()' function is available, an attempt is
29754 made  to translate the result to the named character set. If this fails, the
29755 binary string is returned with an error message.
29756 +
29757 The first argument is the string to be decoded. If %lencheck% is TRUE, the
29758 maximum MIME word length is enforced. The third argument is the target
29759 encoding, or NULL if no translation is wanted.
29760 +
29761 cindex:[binary zero,in RFC 2047 decoding]
29762 If a binary zero is encountered in the decoded string, it is replaced by the
29763 contents of the %zeroval% argument. For use with Exim headers, the value must
29764 not be 0 because header lines are handled as zero-terminated strings.
29765 +
29766 The function returns the result of processing the string, zero-terminated; if
29767 %lenptr% is not NULL, the length of the result is set in the variable to which
29768 it points. When %zeroval% is 0, %lenptr% should not be NULL.
29769 +
29770 If an error is encountered, the function returns NULL and uses the %error%
29771 argument to return an error message. The variable pointed to by %error% is set
29772 to NULL if there is no error; it may be set non-NULL even when the function
29773 returns a non-NULL value if decoding was successful, but there was a problem
29774 with translation.
29775
29776
29777 *int~smtp_fflush(void)*::
29778 This function is used in conjunction with 'smtp_printf()', as described
29779 below.
29780
29781 *void~smtp_printf(char~{star},~...)*::
29782 The arguments of this function are like 'printf()'; it writes to the SMTP
29783 output stream. You should use this function only when there is an SMTP output
29784 stream, that is, when the incoming message is being received via interactive
29785 SMTP. This is the case when %smtp_input% is TRUE and %smtp_batched_input% is
29786 FALSE. If you want to test for an incoming message from another host (as
29787 opposed to a local process that used the %-bs% command line option), you can
29788 test the value of %sender_host_address%, which is non-NULL when a remote host
29789 is involved.
29790 +
29791 If an SMTP TLS connection is established, 'smtp_printf()' uses the TLS
29792 output function, so it can be used for all forms of SMTP connection.
29793 +
29794 Strings that are written by 'smtp_printf()' from within 'local_scan()'
29795 must start with an appropriate response code: 550 if you are going to return
29796 LOCAL_SCAN_REJECT, 451 if you are going to return
29797 LOCAL_SCAN_TEMPREJECT, and 250 otherwise. Because you are writing the
29798 initial lines of a multi-line response, the code must be followed by a hyphen
29799 to indicate that the line is not the final response line. You must also ensure
29800 that the lines you write terminate with CRLF. For example:
29801
29802   smtp_printf("550-this is some extra info\r\n");
29803   return LOCAL_SCAN_REJECT;
29804 +
29805 Note that you can also create multi-line responses by including newlines in
29806 the data returned via the %return_text% argument. The added value of using
29807 'smtp_printf()' is that, for instance, you could introduce delays between
29808 multiple output lines.
29809 +
29810 The 'smtp_printf()' function does not return any error indication, because it
29811 does not automatically flush pending output, and therefore does not test
29812 the state of the stream. (In the main code of Exim, flushing and error
29813 detection is done when Exim is ready for the next SMTP input command.) If
29814 you want to flush the output and check for an error (for example, the
29815 dropping of a TCP/IP connection), you can call 'smtp_fflush()', which has no
29816 arguments. It flushes the output stream, and returns a non-zero value if there
29817 is an error.
29818
29819 *void~{star}store_get(int)*::
29820 This function accesses Exim's internal store (memory) manager. It gets a new
29821 chunk of memory whose size is given by the argument. Exim bombs out if it ever
29822 runs out of memory. See the next section for a discussion of memory handling.
29823
29824 *void~{star}store_get_perm(int)*::
29825 This function is like 'store_get()', but it always gets memory from the
29826 permanent pool. See the next section for a discussion of memory handling.
29827
29828 *uschar~{star}string_copy(uschar~{star}string)*::
29829 See below.
29830
29831 *uschar~{star}string_copyn(uschar~{star}string,~int~length)*::
29832 See below.
29833
29834 *uschar~{star}string_sprintf(char~{star}format,~...)*::
29835 These three functions create strings using Exim's dynamic memory facilities.
29836 The first makes a copy of an entire string. The second copies up to a maximum
29837 number of characters, indicated by the second argument. The third uses a format
29838 and insertion arguments to create a new string. In each case, the result is a
29839 pointer to a new string in the current memory pool. See the next section for
29840 more discussion.
29841
29842 ///
29843 End of list
29844 ///
29845
29846
29847
29848
29849 [[SECTmemhanloc]]
29850 More about Exim's memory handling
29851 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
29852 cindex:['local_scan()' function,memory handling]
29853 No function is provided for freeing memory, because that is never needed.
29854 The dynamic memory that Exim uses when receiving a message is automatically
29855 recycled if another message is received by the same process (this applies only
29856 to incoming SMTP connections -- other input methods can supply only one message
29857 at a time). After receiving the last message, a reception process terminates.
29858
29859 Because it is recycled, the normal dynamic memory cannot be used for holding
29860 data that must be preserved over a number of incoming messages on the same SMTP
29861 connection. However, Exim in fact uses two pools of dynamic memory; the second
29862 one is not recycled, and can be used for this purpose.
29863
29864 If you want to allocate memory that remains available for subsequent messages
29865 in the same SMTP connection, you should set
29866
29867   store_pool = POOL_PERM
29868
29869 before calling the function that does the allocation. There is no need to
29870 restore the value if you do not need to; however, if you do want to revert to
29871 the normal pool, you can either restore the previous value of %store_pool% or
29872 set it explicitly to POOL_MAIN.
29873
29874 The pool setting applies to all functions that get dynamic memory, including
29875 'expand_string()', 'store_get()', and the 'string_xxx()' functions.
29876 There is also a convenience function called 'store_get_perm()' that gets a
29877 block of memory from the permanent pool while preserving the value of
29878 %store_pool%.
29879
29880
29881
29882
29883
29884 ////////////////////////////////////////////////////////////////////////////
29885 ////////////////////////////////////////////////////////////////////////////
29886
29887 [[CHAPsystemfilter]]
29888 System-wide message filtering
29889 -----------------------------
29890 cindex:[filter,system filter]
29891 cindex:[filtering all mail]
29892 cindex:[system filter]
29893 The previous chapters (on ACLs and the local scan function) describe checks
29894 that can be applied to messages before they are accepted by a host. There is
29895 also a mechanism for checking messages once they have been received, but before
29896 they are delivered. This is called the 'system filter'.
29897
29898 The system filter operates in a similar manner to users' filter files, but it
29899 is run just once per message (however many recipients the message has).
29900 It should not normally be used as a substitute for routing, because %deliver%
29901 commands in a system router provide new envelope recipient addresses.
29902 The system filter must be an Exim filter. It cannot be a Sieve filter.
29903
29904 The system filter is run at the start of a delivery attempt, before any routing
29905 is done. If a message fails to be completely delivered at the first attempt,
29906 the system filter is run again at the start of every retry.
29907 If you want your filter to do something only once per message, you can make use
29908 of the %first_delivery% condition in an %if% command in the filter to prevent
29909 it happening on retries.
29910
29911 cindex:[$domain$]
29912 cindex:[$local_part$]
29913 *Warning*: Because the system filter runs just once, variables that are
29914 specific to individual recipient addresses, such as $local_part$ and
29915 $domain$, are not set, and the ``personal'' condition is not meaningful. If you
29916 want to run a centrally-specified filter for each recipient address
29917 independently, you can do so by setting up a suitable ^redirect^ router, as
29918 described in section <<SECTperaddfil>> below.
29919
29920
29921 Specifying a system filter
29922 ~~~~~~~~~~~~~~~~~~~~~~~~~~
29923 cindex:[uid (user id),system filter]
29924 cindex:[gid (group id),system filter]
29925 The name of the file that contains the system filter must be specified by
29926 setting %system_filter%. If you want the filter to run under a uid and gid
29927 other than root, you must also set %system_filter_user% and
29928 %system_filter_group% as appropriate. For example:
29929
29930   system_filter = /etc/mail/exim.filter
29931   system_filter_user = exim
29932
29933 If a system filter generates any deliveries directly to files or pipes (via the
29934 %save% or %pipe% commands), transports to handle these deliveries must be
29935 specified by setting %system_filter_file_transport% and
29936 %system_filter_pipe_transport%, respectively. Similarly,
29937 %system_filter_reply_transport% must be set to handle any messages generated
29938 by the %reply% command.
29939
29940
29941 Testing a system filter
29942 ~~~~~~~~~~~~~~~~~~~~~~~
29943 You can run simple tests of a system filter in the same way as for a user
29944 filter, but you should use %-bF% rather than %-bf%, so that features that
29945 are permitted only in system filters are recognized.
29946
29947 If you want to test the combined effect of a system filter and a user filter,
29948 you can use both %-bF% and %-bf% on the same command line.
29949
29950
29951
29952 Contents of a system filter
29953 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
29954 The language used to specify system filters is the same as for users' filter
29955 files. It is described in the separate end-user document 'Exim's interface to
29956 mail filtering'. However, there are some additional features that are
29957 available only in system filters; these are described in subsequent sections.
29958 If they are encountered in a user's filter file or when testing with %-bf%,
29959 they cause errors.
29960
29961 cindex:[frozen messages,manual thaw; testing in filter]
29962 There are two special conditions which, though available in users' filter
29963 files, are designed for use in system filters. The condition %first_delivery%
29964 is true only for the first attempt at delivering a message, and
29965 %manually_thawed% is true only if the message has been frozen, and
29966 subsequently thawed by an admin user. An explicit forced delivery counts as a
29967 manual thaw, but thawing as a result of the %auto_thaw% setting does not.
29968
29969 *Warning*: If a system filter uses the %first_delivery% condition to
29970 specify an ``unseen'' (non-significant) delivery, and that delivery does not
29971 succeed, it will not be tried again.
29972 If you want Exim to retry an unseen delivery until it succeeds, you should
29973 arrange to set it up every time the filter runs.
29974
29975 When a system filter finishes running, the values of the variables $n0$ --
29976 $n9$ are copied into $sn0$ -- $sn9$ and are thereby made available to
29977 users' filter files. Thus a system filter can, for example, set up ``scores'' to
29978 which users' filter files can refer.
29979
29980
29981
29982 Additional variable for system filters
29983 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
29984 cindex:[$recipients$]
29985 The expansion variable $recipients$, containing a list of all the recipients
29986 of the message (separated by commas and white space), is available in system
29987 filters. It is not available in users' filters for privacy reasons.
29988
29989
29990
29991 Defer, freeze, and fail commands for system filters
29992 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
29993 cindex:[freezing messages]
29994 cindex:[message,freezing]
29995 cindex:[message,forced failure]
29996 cindex:[%fail%,in system filter]
29997 cindex:[%freeze% in system filter]
29998 cindex:[%defer% in system filter]
29999 There are three extra commands (%defer%, %freeze% and %fail%) which are always
30000 available in system filters, but are not normally enabled in users' filters.
30001 (See the %allow_defer%,
30002 %allow_freeze% and %allow_fail% options for the ^redirect^ router.) These
30003 commands can optionally be followed by the word %text% and a string containing
30004 an error message, for example:
30005
30006   fail text "this message looks like spam to me"
30007
30008 The keyword %text% is optional if the next character is a double quote.
30009
30010 The %defer% command defers delivery of the original recipients of the message.
30011 The %fail% command causes all the original recipients to be failed, and a
30012 bounce message to be created. The %freeze% command suspends all delivery
30013 attempts for the original recipients. In all cases, any new deliveries that are
30014 specified by the filter are attempted as normal after the filter has run.
30015
30016 The %freeze% command is ignored if the message has been manually unfrozen and
30017 not manually frozen since. This means that automatic freezing by a system
30018 filter can be used as a way of checking out suspicious messages. If a message
30019 is found to be all right, manually unfreezing it allows it to be delivered.
30020
30021 cindex:[log,%fail% command log line]
30022 cindex:[%fail%,log line; reducing]
30023 The text given with a fail command is used as part of the bounce message as
30024 well as being written to the log. If the message is quite long, this can fill
30025 up a lot of log space when such failures are common. To reduce the size of the
30026 log message, Exim interprets the text in a special way if it starts with the
30027 two characters `<<` and contains `>>` later. The text between these two
30028 strings is written to the log, and the rest of the text is used in the bounce
30029 message. For example:
30030
30031 ....
30032 fail "<<filter test 1>>Your message is rejected \
30033      because it contains attachments that we are \
30034      not prepared to receive."
30035 ....
30036
30037
30038 cindex:[loop,caused by %fail%]
30039 Take great care with the %fail% command when basing the decision to fail on the
30040 contents of the message, because the bounce message will of course include the
30041 contents of the original message and will therefore trigger the %fail% command
30042 again (causing a mail loop) unless steps are taken to prevent this. Testing the
30043 %error_message% condition is one way to prevent this. You could use, for
30044 example
30045
30046   if $message_body contains "this is spam" and not error_message
30047     then fail text "spam is not wanted here" endif
30048
30049 though of course that might let through unwanted bounce messages. The
30050 alternative is clever checking of the body and/or headers to detect bounces
30051 generated by the filter.
30052
30053 The interpretation of a system filter file ceases after a
30054 %defer%,
30055 %freeze%, or %fail% command is obeyed. However, any deliveries that were set up
30056 earlier in the filter file are honoured, so you can use a sequence such as
30057
30058   mail ...
30059   freeze
30060
30061 to send a specified message when the system filter is freezing (or deferring or
30062 failing) a message. The normal deliveries for the message do not, of course,
30063 take place.
30064
30065
30066
30067 [[SECTaddremheasys]]
30068 Adding and removing headers in a system filter
30069 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30070 cindex:[header lines,adding; in system filter]
30071 cindex:[header lines,removing; in system filter]
30072 cindex:[filter,header lines; adding/removing]
30073 Two filter commands that are available only in system filters are:
30074
30075   headers add <string>
30076   headers remove <string>
30077
30078 The argument for the %headers add% is a string that is expanded and then added
30079 to the end of the message's headers. It is the responsibility of the filter
30080 maintainer to make sure it conforms to RFC 2822 syntax. Leading white space is
30081 ignored, and if the string is otherwise empty, or if the expansion is forced to
30082 fail, the command has no effect.
30083
30084 You can use ``\n'' within the string, followed by white space, to specify
30085 continued header lines. More than one header may be added in one command by
30086 including ``\n'' within the string without any following white space. For
30087 example:
30088
30089 ....
30090 headers add "X-header-1: ....\n  \
30091              continuation of X-header-1 ...\n\
30092              X-header-2: ...."
30093 ....
30094
30095 Note that the header line continuation white space after the first newline must
30096 be placed before the backslash that continues the input string, because white
30097 space after input continuations is ignored.
30098
30099 The argument for %headers remove% is a colon-separated list of header names.
30100 This command applies only to those headers that are stored with the message;
30101 those that are added at delivery time (such as 'Envelope-To:' and
30102 'Return-Path:') cannot be removed by this means. If there is more than one
30103 header with the same name, they are all removed.
30104
30105 The %headers% command in a system filter makes an immediate change to the set
30106 of header lines that was received with the message (with possible additions
30107 from ACL processing). Subsequent commands in the system filter operate on the
30108 modified set, which also forms the basis for subsequent message delivery.
30109 Unless further modified during routing or transporting, this set of headers is
30110 used for all recipients of the message.
30111
30112 During routing and transporting, the variables that refer to the contents of
30113 header lines refer only to those lines that are in this set. Thus, header lines
30114 that are added by a system filter are visible to users' filter files and to all
30115 routers and transports. This contrasts with the manipulation of header lines by
30116 routers and transports, which is not immediate, but which instead is saved up
30117 until the message is actually being written (see section <<SECTheadersaddrem>>).
30118
30119 If the message is not delivered at the first attempt, header lines that were
30120 added by the system filter are stored with the message, and so are still
30121 present at the next delivery attempt. Header lines that were removed are still
30122 present, but marked ``deleted'' so that they are not transported with the
30123 message. For this reason, it is usual to make the %headers% command conditional
30124 on %first_delivery% so that the set of header lines is not modified more than
30125 once.
30126
30127 Because header modification in a system filter acts immediately, you have to
30128 use an indirect approach if you want to modify the contents of a header line.
30129 For example:
30130
30131   headers add "Old-Subject: $h_subject:"
30132   headers remove "Subject"
30133   headers add "Subject: new subject (was: $h_old-subject:)"
30134   headers remove "Old-Subject"
30135
30136
30137
30138
30139
30140 Setting an errors address in a system filter
30141 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30142 cindex:[envelope sender]
30143 In a system filter, if a %deliver% command is followed by
30144
30145   errors_to <some address>
30146
30147 in order to change the envelope sender (and hence the error reporting) for that
30148 delivery, any address may be specified. (In a user filter, only the current
30149 user's address can be set.) For example, if some mail is being monitored, you
30150 might use
30151
30152   unseen deliver monitor@spying.example errors_to root@local.example
30153
30154 to take a copy which would not be sent back to the normal error reporting
30155 address if its delivery failed.
30156
30157
30158
30159 [[SECTperaddfil]]
30160 Per-address filtering
30161 ~~~~~~~~~~~~~~~~~~~~~
30162 cindex:[$domain$]
30163 cindex:[$local_part$]
30164 In contrast to the system filter, which is run just once per message for each
30165 delivery attempt, it is also possible to set up a system-wide filtering
30166 operation that runs once for each recipient address. In this case, variables
30167 such as $local_part$ and $domain$ can be used, and indeed, the choice of
30168 filter file could be made dependent on them. This is an example of a router
30169 which implements such a filter:
30170
30171   central_filter:
30172     check_local_user
30173     driver = redirect
30174     domains = +local_domains
30175     file = /central/filters/$local_part
30176     no_verify
30177     allow_filter
30178     allow_freeze
30179
30180 The filter is run in a separate process under its own uid. Therefore, either
30181 %check_local_user% must be set (as above), in which case the filter is run as
30182 the local user, or the %user% option must be used to specify which user to use.
30183 If both are set, %user% overrides.
30184
30185 Care should be taken to ensure that none of the commands in the filter file
30186 specify a significant delivery if the message is to go on to be delivered to
30187 its intended recipient. The router will not then claim to have dealt with the
30188 address, so it will be passed on to subsequent routers to be delivered in the
30189 normal way.
30190
30191
30192
30193
30194
30195
30196 ////////////////////////////////////////////////////////////////////////////
30197 ////////////////////////////////////////////////////////////////////////////
30198
30199 [[CHAPmsgproc]]
30200 Message processing
30201 ------------------
30202 cindex:[message,general processing]
30203 Exim performs various transformations on the sender and recipient addresses of
30204 all messages that it handles, and also on the messages' header lines. Some of
30205 these are optional and configurable, while others always take place. All of
30206 this processing, except rewriting as a result of routing, and the addition or
30207 removal of header lines while delivering, happens when a message is received,
30208 before it is placed on Exim's queue.
30209
30210 Some of the automatic processing takes place by default only for
30211 ``locally-originated'' messages. This adjective is used to describe messages that
30212 are not received over TCP/IP, but instead are passed to an Exim process on its
30213 standard input. This includes the interactive ``local SMTP'' case that is set up
30214 by the %-bs% command line option.
30215
30216 *Note*: messages received over TCP/IP on the loopback interface (127.0.0.1
30217 or ::1) are not considered to be locally-originated. Exim does not treat the
30218 loopback interface specially in any way.
30219
30220 If you want the loopback interface to be treated specially, you must ensure
30221 that there are appropriate entries in your ACLs.
30222
30223
30224
30225
30226 [[SECTsubmodnon]]
30227 Submission mode for non-local messages
30228 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30229 [revisionflag="changed"]
30230 cindex:[message,submission]
30231 cindex:[submission mode]
30232 Processing that happens automatically for locally-originated messages (unless
30233 %suppress_local_fixups% is set) can also be requested for messages that are
30234 received over TCP/IP. The term ``submission mode'' is used to describe this
30235 state. Submisssion mode is set by the modifier
30236
30237   control = submission
30238
30239 in a MAIL, RCPT, or pre-data ACL for an incoming message (see sections
30240 <<SECTACLmodi>> and <<SECTcontrols>>). This makes Exim treat the message as a
30241 local submission, and is normally used when the source of the message is known
30242 to be an MUA running on a client host (as opposed to an MTA). For example, to
30243 set submission mode for messages originating on the IPv4 loopback interface,
30244 you could include the following in the MAIL ACL:
30245
30246   warn  hosts = 127.0.0.1
30247         control = submission
30248
30249 cindex:[%sender_retain%]
30250 There are some options that can be used when setting submission mode. A slash
30251 is used to separate options. For example:
30252
30253   control = submission/sender_retain
30254
30255 Specifying %sender_retain% has the effect of setting %local_sender_retain%
30256 true and %local_from_check% false for the current incoming message. The first
30257 of these allows an existing 'Sender:' header in the message to remain, and the
30258 second suppresses the check to ensure that 'From:' matches the authenticated
30259 sender. With this setting, Exim still fixes up messages by adding 'Date:' and
30260 'Message-ID:' header lines if they are missing, but makes no attempt to check
30261 sender authenticity in header lines.
30262
30263 When %sender_retain% is not set, a submission mode setting may specify a domain
30264 to be used when generating a 'From:' or 'Sender:' header line. For example:
30265
30266   control = submission/domain=some.domain
30267
30268 [revisionflag="changed"]
30269 The domain may be empty. How this value is used is described in sections
30270 <<SECTthefrohea>> and <<SECTthesenhea>>. There is also a %name% option that
30271 allows you to specify the user's full name for inclusion in a created
30272 'Sender:' or 'From:' header line. For example:
30273
30274 [revisionflag="changed"]
30275 ....
30276 accept authenticated = *
30277        control = submission/domain=wonderland.example/\
30278                             name=${lookup {$authenticated_id} \
30279                                    lsearch {/etc/exim/namelist}}
30280 ....
30281
30282 [revisionflag="changed"]
30283 Because the name may contain any characters, including slashes, the %name%
30284 option must be given last. The remainder of the string is used as the name. For
30285 the example above, if _/etc/exim/namelist_ contains:
30286
30287 [revisionflag="changed"]
30288 ....
30289 bigegg:  Humpty Dumpty
30290 ....
30291
30292 [revisionflag="changed"]
30293 then when the sender has authenticated as 'bigegg', the generated 'Sender:'
30294 line would be:
30295
30296 [revisionflag="changed"]
30297 ....
30298 Sender: Humpty Dumpty <bigegg@wonderland.example>
30299 ....
30300
30301 [revisionflag="changed"]
30302 cindex:[return path,in submission mode]
30303 By default, submission mode forces the return path to the same address as is
30304 used to create the 'Sender:' header. However, if %sender_retain% is specified,
30305 the return path is also left unchanged.
30306
30307 [revisionflag="changed"]
30308 *Note*: the changes caused by submission mode take effect after the predata
30309 ACL. This means that any sender checks performed before the fix-ups use the
30310 untrusted sender address specified by the user, not the trusted sender address
30311 specified by submission mode. Although this might be slightly unexpected, it
30312 does mean that you can configure ACL checks to spot that a user is trying to
30313 spoof another's address.
30314
30315
30316 [[SECTlineendings]]
30317 Line endings
30318 ~~~~~~~~~~~~
30319 cindex:[line endings]
30320 cindex:[carriage return]
30321 cindex:[linefeed]
30322 RFC 2821 specifies that CRLF (two characters: carriage-return, followed by
30323 linefeed) is the line ending for messages transmitted over the Internet using
30324 SMTP over TCP/IP. However, within individual operating systems, different
30325 conventions are used. For example, Unix-like systems use just LF, but others
30326 use CRLF or just CR.
30327
30328 Exim was designed for Unix-like systems, and internally, it stores messages
30329 using the system's convention of a single LF as a line terminator. When
30330 receiving a message, all line endings are translated to this standard format.
30331 Originally, it was thought that programs that passed messages directly to an
30332 MTA within an operating system would use that system's convention. Experience
30333 has shown that this is not the case; for example, there are Unix applications
30334 that use CRLF in this circumstance. For this reason, and for compatibility with
30335 other MTAs, the way Exim handles line endings for all messages is now as
30336 follows:
30337
30338 - LF not preceded by CR is treated as a line ending.
30339
30340 - CR is treated as a line ending; if it is immediately followed by LF, the LF
30341 is ignored.
30342
30343 - The sequence ``CR, dot, CR'' does not terminate an incoming SMTP message,
30344 nor a local message in the state where a line containing only a dot is a
30345 terminator.
30346
30347 - If a bare CR is encountered within a header line, an extra space is added after
30348 the line terminator so as not to end the header line. The reasoning behind this
30349 is that bare CRs in header lines are most likely either to be mistakes, or
30350 people trying to play silly games.
30351
30352 - If the first header line received in a message ends with CRLF, a subsequent
30353 bare LF in a header line is treated in the same way as a bare CR in a header
30354 line.
30355
30356
30357
30358
30359
30360 Unqualified addresses
30361 ~~~~~~~~~~~~~~~~~~~~~
30362 cindex:[unqualified addresses]
30363 cindex:[address,qualification]
30364 By default, Exim expects every envelope address it receives from an external
30365 host to be fully qualified. Unqualified addresses cause negative responses to
30366 SMTP commands. However, because SMTP is used as a means of transporting
30367 messages from MUAs running on personal workstations, there is sometimes a
30368 requirement to accept unqualified addresses from specific hosts or IP networks.
30369
30370 Exim has two options that separately control which hosts may send unqualified
30371 sender or receipient addresses in SMTP commands, namely
30372 %sender_unqualified_hosts% and %recipient_unqualified_hosts%. In both
30373 cases, if an unqualified address is accepted, it is qualified by adding the
30374 value of %qualify_domain% or %qualify_recipient%, as appropriate.
30375
30376 cindex:[%qualify_domain%]
30377 cindex:[%qualify_recipient%]
30378 Unqualified addresses in header lines are automatically qualified for messages
30379 that are locally originated, unless the %-bnq% option is given on the command
30380 line. For messages received over SMTP, unqualified addresses in header lines
30381 are qualified only if unqualified addresses are permitted in SMTP commands. In
30382 other words, such qualification is also controlled by
30383 %sender_unqualified_hosts% and %recipient_unqualified_hosts%,
30384
30385
30386
30387
30388 The UUCP From line
30389 ~~~~~~~~~~~~~~~~~~
30390 cindex:[``From'' line]
30391 cindex:[UUCP,``From'' line]
30392 cindex:[sender,address]
30393 cindex:[%uucp_from_pattern%]
30394 cindex:[%uucp_from_sender%]
30395 cindex:[envelope sender]
30396 cindex:[Sendmail compatibility,``From'' line]
30397 Messages that have come from UUCP (and some other applications) often begin
30398 with a line containing the envelope sender and a timestamp, following the word
30399 ``From''. Examples of two common formats are:
30400
30401   From a.oakley@berlin.mus Fri Jan  5 12:35 GMT 1996
30402   From f.butler@berlin.mus Fri, 7 Jan 97 14:00:00 GMT
30403
30404 This line precedes the RFC 2822 header lines. For compatibility with Sendmail,
30405 Exim recognizes such lines at the start of messages that are submitted to it
30406 via the command line (that is, on the standard input). It does not recognize
30407 such lines in incoming SMTP messages, unless the sending host matches
30408 %ignore_fromline_hosts% or the %-bs% option was used for a local message and
30409 %ignore_fromline_local% is set. The recognition is controlled by a regular
30410 expression that is defined by the %uucp_from_pattern% option, whose default
30411 value matches the two common cases shown above and puts the address that
30412 follows ``From'' into $1$.
30413
30414 cindex:[numerical variables ($1$ $2$ etc),in ``From '' line handling]
30415 When the caller of Exim for a non-SMTP message that contains a ``From'' line is a
30416 trusted user, the message's sender address is constructed by expanding the
30417 contents of %uucp_sender_address%, whose default value is ``\$1''. This is then
30418 parsed as an RFC 2822 address. If there is no domain, the local part is
30419 qualified with %qualify_domain% unless it is the empty string. However, if the
30420 command line %-f% option is used, it overrides the ``From'' line.
30421
30422 If the caller of Exim is not trusted, the ``From'' line is recognized, but the
30423 sender address is not changed. This is also the case for incoming SMTP messages
30424 that are permitted to contain ``From'' lines.
30425
30426 Only one ``From'' line is recognized. If there is more than one, the second is
30427 treated as a data line that starts the body of the message, as it is not valid
30428 as a header line. This also happens if a ``From'' line is present in an incoming
30429 SMTP message from a source that is not permitted to send them.
30430
30431
30432
30433 Resent- header lines
30434 ~~~~~~~~~~~~~~~~~~~~
30435 cindex:[%Resent-% header lines]
30436 RFC 2822 makes provision for sets of header lines starting with the string
30437 `Resent-` to be added to a message when it is resent by the original
30438 recipient to somebody else. These headers are 'Resent-Date:', 'Resent-From:',
30439 'Resent-Sender:', 'Resent-To:', 'Resent-Cc:', 'Resent-Bcc:' and
30440 'Resent-Message-ID:'. The RFC says:
30441
30442 'Resent fields are strictly informational. They MUST NOT be used in the normal
30443 processing of replies or other such automatic actions on messages.'
30444
30445 This leaves things a bit vague as far as other processing actions such as
30446 address rewriting are concerned. Exim treats %Resent-% header lines as
30447 follows:
30448
30449 - A 'Resent-From:' line that just contains the login id of the submitting user
30450 is automatically rewritten in the same way as 'From:' (see below).
30451
30452 - If there's a rewriting rule for a particular header line, it is also applied to
30453 %Resent-% header lines of the same type. For example, a rule that rewrites
30454 'From:' also rewrites 'Resent-From:'.
30455
30456 - For local messages, if 'Sender:' is removed on input, 'Resent-Sender:' is also
30457 removed.
30458
30459 - For a locally-submitted message,
30460 if there are any %Resent-% header lines but no 'Resent-Date:',
30461 'Resent-From:', or 'Resent-Message-Id:', they are added as necessary. It is
30462 the contents of 'Resent-Message-Id:' (rather than 'Message-Id:') which are
30463 included in log lines in this case.
30464
30465 - The logic for adding 'Sender:' is duplicated for 'Resent-Sender:' when any
30466 %Resent-% header lines are present.
30467
30468
30469
30470
30471 The Auto-Submitted: header line
30472 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30473 Whenever Exim generates a bounce or a delay warning message, it includes the
30474 header line
30475
30476   Auto-Submitted: auto-generated
30477
30478
30479
30480
30481 The Bcc: header line
30482 ~~~~~~~~~~~~~~~~~~~~
30483 cindex:['Bcc:' header line]
30484 If Exim is called with the %-t% option, to take recipient addresses from a
30485 message's header, it removes any 'Bcc:' header line that may exist (after
30486 extracting its addresses). If %-t% is not present on the command line, any
30487 existing 'Bcc:' is not removed.
30488
30489
30490 The Date: header line
30491 ~~~~~~~~~~~~~~~~~~~~~
30492 [revisionflag="changed"]
30493 cindex:['Date:' header line]
30494 If a locally-generated or submission-mode message has no 'Date:' header line,
30495 Exim adds one, using the current date and time, unless the
30496 %suppress_local_fixups% control has been specified.
30497
30498
30499 The Delivery-date: header line
30500 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30501 cindex:['Delivery-date:' header line]
30502 cindex:[%delivery_date_remove%]
30503 'Delivery-date:' header lines are not part of the standard RFC 2822 header
30504 set. Exim can be configured to add them to the final delivery of messages. (See
30505 the generic %delivery_date_add% transport option.) They should not be present
30506 in messages in transit. If the %delivery_date_remove% configuration option is
30507 set (the default), Exim removes 'Delivery-date:' header lines from incoming
30508 messages.
30509
30510
30511 The Envelope-to: header line
30512 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30513 cindex:['Envelope-to:' header line]
30514 cindex:[%envelope_to_remove%]
30515 'Envelope-to:' header lines are not part of the standard RFC 2822 header set.
30516 Exim can be configured to add them to the final delivery of messages. (See the
30517 generic %envelope_to_add% transport option.) They should not be present in
30518 messages in transit. If the %envelope_to_remove% configuration option is set
30519 (the default), Exim removes 'Envelope-to:' header lines from incoming
30520 messages.
30521
30522
30523 [[SECTthefrohea]]
30524 The From: header line
30525 ~~~~~~~~~~~~~~~~~~~~~
30526 cindex:['From:' header line]
30527 cindex:[Sendmail compatibility,``From'' line]
30528 cindex:[message,submission]
30529 cindex:[submission mode]
30530 If a submission-mode message does not contain a 'From:' header line, Exim adds
30531 one if either of the following conditions is true:
30532
30533 - The envelope sender address is not empty (that is, this is not a bounce
30534 message). The added header line copies the envelope sender address.
30535
30536 - cindex:[$authenticated_id$]
30537 The SMTP session is authenticated and $authenticated_id$ is not empty.
30538
30539 .. cindex:[$qualify_domain$]
30540 If no domain is specified by the submission control, the local part is
30541 $authenticated_id$ and the domain is $qualify_domain$.
30542
30543 .. If a non-empty domain is specified by the submission control, the local
30544 part is $authenticated_id$, and the the domain is the specified domain.
30545
30546 .. If an empty domain is specified by the submission control,
30547 $authenticated_id$ is assumed to be the complete address.
30548
30549 A non-empty envelope sender takes precedence.
30550
30551 [revisionflag="changed"]
30552 If a locally-generated incoming message does not contain a 'From:' header line,
30553 and the %suppress_local_fixups% control is not set, Exim adds one containing
30554 the sender's address. The calling user's login name and full name are used to
30555 construct the address, as described in section <<SECTconstr>>. They are
30556 obtained from the password data by calling 'getpwuid()' (but see the
30557 %unknown_login% configuration option). The address is qualified with
30558 %qualify_domain%.
30559
30560 For compatibility with Sendmail, if an incoming, non-SMTP message has a
30561 'From:' header line containing just the unqualified login name of the calling
30562 user, this is replaced by an address containing the user's login name and full
30563 name as described in section <<SECTconstr>>.
30564
30565
30566 The Message-ID: header line
30567 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
30568 [revisionflag="changed"]
30569 cindex:['Message-ID:' header line]
30570 cindex:[message,submission]
30571 cindex:[%message_id_header_text%]
30572 If a locally-generated or submission-mode incoming message does not contain a
30573 'Message-ID:' or 'Resent-Message-ID:' header line, and the
30574 %suppress_local_fixups% control is not set, Exim adds a suitable header line to
30575 the message. If there are any 'Resent-:' headers in the message, it creates
30576 'Resent-Message-ID:'. The id is constructed from Exim's internal message id,
30577 preceded by the letter E to ensure it starts with a letter, and followed by @
30578 and the primary host name. Additional information can be included in this
30579 header line by setting the %message_id_header_text% and/or
30580 %message_id_header_domain% options.
30581
30582
30583
30584 The Received: header line
30585 ~~~~~~~~~~~~~~~~~~~~~~~~~
30586 cindex:['Received:' header line]
30587 A 'Received:' header line is added at the start of every message. The contents
30588 are defined by the %received_header_text% configuration option, and Exim
30589 automatically adds a semicolon and a timestamp to the configured string.
30590
30591 The 'Received:' header is generated as soon as the message's header lines have
30592 been received. At this stage, the timestamp in the 'Received:' header line is
30593 the time that the message started to be received. This is the value that is
30594 seen by the DATA ACL and by the 'local_scan()' function.
30595
30596 Once a message is accepted, the timestamp in the 'Received:' header line is
30597 changed to the time of acceptance, which is (apart from a small delay while the
30598 -H spool file is written) the earliest time at which delivery could start.
30599
30600
30601
30602 The Return-path: header line
30603 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30604 cindex:['Return-path:' header line]
30605 cindex:[%return_path_remove%]
30606 'Return-path:' header lines are defined as something an MTA may insert when
30607 it does the final delivery of messages. (See the generic %return_path_add%
30608 transport option.) Therefore, they should not be present in messages in
30609 transit. If the %return_path_remove% configuration option is set (the
30610 default), Exim removes 'Return-path:' header lines from incoming messages.
30611
30612
30613
30614 [[SECTthesenhea]]
30615 The Sender: header line
30616 ~~~~~~~~~~~~~~~~~~~~~~~
30617 [revisionflag="changed"]
30618 cindex:['Sender:' header line]
30619 cindex:[message,submission]
30620 For a locally-originated message from an untrusted user, Exim may remove an
30621 existing 'Sender:' header line, and it may add a new one. You can modify these
30622 actions by setting the %local_sender_retain% option true, the
30623 %local_from_check% option false, or by using the %suppress_local_fixups%
30624 control setting.
30625
30626 [revisionflag="changed"]
30627 When a local message is received from an untrusted user and %local_from_check%
30628 is true (the default), and the %suppress_local_fixups% control has not been
30629 set, a check is made to see if the address given in the 'From:' header line is
30630 the correct (local) sender of the message. The address that is expected has the
30631 login name as the local part and the value of %qualify_domain% as the domain.
30632 Prefixes and suffixes for the local part can be permitted by setting
30633 %local_from_prefix% and %local_from_suffix% appropriately. If 'From:' does not
30634 contain the correct sender, a 'Sender:' line is added to the message.
30635
30636 If you set %local_from_check% false, this checking does not occur. However,
30637 the removal of an existing 'Sender:' line still happens, unless you also set
30638 %local_sender_retain% to be true. It is not possible to set both of these
30639 options true at the same time.
30640
30641 cindex:[submission mode]
30642 By default, no processing of 'Sender:' header lines is done for messages
30643 received over TCP/IP or for messages submitted by trusted users. However, when
30644 a message is received over TCP/IP in submission mode, and %sender_retain% is
30645 not specified on the submission control, the following processing takes place:
30646
30647 cindex:[$authenticated_id$]
30648 First, any existing 'Sender:' lines are removed. Then, if the SMTP session is
30649 authenticated, and $authenticated_id$ is not empty, a sender address is
30650 created as follows:
30651
30652 - cindex:[$qualify_domain$]
30653 If no domain is specified by the submission control, the local part is
30654 $authenticated_id$ and the domain is $qualify_domain$.
30655
30656 - If a non-empty domain is specified by the submission control, the local part
30657 is $authenticated_id$, and the the domain is the specified domain.
30658
30659 - If an empty domain is specified by the submission control,
30660 $authenticated_id$ is assumed to be the complete address.
30661
30662 This address is compared with the address in the 'From:' header line. If they
30663 are different, a 'Sender:' header line containing the created address is
30664 added. Prefixes and suffixes for the local part in 'From:' can be permitted by
30665 setting %local_from_prefix% and %local_from_suffix% appropriately.
30666
30667 [revisionflag="changed"]
30668 cindex:[return path,created from 'Sender:']
30669 *Note*: whenever a 'Sender:' header line is created, the return path for the
30670 message (the envelope sender address) is changed to be the same address, except
30671 in the case of submission mode when %sender_retain% is specified.
30672
30673
30674
30675
30676 [[SECTheadersaddrem]]
30677 Adding and removing header lines in routers and transports
30678 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30679 [revisionflag="changed"]
30680 cindex:[header lines,adding; in router or transport]
30681 cindex:[header lines,removing; in router or transport]
30682 When a message is delivered, the addition and removal of header lines can be
30683 specified in a system filter, or on any of the routers and transports that
30684 process the message. Section <<SECTaddremheasys>> contains details about
30685 modifying headers in a system filter. Header lines can also be added in an ACL
30686 as a message is received (see section <<SECTaddheadwarn>>).
30687
30688 In contrast to what happens in a system filter, header modifications that are
30689 specified on routers and transports apply only to the particular recipient
30690 addresses that are being processed by those routers and transports. These
30691 changes do not actually take place until a copy of the message is being
30692 transported. Therefore, they do not affect the basic set of header lines, and
30693 they do not affect the values of the variables that refer to header lines.
30694
30695 [revisionflag="changed"]
30696 *Note*: in particular, this means that any expansions in the configuration of
30697 the transport cannot refer to the modified header lines, because such
30698 expansions all occur before the message is actually transported.
30699
30700 For both routers and transports, the result of expanding a %headers_add%
30701 option must be in the form of one or more RFC 2822 header lines, separated by
30702 newlines (coded as ``\n''). For example:
30703
30704 ....
30705 headers_add = X-added-header: added by $primary_hostname\n\
30706               X-added-second: another added header line
30707 ....
30708
30709 Exim does not check the syntax of these added header lines.
30710
30711 The result of expanding %headers_remove% must consist of a colon-separated
30712 list of header names. This is confusing, because header names themselves are
30713 often terminated by colons. In this case, the colons are the list separators,
30714 not part of the names. For example:
30715
30716   headers_remove = return-receipt-to:acknowledge-to
30717
30718 When %headers_add% or %headers_remove% is specified on a router, its value is
30719 expanded at routing time, and then associated with all addresses that are
30720 accepted by that router, and also with any new addresses that it generates. If
30721 an address passes through several routers as a result of aliasing or
30722 forwarding, the changes are cumulative.
30723
30724 cindex:[%unseen% option]
30725 However, this does not apply to multiple routers that result from the use of
30726 the %unseen% option. Any header modifications that were specified by the
30727 ``unseen'' router or its predecessors apply only to the ``unseen'' delivery.
30728
30729 Addresses that end up with different %headers_add% or %headers_remove%
30730 settings cannot be delivered together in a batch, so a transport is always
30731 dealing with a set of addresses that have the same header-processing
30732 requirements.
30733
30734 The transport starts by writing the original set of header lines that arrived
30735 with the message, possibly modified by the system filter. As it writes out
30736 these lines, it consults the list of header names that were attached to the
30737 recipient address(es) by %headers_remove% options in routers, and it also
30738 consults the transport's own %headers_remove% option. Header lines whose names
30739 are on either of these lists are not written out. If there are multiple
30740 instances of any listed header, they are all skipped.
30741
30742 After the remaining original header lines have been written, new header
30743 lines that were specified by routers' %headers_add% options are written, in
30744 the order in which they were attached to the address. These are followed by any
30745 header lines specified by the transport's %headers_add% option.
30746
30747 This way of handling header line modifications in routers and transports has
30748 the following consequences:
30749
30750 - The original set of header lines, possibly modified by the system filter,
30751 remains ``visible'', in the sense that the $header_$'xxx' variables refer to
30752 it, at all times.
30753
30754 - Header lines that are added by a router's
30755 %headers_add% option are not accessible by means of the $header_$'xxx'
30756 expansion syntax in subsequent routers or the transport.
30757
30758 - Conversely, header lines that are specified for removal by %headers_remove% in
30759 a router remain visible to subsequent routers and the transport.
30760
30761 - Headers added to an address by %headers_add% in a router cannot be removed by
30762 a later router or by a transport.
30763
30764 - An added header can refer to the contents of an original header that is to be
30765 removed, even it has the same name as the added header. For example:
30766
30767   headers_remove = subject
30768   headers_add = Subject: new subject (was: $h_subject:)
30769
30770
30771 *Warning*: The %headers_add% and %headers_remove% options cannot be used
30772 for a ^redirect^ router that has the %one_time% option set.
30773
30774
30775
30776
30777
30778 [[SECTconstr]]
30779 Constructed addresses
30780 ~~~~~~~~~~~~~~~~~~~~~
30781 cindex:[address,constructed]
30782 cindex:[constructed address]
30783 When Exim constructs a sender address for a locally-generated message, it uses
30784 the form
30785
30786   <user name> <<login>@<qualify_domain>>
30787
30788 For example:
30789
30790   Zaphod Beeblebrox <zaphod@end.univ.example>
30791
30792 The user name is obtained from the %-F% command line option if set, or
30793 otherwise by looking up the calling user by 'getpwuid()' and extracting the
30794 ``gecos'' field from the password entry. If the ``gecos'' field contains an
30795 ampersand character, this is replaced by the login name with the first letter
30796 upper cased, as is conventional in a number of operating systems. See the
30797 %gecos_name% option for a way to tailor the handling of the ``gecos'' field. The
30798 %unknown_username% option can be used to specify user names in cases when
30799 there is no password file entry.
30800
30801 In all cases, the user name is made to conform to RFC 2822 by quoting all or
30802 parts of it if necessary. In addition, if it contains any non-printing
30803 characters, it is encoded as described in RFC 2047, which defines a way of
30804 including non-ASCII characters in header lines.
30805 The value of the %headers_charset% option specifies the name of the encoding
30806 that is used (the characters are assumed to be in this encoding).
30807 The setting of %print_topbitchars% controls whether characters with the top
30808 bit set (that is, with codes greater than 127) count as printing characters or
30809 not.
30810
30811
30812
30813 Case of local parts
30814 ~~~~~~~~~~~~~~~~~~~
30815 cindex:[case of local parts]
30816 cindex:[local part,case of]
30817 RFC 2822 states that the case of letters in the local parts of addresses cannot
30818 be assumed to be non-significant. Exim preserves the case of local parts of
30819 addresses, but by default it uses a lower-cased form when it is routing,
30820 because on most Unix systems, usernames are in lower case and case-insensitive
30821 routing is required. However, any particular router can be made to use the
30822 original case for local parts by setting the %caseful_local_part% generic
30823 router option.
30824
30825 cindex:[mixed-case login names]
30826 If you must have mixed-case user names on your system, the best way to proceed,
30827 assuming you want case-independent handling of incoming email, is to set up
30828 your first router to convert incoming local parts in your domains to the
30829 correct case by means of a file lookup. For example:
30830
30831 ....
30832 correct_case:
30833   driver = redirect
30834   domains = +local_domains
30835   data = ${lookup{$local_part}cdb\
30836               {/etc/usercased.cdb}{$value}fail}\
30837               @$domain
30838 ....
30839
30840 For this router, the local part is forced to lower case by the default action
30841 (%caseful_local_part% is not set). The lower-cased local part is used to look
30842 up a new local part in the correct case. If you then set %caseful_local_part%
30843 on any subsequent routers which process your domains, they will operate on
30844 local parts with the correct case in a case-sensitive manner.
30845
30846
30847
30848 Dots in local parts
30849 ~~~~~~~~~~~~~~~~~~~
30850 cindex:[dot,in local part]
30851 cindex:[local part,dots in]
30852 RFC 2822 forbids empty components in local parts. That is, an unquoted local
30853 part may not begin or end with a dot, nor have two consecutive dots in the
30854 middle. However, it seems that many MTAs do not enforce this, so Exim permits
30855 empty components for compatibility.
30856
30857
30858
30859 Rewriting addresses
30860 ~~~~~~~~~~~~~~~~~~~
30861 cindex:[rewriting,addresses]
30862 Rewriting of sender and recipient addresses, and addresses in headers, can
30863 happen automatically, or as the result of configuration options, as described
30864 in chapter <<CHAPrewrite>>. The headers that may be affected by this are 'Bcc:',
30865 'Cc:', 'From:', 'Reply-To:', 'Sender:', and 'To:'.
30866
30867 Automatic rewriting includes qualification, as mentioned above. The other case
30868 in which it can happen is when an incomplete non-local domain is given. The
30869 routing process may cause this to be expanded into the full domain name. For
30870 example, a header such as
30871
30872   To: hare@teaparty
30873
30874 might get rewritten as
30875
30876   To: hare@teaparty.wonderland.fict.example
30877
30878 Rewriting as a result of routing is the one kind of message processing that
30879 does not happen at input time, as it cannot be done until the address has
30880 been routed.
30881
30882 Strictly, one should not do 'any' deliveries of a message until all its
30883 addresses have been routed, in case any of the headers get changed as a
30884 result of routing. However, doing this in practice would hold up many
30885 deliveries for unreasonable amounts of time, just because one address could not
30886 immediately be routed. Exim therefore does not delay other deliveries when
30887 routing of one or more addresses is deferred.
30888
30889
30890 ////////////////////////////////////////////////////////////////////////////
30891 ////////////////////////////////////////////////////////////////////////////
30892
30893 [[CHAPSMTP]]
30894 SMTP processing
30895 ---------------
30896 cindex:[SMTP,processing details]
30897 cindex:[LMTP,processing details]
30898 Exim supports a number of different ways of using the SMTP protocol, and its
30899 LMTP variant, which is an interactive protocol for transferring messages into a
30900 closed mail store application. This chapter contains details of how SMTP is
30901 processed. For incoming mail, the following are available:
30902
30903 - SMTP over TCP/IP (Exim daemon or 'inetd');
30904
30905 - SMTP over the standard input and output (the %-bs% option);
30906
30907 - Batched SMTP on the standard input (the %-bS% option).
30908
30909 For mail delivery, the following are available:
30910
30911 - SMTP over TCP/IP (the ^smtp^ transport);
30912
30913 - LMTP over TCP/IP (the ^smtp^ transport with the %protocol% option set to
30914 ``lmtp'');
30915
30916 - LMTP over a pipe to a process running in the local host (the ^lmtp^
30917 transport);
30918
30919 - Batched SMTP to a file or pipe (the ^appendfile^ and ^pipe^ transports with
30920 the %use_bsmtp% option set).
30921
30922 'Batched SMTP' is the name for a process in which batches of messages are
30923 stored in or read from files (or pipes), in a format in which SMTP commands are
30924 used to contain the envelope information.
30925
30926
30927
30928 [[SECToutSMTPTCP]]
30929 Outgoing SMTP and LMTP over TCP/IP
30930 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
30931 cindex:[SMTP,outgoing over TCP/IP]
30932 cindex:[outgoing SMTP over TCP/IP]
30933 cindex:[LMTP,over TCP/IP]
30934 cindex:[outgoing LMTP over TCP/IP]
30935 cindex:[EHLO]
30936 cindex:[HELO]
30937 cindex:[SIZE option on MAIL command]
30938 Outgoing SMTP and LMTP over TCP/IP is implemented by the ^smtp^ transport.
30939 The %protocol% option selects which protocol is to be used, but the actual
30940 processing is the same in both cases.
30941
30942 If, in response to its EHLO command, Exim is told that the SIZE
30943 parameter is supported, it adds SIZE=<'n'> to each subsequent MAIL
30944 command. The value of <'n'> is the message size plus the value of the
30945 %size_addition% option (default 1024) to allow for additions to the message
30946 such as per-transport header lines, or changes made in a
30947 cindex:[transport,filter]
30948 cindex:[filter,transport filter]
30949 transport filter. If %size_addition% is set negative, the use of SIZE is
30950 suppressed.
30951
30952 If the remote server advertises support for PIPELINING, Exim uses the
30953 pipelining extension to SMTP (RFC 2197) to reduce the number of TCP/IP packets
30954 required for the transaction.
30955
30956 If the remote server advertises support for the STARTTLS command, and Exim
30957 was built to support TLS encryption, it tries to start a TLS session unless the
30958 server matches %hosts_avoid_tls%. See chapter <<CHAPTLS>> for more details.
30959
30960 If the remote server advertises support for the AUTH command, Exim scans
30961 the authenticators configuration for any suitable client settings, as described
30962 in chapter <<CHAPSMTPAUTH>>.
30963
30964 cindex:[carriage return]
30965 cindex:[linefeed]
30966 Responses from the remote host are supposed to be terminated by CR followed by
30967 LF. However, there are known to be hosts that do not send CR characters, so in
30968 order to be able to interwork with such hosts, Exim treats LF on its own as a
30969 line terminator.
30970
30971 If a message contains a number of different addresses, all those with the same
30972 characteristics (for example, the same envelope sender) that resolve to the
30973 same set of hosts, in the same order, are sent in a single SMTP transaction,
30974 even if they are for different domains, unless there are more than the setting
30975 of the %max_rcpts% option in the ^smtp^ transport allows, in which case they
30976 are split into groups containing no more than %max_rcpts% addresses each. If
30977 %remote_max_parallel% is greater than one, such groups may be sent in
30978 parallel sessions. The order of hosts with identical MX values is not
30979 significant when checking whether addresses can be batched in this way.
30980
30981 When the ^smtp^ transport suffers a temporary failure that is not
30982 message-related, Exim updates its transport-specific database, which contains
30983 records indexed by host name that remember which messages are waiting for each
30984 particular host. It also updates the retry database with new retry times.
30985
30986 cindex:[hints database,retry keys]
30987 Exim's retry hints are based on host name plus IP address, so if one address of
30988 a multi-homed host is broken, it will soon be skipped most of the time.
30989 See the next section for more detail about error handling.
30990
30991 cindex:[SMTP,passed connection]
30992 cindex:[SMTP,batching over TCP/IP]
30993 When a message is successfully delivered over a TCP/IP SMTP connection, Exim
30994 looks in the hints database for the transport to see if there are any queued
30995 messages waiting for the host to which it is connected. If it finds one, it
30996 creates a new Exim process using the %-MC% option (which can only be used by a
30997 process running as root or the Exim user) and passes the TCP/IP socket to it so
30998 that it can deliver another message using the same socket. The new process does
30999 only those deliveries that are routed to the connected host, and may in turn
31000 pass the socket on to a third process, and so on.
31001
31002 The %connection_max_messages% option of the ^smtp^ transport can be used to
31003 limit the number of messages sent down a single TCP/IP connection.
31004
31005 cindex:[asterisk,after IP address]
31006 The second and subsequent messages delivered down an existing connection are
31007 identified in the main log by the addition of an asterisk after the closing
31008 square bracket of the IP address.
31009
31010
31011
31012
31013 [[SECToutSMTPerr]]
31014 Errors in outgoing SMTP
31015 ~~~~~~~~~~~~~~~~~~~~~~~
31016 cindex:[error,in outgoing SMTP]
31017 cindex:[SMTP,errors in outgoing]
31018 cindex:[host,error]
31019 Three different kinds of error are recognized for outgoing SMTP: host errors,
31020 message errors, and recipient errors.
31021
31022 . A host error is not associated with a particular message or with a
31023 particular recipient of a message. The host errors are:
31024 +
31025 --
31026 - Connection refused or timed out,
31027
31028 - Any error response code on connection,
31029
31030 - Any error response code to EHLO or HELO,
31031
31032 - Loss of connection at any time, except after ``.'',
31033
31034 - I/O errors at any time,
31035
31036 - Timeouts during the session, other than in response to MAIL, RCPT or
31037 the ``.'' at the end of the data.
31038 --
31039 +
31040 For a host error, a permanent error response on connection, or in response to
31041 EHLO, causes all addresses routed to the host to be failed. Any other host
31042 error causes all addresses to be deferred, and retry data to be created for the
31043 host. It is not tried again, for any message, until its retry time arrives. If
31044 the current set of addresses are not all delivered in this run (to some
31045 alternative host), the message is added to the list of those waiting for this
31046 host, so if it is still undelivered when a subsequent successful delivery is
31047 made to the host, it will be sent down the same SMTP connection.
31048
31049 . cindex:[message,error]
31050 A message error is associated with a particular message when sent to a
31051 particular host, but not with a particular recipient of the message. The
31052 message errors are:
31053 +
31054 --
31055 - Any error response code to MAIL, DATA, or the ``.'' that terminates
31056 the data,
31057
31058 - Timeout after MAIL,
31059
31060 - Timeout or loss of connection after the ``.'' that terminates the data. A
31061 timeout after the DATA command itself is treated as a host error, as is loss of
31062 connection at any other time.
31063 --
31064 +
31065 For a message error, a permanent error response (5##'xx') causes all addresses
31066 to be failed, and a delivery error report to be returned to the sender. A
31067 temporary error response (4##'xx'), or one of the timeouts, causes all
31068 addresses to be deferred. Retry data is not created for the host, but instead,
31069 a retry record for the combination of host plus message id is created. The
31070 message is not added to the list of those waiting for this host. This ensures
31071 that the failing message will not be sent to this host again until the retry
31072 time arrives. However, other messages that are routed to the host are not
31073 affected, so if it is some property of the message that is causing the error,
31074 it will not stop the delivery of other mail.
31075 +
31076 If the remote host specified support for the SIZE parameter in its response
31077 to EHLO, Exim adds SIZE='nnn' to the MAIL command, so an
31078 over-large message will cause a message error because the error arrives as a
31079 response to MAIL.
31080
31081 . cindex:[recipient,error]
31082 A recipient error is associated with a particular recipient of a message. The
31083 recipient errors are:
31084 +
31085 --
31086 - Any error response to RCPT,
31087
31088 - Timeout after RCPT.
31089 --
31090 +
31091 For a recipient error, a permanent error response (5##'xx') causes the
31092 recipient address to be failed, and a bounce message to be returned to the
31093 sender. A temporary error response (4##'xx') or a timeout causes the failing
31094 address to be deferred, and routing retry data to be created for it. This is
31095 used to delay processing of the address in subsequent queue runs, until its
31096 routing retry time arrives. This applies to all messages, but because it
31097 operates only in queue runs, one attempt will be made to deliver a new message
31098 to the failing address before the delay starts to operate. This ensures that,
31099 if the failure is really related to the message rather than the recipient
31100 (``message too big for this recipient'' is a possible example), other messages
31101 have a chance of getting delivered. If a delivery to the address does succeed,
31102 the retry information gets cleared, so all stuck messages get tried again, and
31103 the retry clock is reset.
31104 +
31105 The message is not added to the list of those waiting for this host. Use of the
31106 host for other messages is unaffected, and except in the case of a timeout,
31107 other recipients are processed independently, and may be successfully delivered
31108 in the current SMTP session. After a timeout it is of course impossible to
31109 proceed with the session, so all addresses get deferred. However, those other
31110 than the one that failed do not suffer any subsequent retry delays. Therefore,
31111 if one recipient is causing trouble, the others have a chance of getting
31112 through when a subsequent delivery attempt occurs before the failing
31113 recipient's retry time.
31114
31115 ///
31116 End of list
31117 ///
31118
31119 In all cases, if there are other hosts (or IP addresses) available for the
31120 current set of addresses (for example, from multiple MX records), they are
31121 tried in this run for any undelivered addresses, subject of course to their
31122 own retry data. In other words, recipient error retry data does not take effect
31123 until the next delivery attempt.
31124
31125 Some hosts have been observed to give temporary error responses to every
31126 MAIL command at certain times (``insufficient space'' has been seen). It
31127 would be nice if such circumstances could be recognized, and defer data for the
31128 host itself created, but this is not possible within the current Exim design.
31129 What actually happens is that retry data for every (host, message) combination
31130 is created.
31131
31132 The reason that timeouts after MAIL and RCPT are treated specially is that
31133 these can sometimes arise as a result of the remote host's verification
31134 procedures. Exim makes this assumption, and treats them as if a temporary error
31135 response had been received. A timeout after ``.'' is treated specially because
31136 it is known that some broken implementations fail to recognize the end of the
31137 message if the last character of the last line is a binary zero. Thus, it is
31138 helpful to treat this case as a message error.
31139
31140 Timeouts at other times are treated as host errors, assuming a problem with the
31141 host, or the connection to it. If a timeout after MAIL, RCPT,
31142 or ``.'' is really a connection problem, the assumption is that at the next try
31143 the timeout is likely to occur at some other point in the dialogue, causing it
31144 then to be treated as a host error.
31145
31146 There is experimental evidence that some MTAs drop the connection after the
31147 terminating ``.'' if they do not like the contents of the message for some
31148 reason, in contravention of the RFC, which indicates that a 5##'xx' response
31149 should be given. That is why Exim treats this case as a message rather than a
31150 host error, in order not to delay other messages to the same host.
31151
31152
31153
31154
31155
31156 Variable Envelope Return Paths (VERP)
31157 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31158 cindex:[VERP]
31159 cindex:[Variable Envelope Return Paths]
31160 cindex:[envelope sender]
31161 Variable Envelope Return Paths -- see
31162 *ftp://koobera.math.uic.edu/www/proto/verp.txt[]* -- can be supported in Exim
31163 by using the %return_path% generic transport option to rewrite the return path
31164 at transport time. For example, the following could be used on an ^smtp^
31165 transport:
31166
31167 ....
31168 return_path = \
31169   ${if match {$return_path}{^(.+?)-request@your.dom.example\$}\
31170   {$1-request=$local_part%$domain@your.dom.example}fail}
31171 ....
31172
31173 This has the effect of rewriting the return path (envelope sender) on all
31174 outgoing SMTP messages, if the local part of the original return path ends in
31175 ``-request'', and the domain is 'your.dom.example'. The rewriting inserts the
31176 local part and domain of the recipient into the return path. Suppose, for
31177 example, that a message whose return path has been set to
31178 'somelist-request@your.dom.example' is sent to
31179 'subscriber@other.dom.example'. In the transport, the return path is
31180 rewritten as
31181
31182   somelist-request=subscriber%other.dom.example@your.dom.example
31183
31184 For this to work, you must arrange for outgoing messages that have ``-request''
31185 in their return paths to have just a single recipient. This can be done by
31186 setting
31187
31188   max_rcpt = 1
31189
31190 cindex:[$local_part$]
31191 in the ^smtp^ transport. Otherwise a single copy of a message might be
31192 addressed to several different recipients in the same domain, in which case
31193 $local_part$ is not available (because it is not unique). Of course, if you
31194 do start sending out messages with this kind of return path, you must also
31195 configure Exim to accept the bounce messages that come back to those paths.
31196 Typically this would be done by setting an %local_part_suffix% option for a
31197 suitable router.
31198
31199 The overhead incurred in using VERP depends very much on the size of the
31200 message, the number of recipient addresses that resolve to the same remote
31201 host, and the speed of the connection over which the message is being sent. If
31202 a lot of addresses resolve to the same host and the connection is slow, sending
31203 a separate copy of the message for each address may take substantially longer
31204 than sending a single copy with many recipients (for which VERP cannot be
31205 used).
31206
31207
31208
31209 Incoming SMTP messages over TCP/IP
31210 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31211 cindex:[SMTP,incoming over TCP/IP]
31212 cindex:[incoming SMTP over TCP/IP]
31213 cindex:[inetd]
31214 cindex:[daemon]
31215 Incoming SMTP messages can be accepted in one of two ways: by running a
31216 listening daemon, or by using 'inetd'. In the latter case, the entry in
31217 _/etc/inetd.conf_ should be like this:
31218
31219   smtp  stream  tcp  nowait  exim  /opt/exim/bin/exim  in.exim  -bs
31220
31221 Exim distinguishes between this case and the case of a locally running user
31222 agent using the %-bs% option by checking whether or not the standard input is
31223 a socket. When it is, either the port must be privileged (less than 1024), or
31224 the caller must be root or the Exim user. If any other user passes a socket
31225 with an unprivileged port number, Exim prints a message on the standard error
31226 stream and exits with an error code.
31227
31228 By default, Exim does not make a log entry when a remote host connects or
31229 disconnects (either via the daemon or 'inetd'), unless the disconnection is
31230 unexpected. It can be made to write such log entries by setting the
31231 %smtp_connection% log selector.
31232
31233 cindex:[carriage return]
31234 cindex:[linefeed]
31235 Commands from the remote host are supposed to be terminated by CR followed by
31236 LF. However, there are known to be hosts that do not send CR characters. In
31237 order to be able to interwork with such hosts, Exim treats LF on its own as a
31238 line terminator.
31239 Furthermore, because common code is used for receiving messages from all
31240 sources, a CR on its own is also interpreted as a line terminator. However, the
31241 sequence ``CR, dot, CR'' does not terminate incoming SMTP data.
31242
31243 cindex:[EHLO,invalid data]
31244 cindex:[HELO,invalid data]
31245 One area that sometimes gives rise to problems concerns the EHLO or
31246 HELO commands. Some clients send syntactically invalid versions of these
31247 commands, which Exim rejects by default. (This is nothing to do with verifying
31248 the data that is sent, so %helo_verify_hosts% is not relevant.) You can tell
31249 Exim not to apply a syntax check by setting %helo_accept_junk_hosts% to
31250 match the broken hosts that send invalid commands.
31251
31252 cindex:[SIZE option on MAIL command]
31253 cindex:[MAIL,SIZE option]
31254 The amount of disk space available is checked whenever SIZE is received on
31255 a MAIL command, independently of whether %message_size_limit% or
31256 %check_spool_space% is configured, unless %smtp_check_spool_space% is set
31257 false. A temporary error is given if there is not enough space. If
31258 %check_spool_space% is set, the check is for that amount of space plus the
31259 value given with SIZE, that is, it checks that the addition of the incoming
31260 message will not reduce the space below the threshold.
31261
31262 When a message is successfully received, Exim includes the local message id in
31263 its response to the final ``.'' that terminates the data. If the remote host logs
31264 this text it can help with tracing what has happened to a message.
31265
31266 The Exim daemon can limit the number of simultaneous incoming connections it is
31267 prepared to handle (see the %smtp_accept_max% option). It can also limit the
31268 number of simultaneous incoming connections from a single remote host (see the
31269 %smtp_accept_max_per_host% option). Additional connection attempts are
31270 rejected using the SMTP temporary error code 421.
31271
31272 The Exim daemon does not rely on the SIGCHLD signal to detect when a
31273 subprocess has finished, as this can get lost at busy times. Instead, it looks
31274 for completed subprocesses every time it wakes up. Provided there are other
31275 things happening (new incoming calls, starts of queue runs), completed
31276 processes will be noticed and tidied away. On very quiet systems you may
31277 sometimes see a ``defunct'' Exim process hanging about. This is not a problem; it
31278 will be noticed when the daemon next wakes up.
31279
31280 When running as a daemon, Exim can reserve some SMTP slots for specific hosts,
31281 and can also be set up to reject SMTP calls from non-reserved hosts at times of
31282 high system load -- for details see the %smtp_accept_reserve%,
31283 %smtp_load_reserve%, and %smtp_reserve_hosts% options. The load check
31284 applies in both the daemon and 'inetd' cases.
31285
31286 Exim normally starts a delivery process for each message received, though this
31287 can be varied by means of the %-odq% command line option and the
31288 %queue_only%, %queue_only_file%, and %queue_only_load% options. The number
31289 of simultaneously running delivery processes started in this way from SMTP
31290 input can be limited by the %smtp_accept_queue% and
31291 %smtp_accept_queue_per_connection% options. When either limit is reached,
31292 subsequently received messages are just put on the input queue without starting
31293 a delivery process.
31294
31295 The controls that involve counts of incoming SMTP calls (%smtp_accept_max%,
31296 %smtp_accept_queue%, %smtp_accept_reserve%) are not available when Exim is
31297 started up from the 'inetd' daemon, because in that case each connection is
31298 handled by an entirely independent Exim process. Control by load average is,
31299 however, available with 'inetd'.
31300
31301 Exim can be configured to verify addresses in incoming SMTP commands as they
31302 are received. See chapter <<CHAPACL>> for details. It can also be configured to
31303 rewrite addresses at this time -- before any syntax checking is done. See
31304 section <<SECTrewriteS>>.
31305
31306 Exim can also be configured to limit the rate at which a client host submits
31307 MAIL and RCPT commands in a single SMTP session. See the
31308 %smtp_ratelimit_hosts% option.
31309
31310
31311
31312 Unrecognized SMTP commands
31313 ~~~~~~~~~~~~~~~~~~~~~~~~~~
31314 cindex:[SMTP,unrecognized commands]
31315 If Exim receives more than %smtp_max_unknown_commands% unrecognized SMTP
31316 commands during a single SMTP connection, it drops the connection after sending
31317 the error response to the last command. The default value for
31318 %smtp_max_unknown_commands% is 3. This is a defence against some kinds of
31319 abuse that subvert web servers into making connections to SMTP ports; in these
31320 circumstances, a number of non-SMTP lines are sent first.
31321
31322
31323 Syntax and protocol errors in SMTP commands
31324 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31325 cindex:[SMTP,syntax errors]
31326 cindex:[SMTP,protocol errors]
31327 A syntax error is detected if an SMTP command is recognized, but there is
31328 something syntactically wrong with its data, for example, a malformed email
31329 address in a RCPT command. Protocol errors include invalid command
31330 sequencing such as RCPT before MAIL. If Exim receives more than
31331 %smtp_max_synprot_errors% such commands during a single SMTP connection, it
31332 drops the connection after sending the error response to the last command. The
31333 default value for %smtp_max_synprot_errors% is 3. This is a defence against
31334 broken clients that loop sending bad commands (yes, it has been seen).
31335
31336
31337
31338 Use of non-mail SMTP commands
31339 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31340 cindex:[SMTP,non-mail commands]
31341 The ``non-mail'' SMTP commands are those other than MAIL, RCPT, and
31342 DATA. Exim counts such commands, and drops the connection if there are too
31343 many of them in a single SMTP session. This action catches some
31344 denial-of-service attempts and things like repeated failing AUTHs, or a mad
31345 client looping sending EHLO. The global option %smtp_accept_max_nonmail%
31346 defines what ``too many'' means. Its default value is 10.
31347
31348 When a new message is expected, one occurrence of RSET is not counted. This
31349 allows a client to send one RSET between messages (this is not necessary,
31350 but some clients do it). Exim also allows one uncounted occurence of HELO
31351 or EHLO, and one occurrence of STARTTLS between messages. After
31352 starting up a TLS session, another EHLO is expected, and so it too is not
31353 counted.
31354
31355 The first occurrence of AUTH in a connection, or immediately following
31356 STARTTLS is also not counted. Otherwise, all commands other than MAIL,
31357 RCPT, DATA, and QUIT are counted.
31358
31359 You can control which hosts are subject to the limit set by
31360 %smtp_accept_max_nonmail% by setting
31361 %smtp_accept_max_nonmail_hosts%. The default value is `\*`, which makes
31362 the limit apply to all hosts. This option means that you can exclude any
31363 specific badly-behaved hosts that you have to live with.
31364
31365
31366
31367
31368 The VRFY and EXPN commands
31369 ~~~~~~~~~~~~~~~~~~~~~~~~~~
31370 When Exim receives a VRFY or EXPN command on a TCP/IP connection, it
31371 runs the ACL specified by %acl_smtp_vrfy% or %acl_smtp_expn% (as
31372 appropriate) in order to decide whether the command should be accepted or not.
31373 If no ACL is defined, the command is rejected.
31374
31375 cindex:[VRFY,processing]
31376 When VRFY is accepted, it runs exactly the same code as when Exim is
31377 called with the %-bv% option.
31378
31379 cindex:[EXPN,processing]
31380 When EXPN is accepted, a single-level expansion of the address is done.
31381 EXPN is treated as an ``address test'' (similar to the %-bt% option) rather
31382 than a verification (the %-bv% option). If an unqualified local part is given
31383 as the argument to EXPN, it is qualified with %qualify_domain%. Rejections
31384 of VRFY and EXPN commands are logged on the main and reject logs, and
31385 VRFY verification failures are logged on the main log for consistency with
31386 RCPT failures.
31387
31388
31389
31390 [[SECTETRN]]
31391 The ETRN command
31392 ~~~~~~~~~~~~~~~~
31393 cindex:[ETRN,processing]
31394 RFC 1985 describes an SMTP command called ETRN that is designed to
31395 overcome the security problems of the TURN command (which has fallen into
31396 disuse). When Exim receives an ETRN command on a TCP/IP connection, it runs
31397 the ACL specified by %acl_smtp_etrn% in order to decide whether the command
31398 should be accepted or not. If no ACL is defined, the command is rejected.
31399
31400 The ETRN command is concerned with ``releasing'' messages that are awaiting
31401 delivery to certain hosts. As Exim does not organize its message queue by host,
31402 the only form of ETRN that is supported by default is the one where the
31403 text starts with the ``#'' prefix, in which case the remainder of the text is
31404 specific to the SMTP server. A valid ETRN command causes a run of Exim with
31405 the %-R% option to happen, with the remainder of the ETRN text as its
31406 argument. For example,
31407
31408   ETRN #brigadoon
31409
31410 runs the command
31411
31412   exim -R brigadoon
31413
31414 which causes a delivery attempt on all messages with undelivered addresses
31415 containing the text ``brigadoon''. When %smtp_etrn_serialize% is set (the
31416 default), Exim prevents the simultaneous execution of more than one queue run
31417 for the same argument string as a result of an ETRN command. This stops
31418 a misbehaving client from starting more than one queue runner at once.
31419
31420 cindex:[hints database,ETRN serialization]
31421 Exim implements the serialization by means of a hints database in which a
31422 record is written whenever a process is started by ETRN, and deleted when
31423 the process completes. However, Exim does not keep the SMTP session waiting for
31424 the ETRN process to complete. Once ETRN is accepted, the client is sent
31425 a ``success'' return code. Obviously there is scope for hints records to get left
31426 lying around if there is a system or program crash. To guard against this, Exim
31427 ignores any records that are more than six hours old.
31428
31429 cindex:[%smtp_etrn_command%]
31430 For more control over what ETRN does, the %smtp_etrn_command% option can
31431 used. This specifies a command that is run whenever ETRN is received,
31432 whatever the form of its argument. For
31433 example:
31434
31435   smtp_etrn_command = /etc/etrn_command $domain $sender_host_address
31436
31437 cindex:[$domain$]
31438 The string is split up into arguments which are independently expanded. The
31439 expansion variable $domain$ is set to the argument of the ETRN command,
31440 and no syntax checking is done on the contents of this argument. Exim does not
31441 wait for the command to complete, so its status code is not checked. Exim runs
31442 under its own uid and gid when receiving incoming SMTP, so it is not possible
31443 for it to change them before running the command.
31444
31445
31446
31447 Incoming local SMTP
31448 ~~~~~~~~~~~~~~~~~~~
31449 cindex:[SMTP,local incoming]
31450 Some user agents use SMTP to pass messages to their local MTA using the
31451 standard input and output, as opposed to passing the envelope on the command
31452 line and writing the message to the standard input. This is supported by the
31453 %-bs% option. This form of SMTP is handled in the same way as incoming
31454 messages over TCP/IP (including the use of ACLs), except that the envelope
31455 sender given in a MAIL command is ignored unless the caller is trusted. In
31456 an ACL you can detect this form of SMTP input by testing for an empty host
31457 identification. It is common to have this as the first line in the ACL that
31458 runs for RCPT commands:
31459
31460   accept hosts = :
31461
31462 This accepts SMTP messages from local processes without doing any other tests.
31463
31464
31465
31466 [[SECTbatchSMTP]]
31467 Outgoing batched SMTP
31468 ~~~~~~~~~~~~~~~~~~~~~
31469 cindex:[SMTP,batched outgoing]
31470 cindex:[batched SMTP output]
31471 Both the ^appendfile^ and ^pipe^ transports can be used for handling batched
31472 SMTP. Each has an option called %use_bsmtp% which causes messages to be output
31473 in BSMTP format. No SMTP responses are possible for this form of delivery. All
31474 it is doing is using SMTP commands as a way of transmitting the envelope along
31475 with the message.
31476
31477 The message is written to the file or pipe preceded by the SMTP commands
31478 MAIL and RCPT, and followed by a line containing a single dot. Lines in
31479 the message that start with a dot have an extra dot added. The SMTP command
31480 HELO is not normally used. If it is required, the %message_prefix% option
31481 can be used to specify it.
31482
31483 Because ^appendfile^ and ^pipe^ are both local transports, they accept only
31484 one recipient address at a time by default. However, you can arrange for them
31485 to handle several addresses at once by setting the %batch_max% option. When
31486 this is done for BSMTP, messages may contain multiple RCPT commands. See
31487 chapter <<CHAPbatching>> for more details.
31488
31489 cindex:[$host$]
31490 When one or more addresses are routed to a BSMTP transport by a router that
31491 sets up a host list, the name of the first host on the list is available to the
31492 transport in the variable $host$. Here is an example of such a transport and
31493 router:
31494
31495   begin routers
31496   route_append:
31497     driver = manualroute
31498     transport = smtp_appendfile
31499     route_list = domain.example  batch.host.example
31500
31501   begin transports
31502   smtp_appendfile:
31503     driver = appendfile
31504     directory = /var/bsmtp/$host
31505     batch_max = 1000
31506     use_bsmtp
31507     user = exim
31508
31509 This causes messages addressed to 'domain.example' to be written in BSMTP
31510 format to _/var/bsmtp/batch.host.example_, with only a single copy of each
31511 message (unless there are more than 1000 recipients).
31512
31513
31514
31515 [[SECTincomingbatchedSMTP]]
31516 Incoming batched SMTP
31517 ~~~~~~~~~~~~~~~~~~~~~
31518 cindex:[SMTP,batched incoming]
31519 cindex:[batched SMTP input]
31520 The %-bS% command line option causes Exim to accept one or more messages by
31521 reading SMTP on the standard input, but to generate no responses. If the caller
31522 is trusted, the senders in the MAIL commands are believed; otherwise the
31523 sender is always the caller of Exim. Unqualified senders and receivers are not
31524 rejected (there seems little point) but instead just get qualified. HELO
31525 and EHLO act as RSET; VRFY, EXPN, ETRN and  HELP, act
31526 as NOOP; QUIT quits.
31527
31528 No policy checking is done for BSMTP input. That is, no ACL is run at anytime.
31529 In this respect it is like non-SMTP local input.
31530
31531 If an error is detected while reading a message, including a missing ``.'' at
31532 the end, Exim gives up immediately. It writes details of the error to the
31533 standard output in a stylized way that the calling program should be able to
31534 make some use of automatically, for example:
31535
31536   554 Unexpected end of file
31537   Transaction started in line 10
31538   Error detected in line 14
31539
31540 It writes a more verbose version, for human consumption, to the standard error
31541 file, for example:
31542
31543   An error was detected while processing a file of BSMTP input.
31544   The error message was:
31545
31546     501 '>' missing at end of address
31547
31548   The SMTP transaction started in line 10.
31549   The error was detected in line 12.
31550   The SMTP command at fault was:
31551
31552      rcpt to:<malformed@in.com.plete
31553
31554   1 previous message was successfully processed.
31555   The rest of the batch was abandoned.
31556
31557 The return code from Exim is zero only if there were no errors. It is 1 if some
31558 messages were accepted before an error was detected, and 2 if no messages were
31559 accepted.
31560
31561
31562
31563 ////////////////////////////////////////////////////////////////////////////
31564 ////////////////////////////////////////////////////////////////////////////
31565
31566 [[CHAPemsgcust]]
31567 [titleabbrev="Customizing messages"]
31568 Customizing bounce and warning messages
31569 ---------------------------------------
31570 When a message fails to be delivered, or remains on the queue for more than a
31571 configured amount of time, Exim sends a message to the original sender, or
31572 to an alternative configured address. The text of these messages is built into
31573 the code of Exim, but it is possible to change it, either by adding a single
31574 string, or by replacing each of the paragraphs by text supplied in a file.
31575
31576 The 'From:' and 'To:' header lines are automatically generated; you can cause
31577 a 'Reply-To:' line to be added by setting the %errors_reply_to% option. Exim
31578 also adds the line
31579
31580   Auto-Submitted: auto-generated
31581
31582 to all warning and bounce messages,
31583
31584
31585 Customizing bounce messages
31586 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
31587 cindex:[customizing,bounce message]
31588 cindex:[bounce message,customizing]
31589 If %bounce_message_text% is set, its contents are included in the default
31590 message immediately after ``This message was created automatically by mail
31591 delivery software.'' The string is not expanded. It is not used if
31592 %bounce_message_file% is set.
31593
31594 When %bounce_message_file% is set, it must point to a template file for
31595 constructing error messages. The file consists of a series of text items,
31596 separated by lines consisting of exactly four asterisks. If the file cannot be
31597 opened, default text is used and a message is written to the main and panic
31598 logs. If any text item in the file is empty, default text is used for that
31599 item.
31600
31601 cindex:[$bounce_recipient$]
31602 cindex:[$bounce_return_size_limit$]
31603 Each item of text that is read from the file is expanded, and there are two
31604 expansion variables which can be of use here: $bounce_recipient$ is set to the
31605 recipient of an error message while it is being created, and
31606 $bounce_return_size_limit$ contains the value of the %return_size_limit%
31607 option, rounded to a whole number.
31608
31609 The items must appear in the file in the following order:
31610
31611 - The first item is included in the headers, and should include at least a
31612 'Subject:' header. Exim does not check the syntax of these headers.
31613
31614 - The second item forms the start of the error message. After it, Exim lists the
31615 failing addresses with their error messages.
31616
31617 - The third item is used to introduce any text from pipe transports that is to be
31618 returned to the sender. It is omitted if there is no such text.
31619
31620 - The fourth item is used to introduce the copy of the message that is returned
31621 as part of the error report.
31622
31623 - The fifth item is added after the fourth one if the returned message is
31624 truncated because it is bigger than %return_size_limit%.
31625
31626 - The sixth item is added after the copy of the original message.
31627
31628 The default state (%bounce_message_file% unset) is equivalent to the
31629 following file, in which the sixth item is empty. The 'Subject:' line has been
31630 split into two here in order to fit it on the page:
31631
31632   Subject: Mail delivery failed
31633     ${if eq{$sender_address}{$bounce_recipient}{: returning message to sender}}
31634   ****
31635   This message was created automatically by mail delivery software.
31636
31637   A message ${if eq{$sender_address}{$bounce_recipient}{that you sent }{sent by
31638
31639     <$sender_address>
31640
31641   }}could not be delivered to all of its recipients.
31642   The following address(es) failed:
31643   ****
31644   The following text was generated during the delivery attempt(s):
31645   ****
31646   ------ This is a copy of the message, including all the headers. ------
31647   ****
31648   ------ The body of the message is $message_size characters long; only the first
31649   ------ $bounce_return_size_limit or so are included here.
31650   ****
31651
31652
31653 [[SECTcustwarn]]
31654 Customizing warning messages
31655 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31656 cindex:[customizing,warning message]
31657 cindex:[warning of delay,customizing the message]
31658 The option %warn_message_file% can be pointed at a template file for use when
31659 warnings about message delays are created. In this case there are only three
31660 text sections:
31661
31662 - The first item is included in the headers, and should include at least a
31663 'Subject:' header. Exim does not check the syntax of these headers.
31664
31665 - The second item forms the start of the warning message. After it, Exim lists
31666 the delayed addresses.
31667
31668 - The third item then ends the message.
31669
31670 The default state is equivalent to the following file, except that the line
31671 starting ``A message'' has been split here, in order to fit it on the page:
31672
31673   Subject: Warning: message $message_exim_id delayed $warn_message_delay
31674   ****
31675   This message was created automatically by mail delivery software.
31676
31677   A message ${if eq{$sender_address}{$warn_message_recipients}
31678     {that you sent }{sent by
31679
31680     <$sender_address>
31681
31682   }}has not been delivered to all of its recipients after
31683   more than $warn_message_delay on the queue on $primary_hostname.
31684
31685   The message identifier is:     $message_exim_id
31686   The subject of the message is: $h_subject
31687   The date of the message is:    $h_date
31688
31689   The following address(es) have not yet been delivered:
31690   ****
31691   No action is required on your part. Delivery attempts will continue for
31692   some time, and this warning may be repeated at intervals if the message
31693   remains undelivered. Eventually the mail delivery software will give up,
31694   and when that happens, the message will be returned to you.
31695 +
31696 cindex:[$warn_message_delay$]
31697 cindex:[$warn_message_recipients$]
31698 except that in the default state the subject and date lines are omitted if no
31699 appropriate headers exist. During the expansion of this file,
31700 $warn_message_delay$ is set to the delay time in one of the forms ``<''n'>
31701 minutes' or ``<''n'> hours', and $warn_message_recipients$ contains a list of
31702 recipients for the warning message. There may be more than one if there are
31703 multiple addresses with different %errors_to% settings on the routers that
31704 handled them.
31705
31706
31707
31708
31709 ////////////////////////////////////////////////////////////////////////////
31710 ////////////////////////////////////////////////////////////////////////////
31711
31712 [[CHAPcomconreq]]
31713 [titleabbrev="Common configuration settings"]
31714 Some common configuration settings
31715 ----------------------------------
31716 This chapter discusses some configuration settings that seem to be fairly
31717 common. More examples and discussion can be found in the Exim book.
31718
31719
31720
31721 Sending mail to a smart host
31722 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31723 cindex:[smart host,example router]
31724 If you want to send all mail for non-local domains to a ``smart host'', you
31725 should replace the default ^dnslookup^ router with a router which does the
31726 routing explicitly:
31727
31728   send_to_smart_host:
31729     driver = manualroute
31730     route_list = !+local_domains smart.host.name
31731     transport = remote_smtp
31732
31733 You can use the smart host's IP address instead of the name if you wish.
31734
31735 If you are using Exim only to submit messages to a smart host, and not for
31736 receiving incoming messages, you can arrange for it to do the submission
31737 synchronously by setting the %mua_wrapper% option (see chapter
31738 <<CHAPnonqueueing>>).
31739
31740
31741
31742
31743 [[SECTmailinglists]]
31744 Using Exim to handle mailing lists
31745 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31746 cindex:[mailing lists]
31747 Exim can be used to run simple mailing lists, but for large and/or complicated
31748 requirements, the use of additional specialized mailing list software such as
31749 Majordomo or Mailman is recommended.
31750
31751 The ^redirect^ router can be used to handle mailing lists where each list
31752 is maintained in a separate file, which can therefore be managed by an
31753 independent manager. The %domains% router option can be used to run these
31754 lists in a separate domain from normal mail. For example:
31755
31756   lists:
31757     driver = redirect
31758     domains = lists.example
31759     file = /usr/lists/$local_part
31760     forbid_pipe
31761     forbid_file
31762     errors_to = $local_part-request@lists.example
31763     no_more
31764
31765 This router is skipped for domains other than 'lists.example'. For addresses
31766 in that domain, it looks for a file that matches the local part. If there is no
31767 such file, the router declines, but because %no_more% is set, no subsequent
31768 routers are tried, and so the whole delivery fails.
31769
31770 The %forbid_pipe% and %forbid_file% options prevent a local part from being
31771 expanded into a file name or a pipe delivery, which is usually inappropriate in
31772 a mailing list.
31773
31774 cindex:[%errors_to%]
31775 The %errors_to% option specifies that any delivery errors caused by addresses
31776 taken from a mailing list are to be sent to the given address rather than the
31777 original sender of the message. However, before acting on this, Exim verifies
31778 the error address, and ignores it if verification fails.
31779
31780 For example, using the configuration above, mail sent to
31781 'dicts@lists.example' is passed on to those addresses contained in
31782 _/usr/lists/dicts_, with error reports directed to
31783 'dicts-request@lists.example', provided that this address can be verified.
31784 There could be a file called _/usr/lists/dicts-request_ containing
31785 the address(es) of this particular list's manager(s), but other approaches,
31786 such as setting up an earlier router (possibly using the %local_part_prefix%
31787 or %local_part_suffix% options) to handle addresses of the form %owner-xxx%
31788 or %xxx-request%, are also possible.
31789
31790
31791
31792 Syntax errors in mailing lists
31793 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31794 cindex:[mailing lists,syntax errors in]
31795 If an entry in redirection data contains a syntax error, Exim normally defers
31796 delivery of the original address. That means that a syntax error in a mailing
31797 list holds up all deliveries to the list. This may not be appropriate when a
31798 list is being maintained automatically from data supplied by users, and the
31799 addresses are not rigorously checked.
31800
31801 If the %skip_syntax_errors% option is set, the ^redirect^ router just skips
31802 entries that fail to parse, noting the incident in the log. If in addition
31803 %syntax_errors_to% is set to a verifiable address, a message is sent to it
31804 whenever a broken address is skipped. It is usually appropriate to set
31805 %syntax_errors_to% to the same address as %errors_to%.
31806
31807
31808
31809 Re-expansion of mailing lists
31810 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
31811 cindex:[mailing lists,re-expansion of]
31812 Exim remembers every individual address to which a message has been delivered,
31813 in order to avoid duplication, but it normally stores only the original
31814 recipient addresses with a message. If all the deliveries to a mailing list
31815 cannot be done at the first attempt, the mailing list is re-expanded when the
31816 delivery is next tried. This means that alterations to the list are taken into
31817 account at each delivery attempt, so addresses that have been added to
31818 the list since the message arrived will therefore receive a copy of the
31819 message, even though it pre-dates their subscription.
31820
31821 If this behaviour is felt to be undesirable, the %one_time% option can be set
31822 on the ^redirect^ router. If this is done, any addresses generated by the
31823 router that fail to deliver at the first attempt are added to the message as
31824 ``top level'' addresses, and the parent address that generated them is marked
31825 ``delivered''. Thus, expansion of the mailing list does not happen again at the
31826 subsequent delivery attempts. The disadvantage of this is that if any of the
31827 failing addresses are incorrect, correcting them in the file has no effect on
31828 pre-existing messages.
31829
31830 The original top-level address is remembered with each of the generated
31831 addresses, and is output in any log messages. However, any intermediate parent
31832 addresses are not recorded. This makes a difference to the log only if the
31833 %all_parents% selector is set, but for mailing lists there is normally only
31834 one level of expansion anyway.
31835
31836
31837
31838 Closed mailing lists
31839 ~~~~~~~~~~~~~~~~~~~~
31840 cindex:[mailing lists,closed]
31841 The examples so far have assumed open mailing lists, to which anybody may
31842 send mail. It is also possible to set up closed lists, where mail is accepted
31843 from specified senders only. This is done by making use of the generic
31844 %senders% option to restrict the router that handles the list.
31845
31846 The following example uses the same file as a list of recipients and as a list
31847 of permitted senders. It requires three routers:
31848
31849 ....
31850 lists_request:
31851   driver = redirect
31852   domains = lists.example
31853   local_part_suffix = -request
31854   file = /usr/lists/$local_part$local_part_suffix
31855   no_more
31856
31857 lists_post:
31858   driver = redirect
31859   domains = lists.example
31860   senders = ${if exists {/usr/lists/$local_part}\
31861              {lsearch;/usr/lists/$local_part}{*}}
31862   file = /usr/lists/$local_part
31863   forbid_pipe
31864   forbid_file
31865   errors_to = $local_part-request@lists.example
31866   no_more
31867
31868 lists_closed:
31869   driver = redirect
31870   domains = lists.example
31871   allow_fail
31872   data = :fail: $local_part@lists.example is a closed mailing list
31873 ....
31874
31875 All three routers have the same %domains% setting, so for any other domains,
31876 they are all skipped. The first router runs only if the local part ends in
31877 %-request%. It handles messages to the list manager(s) by means of an open
31878 mailing list.
31879
31880 The second router runs only if the %senders% precondition is satisfied. It
31881 checks for the existence of a list that corresponds to the local part, and then
31882 checks that the sender is on the list by means of a linear search. It is
31883 necessary to check for the existence of the file before trying to search it,
31884 because otherwise Exim thinks there is a configuration error. If the file does
31885 not exist, the expansion of %senders% is \*, which matches all senders. This
31886 means that the router runs, but because there is no list, declines, and
31887 %no_more% ensures that no further routers are run. The address fails with an
31888 ``unrouteable address'' error.
31889
31890 The third router runs only if the second router is skipped, which happens when
31891 a mailing list exists, but the sender is not on it. This router forcibly fails
31892 the address, giving a suitable error message.
31893
31894
31895
31896
31897 [[SECTvirtualdomains]]
31898 Virtual domains
31899 ~~~~~~~~~~~~~~~
31900 cindex:[virtual domains]
31901 cindex:[domain,virtual]
31902 The phrase 'virtual domain' is unfortunately used with two rather different
31903 meanings:
31904
31905 - A domain for which there are no real mailboxes; all valid local parts are
31906 aliases for other email addresses. Common examples are organizational
31907 top-level domains and ``vanity'' domains.
31908
31909 - One of a number of independent domains that are all handled by the same host,
31910 with mailboxes on that host, but where the mailbox owners do not necessarily
31911 have login accounts on that host.
31912
31913 The first usage is probably more common, and does seem more ``virtual'' than the
31914 second. This kind of domain can be handled in Exim with a straightforward
31915 aliasing router. One approach is to create a separate alias file for each
31916 virtual domain. Exim can test for the existence of the alias file to determine
31917 whether the domain exists. The ^dsearch^ lookup type is useful here, leading
31918 to a router of this form:
31919
31920   virtual:
31921     driver = redirect
31922     domains = dsearch;/etc/mail/virtual
31923     data = ${lookup{$local_part}lsearch{/etc/mail/virtual/$domain}}
31924     no_more
31925
31926 The %domains% option specifies that the router is to be skipped, unless there
31927 is a file in the _/etc/mail/virtual_ directory whose name is the same as the
31928 domain that is being processed. When the router runs, it looks up the local
31929 part in the file to find a new address (or list of addresses). The %no_more%
31930 setting ensures that if the lookup fails (leading to %data% being an empty
31931 string), Exim gives up on the address without trying any subsequent routers.
31932
31933 This one router can handle all the virtual domains because the alias file names
31934 follow a fixed pattern. Permissions can be arranged so that appropriate people
31935 can edit the different alias files. A successful aliasing operation results in
31936 a new envelope recipient address, which is then routed from scratch.
31937
31938 The other kind of ``virtual'' domain can also be handled in a straightforward
31939 way. One approach is to create a file for each domain containing a list of
31940 valid local parts, and use it in a router like this:
31941
31942   my_domains:
31943     driver = accept
31944     domains = dsearch;/etc/mail/domains
31945     local_parts = lsearch;/etc/mail/domains/$domain
31946     transport = my_mailboxes
31947
31948 The address is accepted if there is a file for the domain, and the local part
31949 can be found in the file. The %domains% option is used to check for the file's
31950 existence because %domains% is tested before the %local_parts% option (see
31951 section <<SECTrouprecon>>). You can't use %require_files%, because that option
31952 is tested after %local_parts%. The transport is as follows:
31953
31954   my_mailboxes:
31955     driver = appendfile
31956     file = /var/mail/$domain/$local_part
31957     user = mail
31958
31959 This uses a directory of mailboxes for each domain. The %user% setting is
31960 required, to specify which uid is to be used for writing to the mailboxes.
31961
31962 The configuration shown here is just one example of how you might support this
31963 requirement. There are many other ways this kind of configuration can be set
31964 up, for example, by using a database instead of separate files to hold all the
31965 information about the domains.
31966
31967
31968
31969 [[SECTmulbox]]
31970 Multiple user mailboxes
31971 ~~~~~~~~~~~~~~~~~~~~~~~
31972 cindex:[multiple mailboxes]
31973 cindex:[mailbox,multiple]
31974 cindex:[local part,prefix]
31975 cindex:[local part,suffix]
31976 Heavy email users often want to operate with multiple mailboxes, into which
31977 incoming mail is automatically sorted. A popular way of handling this is to
31978 allow users to use multiple sender addresses, so that replies can easily be
31979 identified. Users are permitted to add prefixes or suffixes to their local
31980 parts for this purpose. The wildcard facility of the generic router options
31981 %local_part_prefix% and %local_part_suffix% can be used for this. For
31982 example, consider this router:
31983
31984   userforward:
31985     driver = redirect
31986     check_local_user
31987     file = $home/.forward
31988     local_part_suffix = -*
31989     local_part_suffix_optional
31990     allow_filter
31991
31992 cindex:[$local_part_suffix$]
31993 It runs a user's _.forward_ file for all local parts of the form
31994 'username-\*'. Within the filter file the user can distinguish different
31995 cases by testing the variable $local_part_suffix$. For example:
31996
31997   if $local_part_suffix contains -special then
31998     save /home/$local_part/Mail/special
31999   endif
32000
32001 If the filter file does not exist, or does not deal with such addresses, they
32002 fall through to subsequent routers, and, assuming no subsequent use of the
32003 %local_part_suffix% option is made, they presumably fail. Thus, users have
32004 control over which suffixes are valid.
32005
32006 Alternatively, a suffix can be used to trigger the use of a different
32007 _.forward_ file -- which is the way a similar facility is implemented in
32008 another MTA:
32009
32010   userforward:
32011     driver = redirect
32012     check_local_user
32013     file = $home/.forward$local_part_suffix
32014     local_part_suffix = -*
32015     local_part_suffix_optional
32016     allow_filter
32017
32018 If there is no suffix, _.forward_ is used; if the suffix is '-special', for
32019 example, _.forward-special_ is used. Once again, if the appropriate file
32020 does not exist, or does not deal with the address, it is passed on to
32021 subsequent routers, which could, if required, look for an unqualified
32022 _.forward_ file to use as a default.
32023
32024
32025
32026 Simplified vacation processing
32027 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32028 cindex:[vacation processing]
32029 The traditional way of running the 'vacation' program is for a user to set up
32030 a pipe command in a _.forward_ file
32031 (see section <<SECTspecitredli>> for syntax details).
32032 This is prone to error by inexperienced users. There are two features of Exim
32033 that can be used to make this process simpler for users:
32034
32035 - A local part prefix such as ``vacation-'' can be specified on a router which
32036 can cause the message to be delivered directly to the 'vacation' program, or
32037 alternatively can use Exim's ^autoreply^ transport. The contents of a user's
32038 _.forward_ file are then much simpler. For example:
32039
32040   spqr, vacation-spqr
32041
32042 - The %require_files% generic router option can be used to trigger a
32043 vacation delivery by checking for the existence of a certain file in the
32044 user's home directory. The %unseen% generic option should also be used, to
32045 ensure that the original delivery also proceeds. In this case, all the user has
32046 to do is to create a file called, say, _.vacation_, containing a vacation
32047 message.
32048
32049 Another advantage of both these methods is that they both work even when the
32050 use of arbitrary pipes by users is locked out.
32051
32052
32053
32054 Taking copies of mail
32055 ~~~~~~~~~~~~~~~~~~~~~
32056 cindex:[message,copying every]
32057 Some installations have policies that require archive copies of all messages to
32058 be made. A single copy of each message can easily be taken by an appropriate
32059 command in a system filter, which could, for example, use a different file for
32060 each day's messages.
32061
32062 There is also a shadow transport mechanism that can be used to take copies of
32063 messages that are successfully delivered by local transports, one copy per
32064 delivery. This could be used, 'inter alia', to implement automatic
32065 notification of delivery by sites that insist on doing such things.
32066
32067
32068
32069 Intermittently connected hosts
32070 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32071 cindex:[intermittently connected hosts]
32072 It has become quite common (because it is cheaper) for hosts to connect to the
32073 Internet periodically rather than remain connected all the time. The normal
32074 arrangement is that mail for such hosts accumulates on a system that is
32075 permanently connected.
32076
32077 Exim was designed for use on permanently connected hosts, and so it is not
32078 particularly well-suited to use in an intermittently connected environment.
32079 Nevertheless there are some features that can be used.
32080
32081
32082 Exim on the upstream server host
32083 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32084 It is tempting to arrange for incoming mail for the intermittently connected
32085 host to remain on Exim's queue until the client connects. However, this
32086 approach does not scale very well. Two different kinds of waiting message are
32087 being mixed up in the same queue -- those that cannot be delivered because of
32088 some temporary problem, and those that are waiting for their destination host
32089 to connect. This makes it hard to manage the queue, as well as wasting
32090 resources, because each queue runner scans the entire queue.
32091
32092 A better approach is to separate off those messages that are waiting for an
32093 intermittently connected host. This can be done by delivering these messages
32094 into local files in batch SMTP, ``mailstore'', or other envelope-preserving
32095 format, from where they are transmitted by other software when their
32096 destination connects. This makes it easy to collect all the mail for one host
32097 in a single directory, and to apply local timeout rules on a per-message basis
32098 if required.
32099
32100 On a very small scale, leaving the mail on Exim's queue can be made to work. If
32101 you are doing this, you should configure Exim with a long retry period for the
32102 intermittent host. For example:
32103
32104   cheshire.wonderland.fict.example    *   F,5d,24h
32105
32106 This stops a lot of failed delivery attempts from occurring, but Exim remembers
32107 which messages it has queued up for that host. Once the intermittent host comes
32108 online, forcing delivery of one message (either by using the %-M% or %-R%
32109 options, or by using the ETRN SMTP command (see section <<SECTETRN>>)
32110 causes all the queued up messages to be delivered, often down a single SMTP
32111 connection. While the host remains connected, any new messages get delivered
32112 immediately.
32113
32114 If the connecting hosts do not have fixed IP addresses, that is, if a host is
32115 issued with a different IP address each time it connects, Exim's retry
32116 mechanisms on the holding host get confused, because the IP address is normally
32117 used as part of the key string for holding retry information. This can be
32118 avoided by unsetting %retry_include_ip_address% on the ^smtp^ transport.
32119 Since this has disadvantages for permanently connected hosts, it is best to
32120 arrange a separate transport for the intermittently connected ones.
32121
32122
32123
32124 Exim on the intermittently connected client host
32125 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32126 The value of %smtp_accept_queue_per_connection% should probably be
32127 increased, or even set to zero (that is, disabled) on the intermittently
32128 connected host, so that all incoming messages down a single connection get
32129 delivered immediately.
32130
32131 cindex:[SMTP,passed connection]
32132 cindex:[SMTP,multiple deliveries]
32133 cindex:[multiple SMTP deliveries]
32134 Mail waiting to be sent from an intermittently connected host will probably
32135 not have been routed, because without a connection DNS lookups are not
32136 possible. This means that if a normal queue run is done at connection time,
32137 each message is likely to be sent in a separate SMTP session. This can be
32138 avoided by starting the queue run with a command line option beginning with
32139 %-qq% instead of %-q%. In this case, the queue is scanned twice. In the first
32140 pass, routing is done but no deliveries take place. The second pass is a normal
32141 queue run; since all the messages have been previously routed, those destined
32142 for the same host are likely to get sent as multiple deliveries in a single
32143 SMTP connection.
32144
32145
32146
32147 ////////////////////////////////////////////////////////////////////////////
32148 ////////////////////////////////////////////////////////////////////////////
32149
32150 [[CHAPnonqueueing]]
32151 [titleabbrev="Exim as a non-queueing client"]
32152 Using Exim as a non-queueing client
32153 -----------------------------------
32154 cindex:[client, non-queueing]
32155 cindex:[smart host,queueing; suppressing]
32156 On a personal computer, it is a common requirement for all
32157 email to be sent to a ``smart host''. There are plenty of MUAs that can be
32158 configured to operate that way, for all the popular operating systems.
32159 However, there are some MUAs for Unix-like systems that cannot be so
32160 configured: they submit messages using the command line interface of
32161 _/usr/sbin/sendmail_. Furthermore, utility programs such as 'cron' submit
32162 messages this way.
32163
32164 If the personal computer runs continuously, there is no problem, because it can
32165 run a conventional MTA that handles delivery to the smart host, and deal with
32166 any delays via its queueing mechanism. However, if the computer does not run
32167 continuously or runs different operating systems at different times, queueing
32168 email is not desirable.
32169
32170 There is therefore a requirement for something that can provide the
32171 _/usr/sbin/sendmail_ interface but deliver messages to a smart host without
32172 any queueing or retrying facilities. Furthermore, the delivery to the smart
32173 host should be synchronous, so that if it fails, the sending MUA is immediately
32174 informed. In other words, we want something that extends an MUA that submits
32175 to a local MTA via the command line so that it behaves like one that submits
32176 to a remote smart host using TCP/SMTP.
32177
32178 There are a number of applications (for example, there is one called 'ssmtp')
32179 that do this job. However, people have found them to be lacking in various
32180 ways. For instance, you might want to allow aliasing and forwarding to be done
32181 before sending a message to the smart host.
32182
32183 Exim already had the necessary infrastructure for doing this job. Just a few
32184 tweaks were needed to make it behave as required, though it is somewhat of an
32185 overkill to use a fully-featured MTA for this purpose.
32186
32187 cindex:[%mua_wrapper%]
32188 There is a Boolean global option called %mua_wrapper%, defaulting false.
32189 Setting %mua_wrapper% true causes Exim to run in a special mode where it
32190 assumes that it is being used to ``wrap'' a command-line MUA in the manner
32191 just described. As well as setting %mua_wrapper%, you also need to provide a
32192 compatible router and transport configuration. Typically there will be just one
32193 router and one transport, sending everything to a smart host.
32194
32195 When run in MUA wrapping mode, the behaviour of Exim changes in the
32196 following ways:
32197
32198 - A daemon cannot be run, nor will Exim accept incoming messages from 'inetd'.
32199 In other words, the only way to submit messages is via the command line.
32200
32201 - Each message is synchonously delivered as soon as it is received (%-odi% is
32202 assumed). All queueing options (%queue_only%, %queue_smtp_domains%,
32203 %control% in an ACL, etc.) are quietly ignored. The Exim reception process does
32204 not finish until the delivery attempt is complete. If the delivery is
32205 successful, a zero return code is given.
32206
32207 - Address redirection is permitted, but the final routing for all addresses must
32208 be to the same remote transport, and to the same list of hosts. Furthermore,
32209 the return address (envelope sender) must be the same for all recipients, as
32210 must any added or deleted header lines. In other words, it must be possible to
32211 deliver the message in a single SMTP transaction, however many recipients there
32212 are.
32213
32214 - If these conditions are not met, or if routing any address results in a
32215 failure or defer status, or if Exim is unable to deliver all the recipients
32216 successfully to one of the smart hosts, delivery of the entire message fails.
32217
32218 - Because no queueing is allowed, all failures are treated as permanent; there
32219 is no distinction between 4##'xx' and 5##'xx' SMTP response codes from the
32220 smart host. Furthermore, because only a single yes/no response can be given to
32221 the caller, it is not possible to deliver to some recipients and not others. If
32222 there is an error (temporary or permanent) for any recipient, all are failed.
32223
32224 - If more than one smart host is listed, Exim will try another host after a
32225 connection failure or a timeout, in the normal way. However, if this kind of
32226 failure happens for all the hosts, the delivery fails.
32227
32228 - When delivery fails, an error message is written to the standard error stream
32229 (as well as to Exim's log), and Exim exits to the caller with a return code
32230 value 1. The message is expunged from Exim's spool files. No bounce messages
32231 are ever generated.
32232
32233 - No retry data is maintained, and any retry rules are ignored.
32234
32235 - A number of Exim options are overridden: %deliver_drop_privilege% is forced
32236 true, %max_rcpt% in the smtp transport is forced to ``unlimited'',
32237 %remote_max_parallel% is forced to one, and fallback hosts are ignored.
32238
32239 The overall effect is that Exim makes a single synchronous attempt to deliver
32240 the message, failing if there is any kind of problem. Because no local
32241 deliveries are done and no daemon can be run, Exim does not need root
32242 privilege. It should be possible to run it setuid to 'exim' instead of setuid
32243 to 'root'. See section <<SECTrunexiwitpri>> for a general discussion about the
32244 advantages and disadvantages of running without root privilege.
32245
32246
32247
32248
32249 ////////////////////////////////////////////////////////////////////////////
32250 ////////////////////////////////////////////////////////////////////////////
32251
32252 [[CHAPlog]]
32253 Log files
32254 ---------
32255 cindex:[log,types of]
32256 cindex:[log,general description]
32257 Exim writes three different logs, referred to as the main log, the reject log,
32258 and the panic log:
32259
32260 - cindex:[main log]
32261 The main log records the arrival of each message and each delivery in a single
32262 line in each case. The format is as compact as possible, in an attempt to keep
32263 down the size of log files. Two-character flag sequences make it easy to pick
32264 out these lines. A number of other events are recorded in the main log. Some of
32265 them are optional, in which case the %log_selector% option controls whether
32266 they are included or not. A Perl script called 'eximstats', which does simple
32267 analysis of main log files, is provided in the Exim distribution (see section
32268 <<SECTmailstat>>).
32269
32270 - cindex:[reject log]
32271 The reject log records information from messages that are rejected as a result
32272 of a configuration option (that is, for policy reasons).
32273 The first line of each rejection is a copy of the line that is also written to
32274 the main log. Then, if the message's header has been read at the time the log
32275 is written, its contents are written to this log. Only the original header
32276 lines are available; header lines added by ACLs are not logged. You can use the
32277 reject log to check that your policy controls are working correctly; on a busy
32278 host this may be easier than scanning the main log for rejection messages. You
32279 can suppress the writing of the reject log by setting %write_rejectlog% false.
32280
32281 - cindex:[panic log]
32282 cindex:[system log]
32283 When certain serious errors occur, Exim writes entries to its panic log. If the
32284 error is sufficiently disastrous, Exim bombs out afterwards. Panic log entries
32285 are usually written to the main log as well, but can get lost amid the mass of
32286 other entries. The panic log should be empty under normal circumstances. It is
32287 therefore a good idea to check it (or to have a 'cron' script check it)
32288 regularly, in order to become aware of any problems. When Exim cannot open its
32289 panic log, it tries as a last resort to write to the system log (syslog). This
32290 is opened with LOG_PID+LOG_CONS and the facility code of LOG_MAIL. The
32291 message itself is written at priority LOG_CRIT.
32292
32293 Every log line starts with a timestamp, in the format shown in this example:
32294
32295   2001-09-16 16:09:47 SMTP connection from [127.0.0.1] closed by QUIT
32296
32297 By default, the timestamps are in the local timezone. There are two
32298 ways of changing this:
32299
32300 - You can set the %timezone% option to a different time zone; in particular, if
32301 you set
32302 +
32303   timezone = UTC
32304 +
32305 the timestamps will be in UTC (aka GMT).
32306
32307 - If you set %log_timezone% true, the time zone is added to the timestamp, for
32308 example:
32309 +
32310   2003-04-25 11:17:07 +0100 Start queue run: pid=12762
32311
32312
32313
32314
32315
32316 [[SECTwhelogwri]]
32317 Where the logs are written
32318 ~~~~~~~~~~~~~~~~~~~~~~~~~~
32319 cindex:[log,destination]
32320 cindex:[log,to file]
32321 cindex:[log,to syslog]
32322 cindex:[syslog]
32323 The logs may be written to local files, or to syslog, or both. However, it
32324 should be noted that many syslog implementations use UDP as a transport, and
32325 are therefore unreliable in the sense that messages are not guaranteed to
32326 arrive at the loghost, nor is the ordering of messages necessarily maintained.
32327 It has also been reported that on large log files (tens of megabytes) you may
32328 need to tweak syslog to prevent it syncing the file with each write -- on Linux
32329 this has been seen to make syslog take 90% plus of CPU time.
32330
32331 The destination for Exim's logs is configured by setting LOG_FILE_PATH in
32332 _Local/Makefile_ or by setting %log_file_path% in the run time
32333 configuration. This latter string is expanded, so it can contain, for example,
32334 references to the host name:
32335
32336   log_file_path = /var/log/$primary_hostname/exim_%slog
32337
32338 It is generally advisable, however, to set the string in _Local/Makefile_
32339 rather than at run time, because then the setting is available right from the
32340 start of Exim's execution. Otherwise, if there's something it wants to log
32341 before it has read the configuration file (for example, an error in the
32342 configuration file) it will not use the path you want, and may not be able to
32343 log at all.
32344
32345 The value of LOG_FILE_PATH or %log_file_path% is a colon-separated
32346 list, currently limited to at most two items. This is one option where the
32347 facility for changing a list separator may not be used. The list must always be
32348 colon-separated. If an item in the list is ``syslog'' then syslog is used;
32349 otherwise the item must either be an absolute path, containing `%s` at the
32350 point where ``main'', ``reject'', or ``panic'' is to be inserted, or be empty,
32351 implying the use of a default path.
32352
32353 When Exim encounters an empty item in the list, it searches the list defined by
32354 LOG_FILE_PATH, and uses the first item it finds that is neither empty nor
32355 ``syslog''. This means that an empty item in %log_file_path% can be used to
32356 mean ``use the path specified at build time''. It no such item exists, log files
32357 are written in the _log_ subdirectory of the spool directory. This is
32358 equivalent to the setting:
32359
32360   log_file_path = $spool_directory/log/%slog
32361
32362 If you do not specify anything at build time or run time, that is where the
32363 logs are written.
32364
32365 A log file path may also contain `%D` if datestamped log file names are in
32366 use -- see section <<SECTdatlogfil>> below.
32367
32368 Here are some examples of possible settings:
32369
32370 &&&
32371 `LOG_FILE_PATH=syslog                    ` syslog only
32372 `LOG_FILE_PATH=:syslog                   ` syslog and default path
32373 `LOG_FILE_PATH=syslog : /usr/log/exim_%s ` syslog and specified path
32374 `LOG_FILE_PATH=/usr/log/exim_%s          ` specified path only
32375 &&&
32376
32377 If there are more than two paths in the list, the first is used and a panic
32378 error is logged.
32379
32380
32381
32382 Logging to local files that are periodically ``cycled''
32383 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32384 cindex:[log,cycling local files]
32385 cindex:[cycling logs]
32386 cindex:['exicyclog']
32387 cindex:[log,local files; writing to]
32388 Some operating systems provide centralized and standardised methods for cycling
32389 log files. For those that do not, a utility script called 'exicyclog' is
32390 provided (see section <<SECTcyclogfil>>). This renames and compresses the main
32391 and reject logs each time it is called. The maximum number of old logs to keep
32392 can be set. It is suggested this script is run as a daily 'cron' job.
32393
32394 An Exim delivery process opens the main log when it first needs to write to it,
32395 and it keeps the file open in case subsequent entries are required -- for
32396 example, if a number of different deliveries are being done for the same
32397 message. However, remote SMTP deliveries can take a long time, and this means
32398 that the file may be kept open long after it is renamed if 'exicyclog' or
32399 something similar is being used to rename log files on a regular basis. To
32400 ensure that a switch of log files is noticed as soon as possible, Exim calls
32401 'stat()' on the main log's name before reusing an open file, and if the file
32402 does not exist, or its inode has changed, the old file is closed and Exim
32403 tries to open the main log from scratch. Thus, an old log file may remain open
32404 for quite some time, but no Exim processes should write to it once it has been
32405 renamed.
32406
32407
32408
32409 [[SECTdatlogfil]]
32410 Datestamped log files
32411 ~~~~~~~~~~~~~~~~~~~~~
32412 cindex:[log,datestamped files]
32413 Instead of cycling the main and reject log files by renaming them
32414 periodically, some sites like to use files whose names contain a datestamp,
32415 for example, _mainlog-20031225_. The datestamp is in the form _yyyymmdd_.
32416 Exim has support for this way of working. It is enabled by setting the
32417 %log_file_path% option to a path that includes `%D` at the point where the
32418 datestamp is required. For example:
32419
32420   log_file_path = /var/spool/exim/log/%slog-%D
32421   log_file_path = /var/log/exim-%s-%D.log
32422   log_file_path = /var/spool/exim/log/%D-%slog
32423
32424 As before, `%s` is replaced by ``main'' or ``reject''; the following are examples
32425 of names generated by the above examples:
32426
32427   /var/spool/exim/log/mainlog-20021225
32428   /var/log/exim-reject-20021225.log
32429   /var/spool/exim/log/20021225-mainlog
32430
32431 When this form of log file is specified, Exim automatically switches to new
32432 files at midnight. It does not make any attempt to compress old logs; you
32433 will need to write your own script if you require this. You should not
32434 run 'exicyclog' with this form of logging.
32435
32436 The location of the panic log is also determined by %log_file_path%, but it
32437 is not datestamped, because rotation of the panic log does not make sense.
32438 When generating the name of the panic log, `%D` is removed from the string.
32439 In addition, if it immediately follows a slash, a following non-alphanumeric
32440 character is removed; otherwise a preceding non-alphanumeric character is
32441 removed. Thus, the three examples above would give these panic log names:
32442
32443   /var/spool/exim/log/paniclog
32444   /var/log/exim-panic.log
32445   /var/spool/exim/log/paniclog
32446
32447
32448
32449
32450 Logging to syslog
32451 ~~~~~~~~~~~~~~~~~
32452 cindex:[log,syslog; writing to]
32453 The use of syslog does not change what Exim logs or the format of its messages,
32454 except in one respect. If %syslog_timestamp% is set false, the timestamps on
32455 Exim's log lines are omitted when these lines are sent to syslog. Apart from
32456 that, the same strings are written to syslog as to log files. The syslog
32457 ``facility'' is set to LOG_MAIL, and the program name to ``exim''
32458 by default, but you can change these by setting the %syslog_facility% and
32459 %syslog_processname% options, respectively. If Exim was compiled with
32460 SYSLOG_LOG_PID set in _Local/Makefile_ (this is the default in
32461 _src/EDITME_), then, on systems that permit it (all except ULTRIX), the
32462 LOG_PID flag is set so that the 'syslog()' call adds the pid as well as
32463 the time and host name to each line.
32464 The three log streams are mapped onto syslog priorities as follows:
32465
32466 - 'mainlog' is mapped to LOG_INFO
32467
32468 - 'rejectlog' is mapped to LOG_NOTICE
32469
32470 - 'paniclog' is mapped to LOG_ALERT
32471
32472 Many log lines are written to both 'mainlog' and 'rejectlog', and some are
32473 written to both 'mainlog' and 'paniclog', so there will be duplicates if
32474 these are routed by syslog to the same place. You can suppress this duplication
32475 by setting %syslog_duplication% false.
32476
32477 Exim's log lines can sometimes be very long, and some of its 'rejectlog'
32478 entries contain multiple lines when headers are included. To cope with both
32479 these cases, entries written to syslog are split into separate 'syslog()'
32480 calls at each internal newline, and also after a maximum of
32481 870 data characters. (This allows for a total syslog line length of 1024, when
32482 additions such as timestamps are added.) If you are running a syslog
32483 replacement that can handle lines longer than the 1024 characters allowed by
32484 RFC 3164, you should set
32485
32486   SYSLOG_LONG_LINES=yes
32487
32488 in _Local/Makefile_ before building Exim. That stops Exim from splitting long
32489 lines, but it still splits at internal newlines in 'reject' log entries.
32490
32491 To make it easy to re-assemble split lines later, each component of a split
32492 entry starts with a string of the form ``[<''n'>/<'m'>]' or ``[<''n'>\<'m'>]'
32493 where <'n'> is the component number and <'m'> is the total number of components
32494 in the entry. The / delimiter is used when the line was split because it was
32495 too long; if it was split because of an internal newline, the \ delimiter is
32496 used. For example, supposing the length limit to be 70 instead of 1000, the
32497 following would be the result of a typical rejection message to 'mainlog'
32498 (LOG_INFO), each line in addition being preceded by the time, host name, and
32499 pid as added by syslog:
32500
32501   $smc\{[1/3] 2002-09-16 16:09:43 16RdAL-0006pc-00 rejected from [127.0.0.1] (ph10):
32502   [2/3]  syntax error in 'From' header when scanning for sender: missing or ma
32503   [3/3] lformed local part in "<>" (envelope sender is <ph10@cam.example>)\}
32504
32505 The same error might cause the following lines to be written to ``rejectlog''
32506 (LOG_NOTICE):
32507
32508   $smc\{[1/14] 2002-09-16 16:09:43 16RdAL-0006pc-00 rejected from [127.0.0.1] (ph10):
32509   [2/14]  syntax error in 'From' header when scanning for sender: missing or ma
32510   [3\14] lformed local part in "<>" (envelope sender is <ph10@cam.example>)
32511   [4\14] Recipients: ph10@some.domain.cam.example
32512   [5\14] P Received: from [127.0.0.1] (ident=ph10)
32513   [6\14]        by xxxxx.cam.example with smtp (Exim 4.00)
32514   [7\14]        id 16RdAL-0006pc-00
32515   [8\14]        for ph10@cam.example; Mon, 16 Sep 2002 16:09:43 +0100
32516   [9\14] F From: <>
32517   [10\14]   Subject: this is a test header
32518   [11\14]   X-something: this is another header
32519   [12\14] I Message-Id: <E16RdAL-0006pc-00@xxxxx.cam.example>
32520   [13\14] B Bcc:
32521   [14/14]   Date: Mon, 16 Sep 2002 16:09:43 +0100\}
32522
32523 Log lines that are neither too long nor contain newlines are written to syslog
32524 without modification.
32525
32526 If only syslog is being used, the Exim monitor is unable to provide a log tail
32527 display, unless syslog is routing 'mainlog' to a file on the local host and
32528 the environment variable EXIMON_LOG_FILE_PATH is set to tell the monitor
32529 where it is.
32530
32531
32532
32533 Log line flags
32534 ~~~~~~~~~~~~~~
32535 One line is written to the main log for each message received, and for each
32536 successful, unsuccessful, and delayed delivery. These lines can readily be
32537 picked out by the distinctive two-character flags that immediately follow the
32538 timestamp. The flags are:
32539
32540 &&&
32541 `<=`     message arrival
32542 `=>`     normal message delivery
32543 `->`     additional address in same delivery
32544 `\*>`     delivery suppressed by %-N%
32545 `\*\*`     delivery failed; address bounced
32546 `==`     delivery deferred; temporary problem
32547 &&&
32548
32549
32550
32551 Logging message reception
32552 ~~~~~~~~~~~~~~~~~~~~~~~~~
32553 cindex:[log,reception line]
32554 The format of the single-line entry in the main log that is written for every
32555 message received is shown in the basic example below, which is split over
32556 several lines in order to fit it on the page:
32557
32558   2002-10-31 08:57:53 16ZCW1-0005MB-00 <= kryten@dwarf.fict.example
32559     H=mailer.fict.example [192.168.123.123] U=exim
32560     P=smtp S=5678 id=<incoming message id>
32561
32562 The address immediately following ``<='' is the envelope sender address. A bounce
32563 message is shown with the sender address ``<>'', and if it is locally generated,
32564 this is followed by an item of the form
32565
32566   R=<message id>
32567
32568 which is a reference to the message that caused the bounce to be sent.
32569
32570 cindex:[HELO]
32571 cindex:[EHLO]
32572 For messages from other hosts, the H and U fields identify the remote host and
32573 record the RFC 1413 identity of the user that sent the message, if one was
32574 received. The number given in square brackets is the IP address of the sending
32575 host. If there is a single, unparenthesized  host name in the H field, as
32576 above, it has been verified to correspond to the IP address (see the
32577 %host_lookup% option). If the name is in parentheses, it was the name quoted
32578 by the remote host in the SMTP HELO or EHLO command, and has not been
32579 verified. If verification yields a different name to that given for HELO or
32580 EHLO, the verified name appears first, followed by the HELO or EHLO
32581 name in parentheses.
32582
32583 Misconfigured hosts (and mail forgers) sometimes put an IP address, with or
32584 without brackets, in the HELO or EHLO command, leading to entries in
32585 the log containing text like these examples:
32586
32587   H=(10.21.32.43) [192.168.8.34]
32588   H=([10.21.32.43]) [192.168.8.34]
32589
32590 This can be confusing. Only the final address in square brackets can be relied
32591 on.
32592
32593 For locally generated messages (that is, messages not received over TCP/IP),
32594 the H field is omitted, and the U field contains the login name of the caller
32595 of Exim.
32596
32597 [revisionflag="changed"]
32598 cindex:[authentication,logging]
32599 cindex:[AUTH,logging]
32600 For all messages, the P field specifies the protocol used to receive the
32601 message. This is the value that is stored in $received_protocol$. In the case
32602 of incoming SMTP messages, the value indicates whether or not any SMTP
32603 extensions (ESMTP), encryption, or authentication were used. If the SMTP
32604 session was encrypted, there is an additional X field that records the cipher
32605 suite that was used.
32606
32607 [revisionflag="changed"]
32608 The protocol is set to ``esmptsa'' or ``esmtpa'' for messages received from
32609 hosts that have authenticated themselves using the SMTP AUTH command. The first
32610 value is used when the SMTP connection was encrypted (``secure''). In this case
32611 there is an additional item A= followed by the name of the authenticator that
32612 was used. If an authenticated identification was set up by the authenticator's
32613 %server_set_id% option, this is logged too, separated by a colon from the
32614 authenticator name.
32615
32616
32617 cindex:[size,of message]
32618 The id field records the existing message id, if present. The size of the
32619 received message is given by the S field. When the message is delivered,
32620 headers may be removed or added, so that the size of delivered copies of the
32621 message may not correspond with this value (and indeed may be different to each
32622 other).
32623
32624 The %log_selector% option can be used to request the logging of additional
32625 data when a message is received. See section <<SECTlogselector>> below.
32626
32627
32628
32629 Logging deliveries
32630 ~~~~~~~~~~~~~~~~~~
32631 cindex:[log,delivery line]
32632 The format of the single-line entry in the main log that is written for every
32633 delivery is shown in one of the examples below, for local and remote deliveries,
32634 respectively. Each example has been split into two lines in order to fit
32635 it on the page:
32636
32637   2002-10-31 08:59:13 16ZCW1-0005MB-00 => marv <marv@hitch.fict.example>
32638     R=localuser T=local_delivery
32639   2002-10-31 09:00:10 16ZCW1-0005MB-00 => monk@holistic.fict.example
32640     R=dnslookup T=remote_smtp H=holistic.fict.example [192.168.234.234]
32641
32642 For ordinary local deliveries, the original address is given in angle brackets
32643 after the final delivery address, which might be a pipe or a file. If
32644 intermediate address(es) exist between the original and the final address, the
32645 last of these is given in parentheses after the final address. The R and T
32646 fields record the router and transport that were used to process the address.
32647
32648 If a shadow transport was run after a successful local delivery, the log line
32649 for the successful delivery has an item added on the end, of the form
32650
32651   ST=<shadow transport name>
32652
32653 If the shadow transport did not succeed, the error message is put in
32654 parentheses afterwards.
32655
32656 cindex:[asterisk,after IP address]
32657 When more than one address is included in a single delivery (for example, two
32658 SMTP RCPT commands in one transaction) the second and subsequent addresses are
32659 flagged with `->` instead of `=>`. When two or more messages are delivered down
32660 a single SMTP connection, an asterisk follows the IP address in the log lines
32661 for the second and subsequent messages.
32662
32663 The generation of a reply message by a filter file gets logged as a ``delivery''
32664 to the addressee, preceded by ``>''.
32665
32666 The %log_selector% option can be used to request the logging of additional
32667 data when a message is delivered. See section <<SECTlogselector>> below.
32668
32669
32670 Discarded deliveries
32671 ~~~~~~~~~~~~~~~~~~~~
32672 cindex:[discarded messages]
32673 cindex:[message,discarded]
32674 cindex:[delivery,discarded; logging]
32675 When a message is discarded as a result of the command ``seen finish'' being
32676 obeyed in a filter file which generates no deliveries, a log entry of the form
32677
32678   2002-12-10 00:50:49 16auJc-0001UB-00 => discarded
32679     <low.club@bridge.example> R=userforward
32680
32681 is written, to record why no deliveries are logged. When a message is discarded
32682 because it is aliased to ``:blackhole:'' the log line is like this:
32683
32684   1999-03-02 09:44:33 10HmaX-0005vi-00 => :blackhole:
32685     <hole@nowhere.example> R=blackhole_router
32686
32687
32688
32689
32690 Deferred deliveries
32691 ~~~~~~~~~~~~~~~~~~~
32692 When a delivery is deferred, a line of the following form is logged:
32693
32694   2002-12-19 16:20:23 16aiQz-0002Q5-00 == marvin@endrest.example
32695     R=dnslookup T=smtp defer (146): Connection refused
32696
32697 In the case of remote deliveries, the error is the one that was given for the
32698 last IP address that was tried. Details of individual SMTP failures are also
32699 written to the log, so the above line would be preceded by something like
32700
32701   2002-12-19 16:20:23 16aiQz-0002Q5-00 Failed to connect to
32702     mail1.endrest.example [192.168.239.239]: Connection refused
32703
32704 When a deferred address is skipped because its retry time has not been reached,
32705 a message is written to the log, but this can be suppressed by setting an
32706 appropriate value in %log_selector%.
32707
32708
32709
32710 Delivery failures
32711 ~~~~~~~~~~~~~~~~~
32712 cindex:[delivery,failure; logging]
32713 If a delivery fails because an address cannot be routed, a line of the
32714 following form is logged:
32715
32716   1995-12-19 16:20:23 0tRiQz-0002Q5-00 ** jim@trek99.example
32717     <jim@trek99.example>: unknown mail domain
32718
32719 If a delivery fails at transport time, the router and transport are shown, and
32720 the response from the remote host is included, as in this example:
32721
32722   2002-07-11 07:14:17 17SXDU-000189-00 ** ace400@pb.example R=dnslookup
32723     T=remote_smtp: SMTP error from remote mailer after pipelined
32724     RCPT TO:<ace400@pb.example>: host pbmail3.py.example
32725     [192.168.63.111]: 553 5.3.0 <ace400@pb.example>...
32726     Addressee unknown
32727
32728 The word ``pipelined'' indicates that the SMTP PIPELINING extension was being
32729 used. See %hosts_avoid_esmtp% in the ^smtp^ transport for a way of
32730 disabling PIPELINING.
32731
32732 The log lines for all forms of delivery failure are flagged with `\*\*`.
32733
32734
32735
32736 Fake deliveries
32737 ~~~~~~~~~~~~~~~
32738 cindex:[delivery,fake; logging]
32739 If a delivery does not actually take place because the %-N% option has been
32740 used to suppress it, a normal delivery line is written to the log, except that
32741 ``=>'' is replaced by ``\*>''.
32742
32743
32744
32745 Completion
32746 ~~~~~~~~~~
32747 A line of the form
32748
32749   2002-10-31 09:00:11 16ZCW1-0005MB-00 Completed
32750
32751 is written to the main log when a message is about to be removed from the spool
32752 at the end of its processing.
32753
32754
32755
32756
32757 Summary of Fields in Log Lines
32758 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32759 cindex:[log,summary of fields]
32760 A summary of the field identifiers that are used in log lines is shown in
32761 the following table:
32762
32763 &&&
32764 `A   `        authenticator name (and optional id)
32765 `C   `        SMTP confirmation on delivery
32766 `CV  `        certificate verification status
32767 `DN  `        distinguished name from peer certificate
32768 `DT  `        on `=>` lines: time taken for a delivery
32769 `F   `        sender address (on delivery lines)
32770 `H   `        host name and IP address
32771 `I   `        local interface used
32772 `id  `        message id for incoming message
32773 `P   `        on `<=` lines: protocol used
32774 `    `        on `=>` and `\*\*` lines: return path
32775 `QT  `        on `=>` lines: time spent on queue so far
32776 `    `        on ``Completed'' lines: time spent on queue
32777 `R   `        on `<=` lines: reference for local bounce
32778 `    `        on `=>`  `\*\*` and `==` lines: router name
32779 `S   `        size of message
32780 `ST  `        shadow transport name
32781 `T   `        on `<=` lines: message subject (topic)
32782 `    `        on `=>` `\*\*` and `==` lines: transport name
32783 `U   `        local user or RFC 1413 identity
32784 `X   `        TLS cipher suite
32785 &&&
32786
32787
32788
32789 Other log entries
32790 ~~~~~~~~~~~~~~~~~
32791 Various other types of log entry are written from time to time. Most should be
32792 self-explanatory. Among the more common are:
32793
32794 - cindex:[retry,time not reached]
32795 'retry time not reached'~~An address previously suffered a temporary error
32796 during routing or local delivery, and the time to retry has not yet arrived.
32797 This message is not written to an individual message log file unless it happens
32798 during the first delivery attempt.
32799
32800 - 'retry time not reached for any host'~~An address previously suffered
32801 temporary errors during remote delivery, and the retry time has not yet arrived
32802 for any of the hosts to which it is routed.
32803
32804 - cindex:[spool directory,file locked]
32805 'spool file locked'~~An attempt to deliver a message cannot proceed because
32806 some other Exim process is already working on the message. This can be quite
32807 common if queue running processes are started at frequent intervals. The
32808 'exiwhat' utility script can be used to find out what Exim processes are
32809 doing.
32810
32811 - cindex:[error,ignored]
32812 'error ignored'~~There are several circumstances that give rise to this
32813 message:
32814
32815 . Exim failed to deliver a bounce message whose age was greater than
32816 %ignore_bounce_errors_after%. The bounce was discarded.
32817
32818 . A filter file set up a delivery using the ``noerror'' option, and the delivery
32819 failed. The delivery was discarded.
32820
32821 . A delivery set up by a router configured with
32822 +
32823     errors_to = <>
32824 +
32825 failed. The delivery was discarded.
32826
32827
32828
32829
32830
32831 [[SECTlogselector]]
32832 Reducing or increasing what is logged
32833 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32834 cindex:[log,selectors]
32835 By setting the %log_selector% global option, you can disable some of Exim's
32836 default logging, or you can request additional logging. The value of
32837 %log_selector% is made up of names preceded by plus or minus characters. For
32838 example:
32839
32840   log_selector = +arguments -retry_defer
32841
32842 The list of optional log items is in the following table, with the default
32843 selection marked by asterisks:
32844
32845 &&&
32846 ` address_rewrite            `  address rewriting
32847 ` all_parents                `  all parents in => lines
32848 ` arguments                  `  command line arguments
32849 `\*connection_reject          `  connection rejections
32850 `\*delay_delivery             `  immediate delivery delayed
32851 ` deliver_time               `  time taken to perform delivery
32852 ` delivery_size              `  add S=nnn to => lines
32853 `\*dnslist_defer              `  defers of DNS list (aka RBL) lookups
32854 `\*etrn                       `  ETRN commands
32855 `\*host_lookup_failed         `  as it says
32856 ` ident_timeout              `  timeout for ident connection
32857 ` incoming_interface         `  incoming interface on <= lines
32858 ` incoming_port              `  incoming port on <= lines
32859 `\*lost_incoming_connection   `  as it says (includes timeouts)
32860 ` outgoing_port              `  add remote port to => lines
32861 `\*queue_run                  `  start and end queue runs
32862 ` queue_time                 `  time on queue for one recipient
32863 ` queue_time_overall         `  time on queue for whole message
32864 ` received_recipients        `  recipients on <= lines
32865 ` received_sender            `  sender on <= lines
32866 `\*rejected_header            `  header contents on reject log
32867 `\*retry_defer                `  ``retry time not reached''
32868 ` return_path_on_delivery    `  put return path on => and \*\ lines
32869 ` sender_on_delivery         `  add sender to => lines
32870 `\*size_reject                `  rejection because too big
32871 `\*skip_delivery              `  delivery skipped in a queue run
32872 ` smtp_confirmation          `  SMTP confirmation on => lines
32873 ` smtp_connection            `  SMTP connections
32874 ` smtp_incomplete_transaction`  incomplete SMTP transactions
32875 ` smtp_protocol_error        `  SMTP protocol errors
32876 ` smtp_syntax_error          `  SMTP syntax errors
32877 ` subject                    `  contents of 'Subject:' on <= lines
32878 ` tls_certificate_verified   `  certificate verification status
32879 `\*tls_cipher                 `  TLS cipher suite on <= and => lines
32880 ` tls_peerdn                 `  TLS peer DN on <= and => lines
32881 ` unknown_in_list            `  DNS lookup failed in list match
32882
32883 ` all                        `  all of the above
32884 &&&
32885
32886 More details on each of these items follows:
32887
32888 - cindex:[log,rewriting]
32889 cindex:[rewriting,logging]
32890 %address_rewrite%: This applies both to global rewrites and per-transport
32891 rewrites,
32892 but not to rewrites in filters run as an unprivileged user (because such users
32893 cannot access the log).
32894
32895 - cindex:[log,full parentage]
32896 %all_parents%: Normally only the original and final addresses are logged on
32897 delivery lines; with this selector, intermediate parents are given in
32898 parentheses between them.
32899
32900 - cindex:[log,Exim arguments]
32901 cindex:[Exim arguments, logging]
32902 %arguments%: This causes Exim to write the arguments with which it was called
32903 to the main log, preceded by the current working directory. This is a debugging
32904 feature, added to make it easier to find out how certain MUAs call
32905 _/usr/sbin/sendmail_. The logging does not happen if Exim has given up root
32906 privilege because it was called with the %-C% or %-D% options. Arguments that
32907 are empty or that contain white space are quoted. Non-printing characters are
32908 shown as escape sequences. This facility cannot log unrecognized arguments,
32909 because the arguments are checked before the configuration file is read. The
32910 only way to log such cases is to interpose a script such as _util/logargs.sh_
32911 between the caller and Exim.
32912
32913 - cindex:[log,connection rejections]
32914 %connection_reject%: A log entry is written whenever an incoming SMTP
32915 connection is rejected, for whatever reason.
32916
32917 - cindex:[log,delayed delivery]
32918 cindex:[delayed delivery, logging]
32919 %delay_delivery%: A log entry is written whenever a delivery process is not
32920 started for an incoming message because the load is too high or too many
32921 messages were received on one connection. Logging does not occur if no delivery
32922 process is started because %queue_only% is set or %-odq% was used.
32923
32924 - cindex:[log,delivery duration]
32925 %deliver_time%: For each delivery, the amount of real time it has taken to
32926 perform the actual delivery is logged as DT=<'time'>, for example, `DT=1s`.
32927
32928 - cindex:[log,message size on delivery]
32929 cindex:[size,of message]
32930 %delivery_size%: For each delivery, the size of message delivered is added to
32931 the ``=>'' line, tagged with S=.
32932
32933 - cindex:[log,dnslist defer]
32934 cindex:[DNS list,logging defer]
32935 cindex:[black list (DNS)]
32936 %dnslist_defer%: A log entry is written if an attempt to look up a host in a
32937 DNS black list suffers a temporary error.
32938
32939 - cindex:[log,ETRN commands]
32940 cindex:[ETRN,logging]
32941 %etrn%: Every legal ETRN command that is received is logged, before the ACL is
32942 run to determine whether or not it is actually accepted. An invalid ETRN
32943 command, or one received within a message transaction is not logged by this
32944 selector (see %smtp_syntax_error% and %smtp_protocol_error%).
32945
32946 - cindex:[log,host lookup failure]
32947 %host_lookup_failed%: When a lookup of a host's IP addresses fails to find
32948 any addresses, or when a lookup of an IP address fails to find a host name, a
32949 log line is written. This logging does not apply to direct DNS lookups when
32950 routing email addresses, but it does apply to ``byname'' lookups.
32951
32952 - cindex:[log,ident timeout]
32953 cindex:[RFC 1413,logging timeout]
32954 %ident_timeout%: A log line is written whenever an attempt to connect to a
32955 client's ident port times out.
32956
32957 - cindex:[log,incoming interface]
32958 cindex:[interface,logging]
32959 %incoming_interface%: The interface on which a message was received is added to
32960 the ``<='' line as an IP address in square brackets, tagged by I= and followed
32961 by a colon and the port number. The local interface and port are also added to
32962 other SMTP log lines, for example ``SMTP connection from'', and to rejection
32963 lines.
32964
32965 - cindex:[log,incoming remote port]
32966 cindex:[port,logging remote]
32967 cindex:[TCP/IP,logging incoming remote port]
32968 cindex:[$sender_fullhost$]
32969 cindex:[$sender_rcvhost$]
32970 %incoming_port%: The remote port number from which a message was received is
32971 added to log entries and 'Received:' header lines, following the IP address in
32972 square brackets, and separated from it by a colon. This is implemented by
32973 changing the value that is put in the $sender_fullhost$ and
32974 $sender_rcvhost$ variables. Recording the remote port number has become more
32975 important with the widening use of NAT (see RFC 2505).
32976
32977 - cindex:[log,dropped connection]
32978 %lost_incoming_connection%: A log line is written when an incoming SMTP
32979 connection is unexpectedly dropped.
32980
32981 - cindex:[log,outgoing remote port]
32982 cindex:[port,logging outgoint remote]
32983 cindex:[TCP/IP,logging ougtoing remote port]
32984 %outgoing_port%: The remote port number is added to delivery log lines (those
32985 containing => tags) following the IP address. This option is not included in
32986 the default setting, because for most ordinary configurations, the remote port
32987 number is always 25 (the SMTP port).
32988
32989 - cindex:[log,queue run]
32990 cindex:[queue runner,logging]
32991 %queue_run%: The start and end of every queue run are logged.
32992
32993 - cindex:[log,queue time]
32994 %queue_time%: The amount of time the message has been in the queue on the local
32995 host is logged as QT=<'time'> on delivery (`=>`) lines, for example,
32996 `QT=3m45s`. The clock starts when Exim starts to receive the message, so it
32997 includes reception time as well as the delivery time for the current address.
32998 This means that it may be longer than the difference between the arrival and
32999 delivery log line times, because the arrival log line is not written until the
33000 message has been successfully received.
33001
33002 - %queue_time_overall%: The amount of time the message has been in the queue on
33003 the local host is logged as QT=<'time'> on ``Completed'' lines, for
33004 example, `QT=3m45s`. The clock starts when Exim starts to receive the
33005 message, so it includes reception time as well as the total delivery time.
33006
33007 - cindex:[log,recipients]
33008 %received_recipients%: The recipients of a message are listed in the main log
33009 as soon as the message is received. The list appears at the end of the log line
33010 that is written when a message is received, preceded by the word ``for''. The
33011 addresses are listed after they have been qualified, but before any rewriting
33012 has taken place.
33013 Recipients that were discarded by an ACL for MAIL or RCPT do not appear
33014 in the list.
33015
33016 - cindex:[log,sender reception]
33017 %received_sender%: The unrewritten original sender of a message is added to
33018 the end of the log line that records the message's arrival, after the word
33019 ``from'' (before the recipients if %received_recipients% is also set).
33020
33021 - cindex:[log,header lines for rejection]
33022 %rejected_header%: If a message's header has been received at the time a
33023 rejection is written to the reject log, the complete header is added to the
33024 log. Header logging can be turned off individually for messages that are
33025 rejected by the 'local_scan()' function (see section <<SECTapiforloc>>).
33026
33027 - cindex:[log,retry defer]
33028 %retry_defer%: A log line is written if a delivery is deferred because a retry
33029 time has not yet been reached. However, this ``retry time not reached'' message
33030 is always omitted from individual message logs after the first delivery
33031 attempt.
33032
33033 - cindex:[log,return path]
33034 %return_path_on_delivery%: The return path that is being transmitted with
33035 the message is included in delivery and bounce lines, using the tag P=.
33036 This is omitted if no delivery actually happens, for example, if routing fails,
33037 or if delivery is to _/dev/null_ or to `:blackhole:`.
33038
33039 - cindex:[log,sender on delivery]
33040 %sender_on_delivery%: The message's sender address is added to every delivery
33041 and bounce line, tagged by F= (for ``from'').
33042 This is the original sender that was received with the message; it is not
33043 necessarily the same as the outgoing return path.
33044
33045 - cindex:[log,size rejection]
33046 %size_reject%: A log line is written whenever a message is rejected because it
33047 is too big.
33048
33049 - cindex:[log,frozen messages; skipped]
33050 cindex:[frozen messages,logging skipping]
33051 %skip_delivery%: A log line is written whenever a message is skipped during a
33052 queue run because it is frozen or because another process is already delivering
33053 it.
33054 cindex:[``spool file is locked'']
33055 The message that is written is ``spool file is locked''.
33056
33057 - cindex:[log,smtp confirmation]
33058 cindex:[SMTP,logging confirmation]
33059 %smtp_confirmation%: The response to the final ``.'' in the SMTP dialogue for
33060 outgoing messages is added to delivery log lines in the form ``C="<''text'>"'. A
33061 number of MTAs (including Exim) return an identifying string in this response.
33062
33063 - cindex:[log,SMTP connections]
33064 cindex:[SMTP,logging connections]
33065 %smtp_connection%: A log line is written whenever an SMTP connection is
33066 established or closed, unless the connection is from a host that matches
33067 %hosts_connection_nolog%. (In contrast, %lost_incoming_connection% applies only
33068 when the closure is unexpected.) This applies to connections from local
33069 processes that use %-bs% as well as to TCP/IP connections. If a connection is
33070 dropped in the middle of a message, a log line is always written, whether or
33071 not this selector is set, but otherwise nothing is written at the start and end
33072 of connections unless this selector is enabled.
33073 +
33074 For TCP/IP connections to an Exim daemon, the current number of connections is
33075 included in the log message for each new connection, but note that the count is
33076 reset if the daemon is restarted.
33077 Also, because connections are closed (and the closure is logged) in
33078 subprocesses, the count may not include connections that have been closed but
33079 whose termination the daemon has not yet noticed. Thus, while it is possible to
33080 match up the opening and closing of connections in the log, the value of the
33081 logged counts may not be entirely accurate.
33082
33083 - cindex:[log,SMTP transaction; incomplete]
33084 cindex:[SMTP,logging incomplete transactions]
33085 %smtp_incomplete_transaction%: When a mail transaction is aborted by
33086 RSET, QUIT, loss of connection, or otherwise, the incident is logged,
33087 and the message sender plus any accepted recipients are included in the log
33088 line. This can provide evidence of dictionary attacks.
33089
33090 - cindex:[log,SMTP protocol error]
33091 cindex:[SMTP,logging protocol error]
33092 %smtp_protocol_error%: A log line is written for every SMTP protocol error
33093 encountered. Exim does not have perfect detection of all protocol errors
33094 because of transmission delays and the use of pipelining. If PIPELINING has
33095 been advertised to a client, an Exim server assumes that the client will use
33096 it, and therefore it does not count ``expected'' errors (for example, RCPT
33097 received after rejecting MAIL) as protocol errors.
33098
33099 - cindex:[SMTP,logging syntax errors]
33100 cindex:[SMTP,syntax errors; logging]
33101 cindex:[SMTP,unknown command; logging]
33102 cindex:[log,unknown SMTP command]
33103 cindex:[log,SMTP syntax error]
33104 %smtp_syntax_error%: A log line is written for every SMTP syntax error
33105 encountered. An unrecognized command is treated as a syntax error. For an
33106 external connection, the host identity is given; for an internal connection
33107 using %-bs% the sender identification (normally the calling user) is given.
33108
33109 - cindex:[log,subject]
33110 cindex:[subject, logging]
33111 %subject%: The subject of the message is added to the arrival log line,
33112 preceded by ``T='' (T for ``topic'', since S is already used for ``size'').
33113 Any MIME ``words'' in the subject are decoded. The %print_topbitchars% option
33114 specifies whether characters with values greater than 127 should be logged
33115 unchanged, or whether they should be rendered as escape sequences.
33116
33117 - cindex:[log,certificate verification]
33118 %tls_certificate_verified%: An extra item is added to <= and => log lines
33119 when TLS is in use. The item is `CV=yes` if the peer's certificate was
33120 verified, and `CV=no` if not.
33121
33122 - cindex:[log,TLS cipher]
33123 cindex:[TLS,logging cipher]
33124 %tls_cipher%: When a message is sent or received over an encrypted connection,
33125 the cipher suite used is added to the log line, preceded by X=.
33126
33127 - cindex:[log,TLS peer DN]
33128 cindex:[TLS,logging peer DN]
33129 %tls_peerdn%: When a message is sent or received over an encrypted connection,
33130 and a certificate is supplied by the remote host, the peer DN is added to the
33131 log line, preceded by DN=.
33132
33133 [revisionflag="changed"]
33134 - cindex:[log,DNS failure in list]
33135 %unknown_in_list%: This setting causes a log entry to be written when the
33136 result of a list match is failure because a DNS lookup failed.
33137
33138
33139 Message log
33140 ~~~~~~~~~~~
33141 cindex:[message,log file for]
33142 cindex:[log,message log; description of]
33143 In addition to the general log files, Exim writes a log file for each message
33144 that it handles. The names of these per-message logs are the message ids, and
33145
33146 cindex:[_msglog_ directory]
33147 they are kept in the _msglog_ sub-directory of the spool directory. Each
33148 message log contains copies of the log lines that apply to the message. This
33149 makes it easier to inspect the status of an individual message without having
33150 to search the main log. A message log is deleted when processing of the message
33151 is complete,
33152
33153 cindex:[%preserve_message_logs%]
33154 unless %preserve_message_logs% is set, but this should be used only with
33155 great care because they can fill up your disk very quickly.
33156
33157 On a heavily loaded system, it may be desirable to disable the use of
33158 per-message logs, in order to reduce disk I/O. This can be done by setting the
33159 %message_logs% option false.
33160
33161
33162
33163 ////////////////////////////////////////////////////////////////////////////
33164 ////////////////////////////////////////////////////////////////////////////
33165
33166 [[CHAPutils]]
33167 Exim utilities
33168 --------------
33169 cindex:[utilities]
33170 A number of utility scripts and programs are supplied with Exim and are
33171 described in this chapter. There is also the Exim Monitor, which is covered in
33172 the next chapter. The utilities described here are:
33173
33174 [frame="none"]
33175 `2`8`30`40~
33176 ,<<SECTfinoutwha>>   ,  'exiwhat'         ,  list what Exim processes are doing
33177 ,<<SECTgreptheque>>  ,  'exiqgrep'        ,  grep the queue
33178 ,<<SECTsumtheque>>   ,  'exiqsumm'        ,  summarize the queue
33179 ,<<SECTextspeinf>>   ,  'exigrep'         ,  search the main log
33180 ,<<SECTexipick>>     ,  'exipick'         ,  select messages on various criteria
33181 ,<<SECTcyclogfil>>   ,  'exicyclog'       ,  cycle (rotate) log files
33182 ,<<SECTmailstat>>    ,  'eximstats'       ,  extract statistics from the log
33183 ,<<SECTcheckaccess>> ,  'exim_checkaccess',  check address acceptance from given IP
33184 ,<<SECTdbmbuild>>    ,  'exim_dbmbuild'   ,  build a DBM file
33185 ,<<SECTfinindret>>   ,  'exinext'         ,  extract retry information
33186 ,<<SECThindatmai>>   ,  'exim_dumpdb'     ,  dump a hints database
33187 ,<<SECThindatmai>>   ,  'exim_tidydb'     ,  clean up a hints database
33188 ,<<SECThindatmai>>   ,  'exim_fixdb'      ,  patch a hints database
33189 ,<<SECTmailboxmaint>>,  'exim_lock'       ,  lock a mailbox file
33190 ~~~~~
33191
33192 [revisionflag="changed"]
33193 Another utility that might be of use to sites with many MTAs is Tom Kistner's
33194 'exilog'. It provides log visualizations across multiple Exim servers. See
33195 (*http://duncanthrax.net/exilog/[]*) for details.
33196
33197
33198
33199
33200
33201 [[SECTfinoutwha]]
33202 Finding out what Exim processes are doing (exiwhat)
33203 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33204 cindex:['exiwhat']
33205 cindex:[process, querying]
33206 cindex:[SIGUSR1]
33207 On operating systems that can restart a system call after receiving a signal
33208 (most modern OS), an Exim process responds to the SIGUSR1 signal by writing
33209 a line describing what it is doing to the file _exim-process.info_ in the
33210 Exim spool directory. The 'exiwhat' script sends the signal to all Exim
33211 processes it can find, having first emptied the file. It then waits for one
33212 second to allow the Exim processes to react before displaying the results. In
33213 order to run 'exiwhat' successfully you have to have sufficient privilege to
33214 send the signal to the Exim processes, so it is normally run as root.
33215
33216 *Warning*: This is not an efficient process. It is intended for occasional
33217 use by system administrators. It is not sensible, for example, to set up a
33218 script that sends SIGUSR1 signals to Exim processes at short intervals.
33219
33220
33221 Unfortunately, the 'ps' command that 'exiwhat' uses to find Exim processes
33222 varies in different operating systems. Not only are different options used,
33223 but the format of the output is different. For this reason, there are some
33224 system configuration options that configure exactly how 'exiwhat' works. If it
33225 doesn't seem to be working for you, check the following compile-time options:
33226
33227 &&&
33228 `EXIWHAT_PS_CMD    ` the command for running 'ps'
33229 `EXIWHAT_PS_ARG    ` the argument for 'ps'
33230 `EXIWHAT_EGREP_ARG ` the argument for 'egrep' to select from 'ps' output
33231 `EXIWHAT_KILL_ARG  ` the argument for the 'kill' command
33232 &&&
33233
33234 An example of typical output from 'exiwhat' is
33235
33236     164 daemon: -q1h, listening on port 25
33237   10483 running queue: waiting for 0tAycK-0002ij-00 (10492)
33238   10492 delivering 0tAycK-0002ij-00 to mail.ref.example [10.19.42.42]
33239     (editor@ref.example)
33240   10592 handling incoming call from [192.168.243.242]
33241   10628 accepting a local non-SMTP message
33242
33243 The first number in the output line is the process number. The third line has
33244 been split here, in order to fit it on the page.
33245
33246
33247
33248 [[SECTgreptheque]]
33249 Selective queue listing (exiqgrep)
33250 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33251 cindex:['exiqgrep']
33252 cindex:[queue,grepping]
33253 This utility is a Perl script contributed by Matt Hubbard. It runs
33254
33255   exim -bpu
33256
33257 to obtain a queue listing with undelivered recipients only, and then greps the
33258 output to select messages that match given criteria. The following selection
33259 options are available:
33260
33261 *-f*~<'regex'>::
33262 Match the sender address. The field that is tested is enclosed in angle
33263 brackets, so you can test for bounce messages with
33264
33265   exiqgrep -f '^<>$'
33266
33267 *-r*~<'regex'>::
33268 Match a recipient address. The field that is tested is not enclosed in angle
33269 brackets.
33270
33271 *-s*~<'regex'>::
33272 Match against the size field.
33273
33274 *-y*~<'seconds'>::
33275 Match messages that are younger than the given time.
33276
33277 *-o*~<'seconds'>::
33278 Match messages that are older than the given time.
33279
33280 *-z*::
33281 Match only frozen messages.
33282
33283 *-x*::
33284 Match only non-frozen messages.
33285
33286 ///
33287 End of list
33288 ///
33289
33290 The following options control the format of the output:
33291
33292 *-c*::
33293 Display only the count of matching messages.
33294
33295 *-l*::
33296 Long format -- display the full message information as output by Exim. This is
33297 the default.
33298
33299 *-i*::
33300 Display message ids only.
33301
33302 *-b*::
33303 Brief format -- one line per message.
33304
33305 *-R*::
33306 Display messages in reverse order.
33307
33308 ///
33309 End of list
33310 ///
33311
33312 There is one more option, %-h%, which outputs a list of options.
33313
33314
33315
33316 [[SECTsumtheque]]
33317 Summarising the queue (exiqsumm)
33318 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33319 cindex:['exiqsumm']
33320 cindex:[queue,summary]
33321 The 'exiqsumm' utility is a Perl script which reads the output of 'exim
33322 -bp' and produces a summary of the messages on the queue. Thus, you use it by
33323 running a command such as
33324
33325   exim -bp | exiqsumm
33326
33327 The output consists of one line for each domain that has messages waiting for
33328 it, as in the following example:
33329
33330     3   2322   74m   66m  msn.com.example
33331
33332 Each line lists the number of
33333 pending deliveries for a domain, their total volume, and the length of time
33334 that the oldest and the newest messages have been waiting. Note that the number
33335 of pending deliveries is greater than the number of messages when messages
33336 have more than one recipient.
33337
33338 A summary line is output at the end. By default the output is sorted on the
33339 domain name, but 'exiqsumm' has the options %-a% and %-c%, which cause the
33340 output to be sorted by oldest message and by count of messages, respectively.
33341
33342 The output of 'exim -bp' contains the original addresses in the message, so
33343 this also applies to the output from 'exiqsumm'. No domains from addresses
33344 generated by aliasing or forwarding are included (unless the %one_time% option
33345 of the ^redirect^ router has been used to convert them into ``top level''
33346 addresses).
33347
33348
33349
33350
33351 [[SECTextspeinf]]
33352 Extracting specific information from the log (exigrep)
33353 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33354 [revisionflag="changed"]
33355 cindex:['exigrep']
33356 cindex:[log,extracts; grepping for]
33357 The 'exigrep' utility is a Perl script that searches one or more main log
33358 files for entries that match a given pattern. When it finds a match, it
33359 extracts all the log entries for the relevant message, not just those that
33360 match the pattern. Thus, 'exigrep' can extract complete log entries for a
33361 given message, or all mail for a given user, or for a given host, for example.
33362 The input files can be in Exim log format or syslog format.
33363
33364 If a matching log line is not associated with a specific message, it is always
33365 included in 'exigrep''s output. The usage is:
33366
33367   exigrep [-l] [-t<n>] <pattern> [<log file>] ...
33368
33369 The %-t% argument specifies a number of seconds. It adds an additional
33370 condition for message selection. Messages that are complete are shown only if
33371 they spent more than <'n'> seconds on the queue.
33372
33373 The %-l% flag means ``literal'', that is, treat all characters in the
33374 pattern as standing for themselves. Otherwise the pattern must be a Perl
33375 regular expression. The pattern match is case-insensitive. If no file names are
33376 given on the command line, the standard input is read.
33377
33378 If the location of a 'zcat' command is known from the definition of
33379 ZCAT_COMMAND in _Local/Makefile_, 'exigrep' automatically passes any file whose
33380 name ends in COMPRESS_SUFFIX through 'zcat' as it searches it.
33381
33382
33383 [[SECTexipick]]
33384 Selecting messages by various criteria (exipick)
33385 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33386 cindex:['exipick']
33387 John Jetmore's 'exipick' utility is included in the Exim distribution. It
33388 lists messages from the queue according to a variety of criteria. For details,
33389 run:
33390
33391   exipick --help
33392
33393
33394
33395
33396 [[SECTcyclogfil]]
33397 Cycling log files (exicyclog)
33398 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33399 cindex:[log,cycling local files]
33400 cindex:[cycling logs]
33401 cindex:['exicyclog']
33402 The 'exicyclog' script can be used to cycle (rotate) 'mainlog' and
33403 'rejectlog' files. This is not necessary if only syslog is being used, or if
33404 you are using log files with datestamps in their names (see section
33405 <<SECTdatlogfil>>). Some operating systems have their own standard mechanisms for
33406 log cycling, and these can be used instead of 'exicyclog' if preferred.
33407
33408 Each time 'exicyclog' is run the file names get ``shuffled down'' by one. If
33409 the main log file name is _mainlog_ (the default) then when 'exicyclog' is
33410 run _mainlog_ becomes _mainlog.01_, the previous _mainlog.01_ becomes
33411 _mainlog.02_ and so on, up to a limit which is set in the script, and which
33412 defaults to 10. Log files whose numbers exceed the limit are discarded. Reject
33413 logs are handled similarly.
33414
33415 If the limit is greater than 99, the script uses 3-digit numbers such as
33416 _mainlog.001_, _mainlog.002_, etc. If you change from a number less than 99
33417 to one that is greater, or 'vice versa', you will have to fix the names of
33418 any existing log files.
33419
33420
33421 If no _mainlog_ file exists, the script does nothing. Files that ``drop off''
33422 the end are deleted. All files with numbers greater than 01 are compressed,
33423 using a compression command which is configured by the COMPRESS_COMMAND
33424 setting in _Local/Makefile_. It is usual to run 'exicyclog' daily from a
33425 root %crontab% entry of the form
33426
33427   1 0 * * * su exim -c /usr/exim/bin/exicyclog
33428
33429 assuming you have used the name ``exim'' for the Exim user. You can run
33430 'exicyclog' as root if you wish, but there is no need.
33431
33432
33433
33434 [[SECTmailstat]]
33435 Mail statistics (eximstats)
33436 ~~~~~~~~~~~~~~~~~~~~~~~~~~~
33437 cindex:[statistics]
33438 cindex:['eximstats']
33439 A Perl script called 'eximstats' is provided for extracting statistical
33440 information from log files. The output is either plain text, or HTML.
33441 Exim log files are also suported by the 'Lire' system produced by the
33442 LogReport Foundation (*http://www.logreport.org[]*).
33443
33444 The 'eximstats' script has been hacked about quite a bit over time. The
33445 latest version is the result of some extensive revision by Steve Campbell. A
33446 lot of information is given by default, but there are options for suppressing
33447 various parts of it. Following any options, the arguments to the script are a
33448 list of files, which should be main log files. For example:
33449
33450   eximstats -nr /var/spool/exim/log/mainlog.01
33451
33452 By default, 'eximstats' extracts information about the number and volume of
33453 messages received from or delivered to various hosts. The information is sorted
33454 both by message count and by volume, and the top fifty hosts in each category
33455 are listed on the standard output. Similar information, based on email
33456 addresses or domains instead of hosts can be requested by means of various
33457 options. For messages delivered and received locally, similar statistics are
33458 also produced per user.
33459
33460 The output also includes total counts and statistics about delivery errors, and
33461 histograms showing the number of messages received and deliveries made in each
33462 hour of the day. A delivery with more than one address in its envelope (for
33463 example, an SMTP transaction with more than one RCPT command) is counted
33464 as a single delivery by 'eximstats'.
33465
33466 Though normally more deliveries than receipts are reported (as messages may
33467 have multiple recipients), it is possible for 'eximstats' to report more
33468 messages received than delivered, even though the queue is empty at the start
33469 and end of the period in question. If an incoming message contains no valid
33470 recipients, no deliveries are recorded for it. A bounce message is handled as
33471 an entirely separate message.
33472
33473 'eximstats' always outputs a grand total summary giving the volume and number
33474 of messages received and deliveries made, and the number of hosts involved in
33475 each case. It also outputs the number of messages that were delayed (that is,
33476 not completely delivered at the first attempt), and the number that had at
33477 least one address that failed.
33478
33479 The remainder of the output is in sections that can be independently disabled
33480 or modified by various options. It consists of a summary of deliveries by
33481 transport, histograms of messages received and delivered per time interval
33482 (default per hour), information about the time messages spent on the queue,
33483 a list of relayed messages, lists of the top fifty sending hosts, local
33484 senders, destination hosts, and destination local users by count and by volume,
33485 and a list of delivery errors that occurred.
33486
33487 The relay information lists messages that were actually relayed, that is, they
33488 came from a remote host and were directly delivered to some other remote host,
33489 without being processed (for example, for aliasing or forwarding) locally.
33490
33491 There are quite a few options for 'eximstats' to control exactly what it
33492 outputs. These are documented in the Perl script itself, and can be extracted
33493 by running the command ^perldoc^ on the script. For example:
33494
33495   perldoc /usr/exim/bin/eximstats
33496
33497
33498
33499 [[SECTcheckaccess]]
33500 Checking access policy (exim_checkaccess)
33501 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33502 cindex:['exim_checkaccess']
33503 cindex:[policy control,checking access]
33504 cindex:[checking access]
33505 The %-bh% command line argument allows you to run a fake SMTP session with
33506 debugging output, in order to check what Exim is doing when it is applying
33507 policy controls to incoming SMTP mail. However, not everybody is sufficiently
33508 familiar with the SMTP protocol to be able to make full use of %-bh%, and
33509 sometimes you just want to answer the question 'Does this address have
33510 access?' without bothering with any further details.
33511
33512 The 'exim_checkaccess' utility is a ``packaged'' version of %-bh%. It takes
33513 two arguments, an IP address and an email address:
33514
33515   exim_checkaccess 10.9.8.7 A.User@a.domain.example
33516
33517 The utility runs a call to Exim with the %-bh% option, to test whether the
33518 given email address would be accepted in a RCPT command in a TCP/IP
33519 connection from the host with the given IP address. The output of the utility
33520 is either the word ``accepted'', or the SMTP error response, for example:
33521
33522   Rejected:
33523     550 Relay not permitted
33524
33525 When running this test, the utility uses `<>` as the envelope sender address
33526 for the MAIL command, but you can change this by providing additional
33527 options. These are passed directly to the Exim command. For example, to specify
33528 that the test is to be run with the sender address 'himself@there.example'
33529 you can use:
33530
33531 ....
33532 exim_checkaccess 10.9.8.7 A.User@a.domain.example \
33533                  -f himself@there.example
33534 ....
33535
33536 Note that these additional Exim command line items must be given after the two
33537 mandatory arguments.
33538
33539 Because the %exim_checkaccess% uses %-bh%, it does not perform callouts while
33540 running its checks. You can run checks that include callouts by using %-bhc%,
33541 but this is not yet available in a ``packaged'' form.
33542
33543
33544
33545 [[SECTdbmbuild]]
33546 Making DBM files (exim_dbmbuild)
33547 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33548 cindex:[DBM,building dbm files]
33549 cindex:[building DBM files]
33550 cindex:['exim_dbmbuild']
33551 cindex:[lower casing]
33552 cindex:[binary zero,in lookup key]
33553 The 'exim_dbmbuild' program reads an input file containing keys and data in
33554 the format used by the ^lsearch^ lookup (see section <<SECTsinglekeylookups>>).
33555 It writes a DBM file using the lower-cased alias names as keys and the
33556 remainder of the information as data. The lower-casing can be prevented by
33557 calling the program with the %-nolc% option.
33558
33559 A terminating zero is included as part of the key string. This is expected by
33560 the ^dbm^ lookup type. However, if the option %-nozero% is given,
33561 'exim_dbmbuild' creates files without terminating zeroes in either the key
33562 strings or the data strings. The ^dbmnz^ lookup type can be used with such
33563 files.
33564
33565 The program requires two arguments: the name of the input file (which can be a
33566 single hyphen to indicate the standard input), and the name of the output file.
33567 It creates the output under a temporary name, and then renames it if all went
33568 well.
33569
33570 cindex:[USE_DB]
33571 If the native DB interface is in use (USE_DB is set in a compile-time
33572 configuration file -- this is common in free versions of Unix) the two file
33573 names must be different, because in this mode the Berkeley DB functions create
33574 a single output file using exactly the name given. For example,
33575
33576   exim_dbmbuild /etc/aliases /etc/aliases.db
33577
33578 reads the system alias file and creates a DBM version of it in
33579 _/etc/aliases.db_.
33580
33581 In systems that use the 'ndbm' routines (mostly proprietary versions of Unix),
33582 two files are used, with the suffixes _.dir_ and _.pag_. In this
33583 environment, the suffixes are added to the second argument of
33584 'exim_dbmbuild', so it can be the same as the first. This is also the case
33585 when the Berkeley functions are used in compatibility mode (though this is not
33586 recommended), because in that case it adds a _.db_ suffix to the file name.
33587
33588 If a duplicate key is encountered, the program outputs a warning, and when it
33589 finishes, its return code is 1 rather than zero, unless the %-noduperr% option
33590 is used. By default, only the first of a set of duplicates is used -- this
33591 makes it compatible with ^lsearch^ lookups. There is an option %-lastdup%
33592 which causes it to use the data for the last duplicate instead. There is also
33593 an option %-nowarn%, which stops it listing duplicate keys to %stderr%. For
33594 other errors, where it doesn't actually make a new file, the return code is 2.
33595
33596
33597
33598
33599 [[SECTfinindret]]
33600 Finding individual retry times (exinext)
33601 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33602 cindex:[retry,times]
33603 cindex:['exinext']
33604 A utility called 'exinext' (mostly a Perl script) provides the ability to fish
33605 specific information out of the retry database. Given a mail domain (or a
33606 complete address), it looks up the hosts for that domain, and outputs any retry
33607 information for the hosts or for the domain. At present, the retry information
33608 is obtained by running 'exim_dumpdb' (see below) and post-processing the
33609 output. For example:
33610
33611   $ exinext piglet@milne.fict.example
33612   kanga.milne.fict.example:192.168.8.1 error 146: Connection refused
33613     first failed: 21-Feb-1996 14:57:34
33614     last tried:   21-Feb-1996 14:57:34
33615     next try at:  21-Feb-1996 15:02:34
33616   roo.milne.fict.example:192.168.8.3 error 146: Connection refused
33617     first failed: 20-Jan-1996 13:12:08
33618     last tried:   21-Feb-1996 11:42:03
33619     next try at:  21-Feb-1996 19:42:03
33620     past final cutoff time
33621
33622 You can also give 'exinext' a local part, without a domain, and it
33623 will give any retry information for that local part in your default domain.
33624 A message id can be used to obtain retry information pertaining to a specific
33625 message. This exists only when an attempt to deliver a message to a remote host
33626 suffers a message-specific error (see section <<SECToutSMTPerr>>). 'exinext' is
33627 not particularly efficient, but then it isn't expected to be run very often.
33628
33629 The 'exinext' utility calls Exim to find out information such as the location
33630 of the spool directory. The utility has %-C% and %-D% options, which are
33631 passed on to the 'exim' commands. The first specifies an alternate Exim
33632 configuration file, and the second sets macros for use within the configuration
33633 file. These features are mainly to help in testing, but might also be useful in
33634 environments where more than one configuration file is in use.
33635
33636
33637
33638
33639 [[SECThindatmai]]
33640 Hints database maintenance (exim_dumpdb, exim_fixdb, exim_tidydb)
33641 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33642 cindex:[hints database,maintenance]
33643 cindex:[maintaining Exim's hints database]
33644 Three utility programs are provided for maintaining the DBM files that Exim
33645 uses to contain its delivery hint information. Each program requires two
33646 arguments. The first specifies the name of Exim's spool directory, and the
33647 second is the name of the database it is to operate on. These are as follows:
33648
33649 - 'retry': the database of retry information
33650
33651 - 'wait-'<'transport name'>: databases of information about messages waiting
33652 for remote hosts
33653
33654 - 'callout': the callout cache
33655
33656 [revisionflag="changed"]
33657 - 'ratelimit': the data for implementing the ratelimit ACL condition
33658
33659 - 'misc': other hints data
33660
33661 The 'misc' database is used for
33662
33663 - Serializing ETRN runs (when %smtp_etrn_serialize% is set)
33664
33665 - Serializing delivery to a specific host (when %serialize_hosts% is set in an
33666 ^smtp^ transport)
33667
33668
33669
33670 exim_dumpdb
33671 ~~~~~~~~~~~
33672 cindex:['exim_dumpdb']
33673 The entire contents of a database are written to the standard output by the
33674 'exim_dumpdb' program, which has no options or arguments other than the
33675 spool and database names. For example, to dump the retry database:
33676
33677   exim_dumpdb /var/spool/exim retry
33678
33679 Two lines of output are produced for each entry:
33680
33681     T:mail.ref.example:192.168.242.242 146 77 Connection refused
33682   31-Oct-1995 12:00:12  02-Nov-1995 12:21:39  02-Nov-1995 20:21:39 *
33683
33684 The first item on the first line is the key of the record. It starts with one
33685 of the letters R, or T, depending on whether it refers to a routing or
33686 transport retry. For a local delivery, the next part is the local address; for
33687 a remote delivery it is the name of the remote host, followed by its failing IP
33688 address (unless %no_retry_include_ip_address% is set on the ^smtp^
33689 transport). If the remote port is not the standard one (port 25), it is added
33690 to the IP address. Then there follows an error code, an additional error code,
33691 and a textual description of the error.
33692
33693 The three times on the second line are the time of first failure, the time of
33694 the last delivery attempt, and the computed time for the next attempt. The line
33695 ends with an asterisk if the cutoff time for the last retry rule has been
33696 exceeded.
33697
33698 Each output line from 'exim_dumpdb' for the 'wait-''xxx' databases
33699 consists of a host name followed by a list of ids for messages that are or were
33700 waiting to be delivered to that host. If there are a very large number for any
33701 one host, continuation records, with a sequence number added to the host name,
33702 may be seen. The data in these records is often out of date, because a message
33703 may be routed to several alternative hosts, and Exim makes no effort to keep
33704 cross-references.
33705
33706
33707
33708 exim_tidydb
33709 ~~~~~~~~~~~
33710 [revisionflag="changed"]
33711 cindex:['exim_tidydb']
33712 The 'exim_tidydb' utility program is used to tidy up the contents of a hints
33713 database. If run with no options, it removes all records that are more than 30
33714 days old. The age is calculated from the date and time that the record was last
33715 updated. Note that, in the case of the retry database, it is 'not' the time
33716 since the first delivery failure. Information about a host that has been down
33717 for more than 30 days will remain in the database, provided that the record is
33718 updated sufficiently often.
33719
33720 The cutoff date can be altered by means of the %-t% option, which must be
33721 followed by a time. For example, to remove all records older than a week from
33722 the retry database:
33723
33724   exim_tidydb -t 7d /var/spool/exim retry
33725
33726 Both the 'wait-''xxx' and 'retry' databases contain items that involve
33727 message ids. In the former these appear as data in records keyed by host --
33728 they were messages that were waiting for that host -- and in the latter they
33729 are the keys for retry information for messages that have suffered certain
33730 types of error. When 'exim_tidydb' is run, a check is made to ensure that
33731 message ids in database records are those of messages that are still on the
33732 queue. Message ids for messages that no longer exist are removed from
33733 'wait-''xxx' records, and if this leaves any records empty, they are
33734 deleted. For the 'retry' database, records whose keys are non-existent
33735 message ids are removed. The 'exim_tidydb' utility outputs comments on the
33736 standard output whenever it removes information from the database.
33737
33738 Certain records are automatically removed by Exim when they are no longer
33739 needed, but others are not. For example, if all the MX hosts for a domain are
33740 down, a retry record is created for each one. If the primary MX host comes back
33741 first, its record is removed when Exim successfully delivers to it, but the
33742 records for the others remain because Exim has not tried to use those hosts.
33743
33744 It is important, therefore, to run 'exim_tidydb' periodically on all the
33745 hints databases. You should do this at a quiet time of day, because it requires
33746 a database to be locked (and therefore inaccessible to Exim) while it does its
33747 work. Removing records from a DBM file does not normally make the file smaller,
33748 but all the common DBM libraries are able to re-use the space that is released.
33749 After an initial phase of increasing in size, the databases normally reach a
33750 point at which they no longer get any bigger, as long as they are regularly
33751 tidied.
33752
33753 *Warning*: If you never run 'exim_tidydb', the space used by the hints
33754 databases is likely to keep on increasing.
33755
33756
33757
33758
33759 exim_fixdb
33760 ~~~~~~~~~~
33761 cindex:['exim_fixdb']
33762 The 'exim_fixdb' program is a utility for interactively modifying databases.
33763 Its main use is for testing Exim, but it might also be occasionally useful for
33764 getting round problems in a live system. It has no options, and its interface
33765 is somewhat crude. On entry, it prompts for input with a right angle-bracket. A
33766 key of a database record can then be entered, and the data for that record is
33767 displayed.
33768
33769 If ``d'' is typed at the next prompt, the entire record is deleted. For all
33770 except the 'retry' database, that is the only operation that can be carried
33771 out. For the 'retry' database, each field is output preceded by a number, and
33772 data for individual fields can be changed by typing the field number followed
33773 by new data, for example:
33774
33775   > 4 951102:1000
33776
33777 resets the time of the next delivery attempt. Time values are given as a
33778 sequence of digit pairs for year, month, day, hour, and minute. Colons can be
33779 used as optional separators.
33780
33781
33782
33783
33784 [[SECTmailboxmaint]]
33785 Mailbox maintenance (exim_lock)
33786 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
33787 cindex:[mailbox,maintenance]
33788 cindex:['exim_lock']
33789 cindex:[locking mailboxes]
33790 The 'exim_lock' utility locks a mailbox file using the same algorithm as
33791 Exim. For a discussion of locking issues, see section <<SECTopappend>>.
33792 'Exim_lock' can be used to prevent any modification of a mailbox by Exim or
33793 a user agent while investigating a problem. The utility requires the name of
33794 the file as its first argument. If the locking is successful, the second
33795 argument is run as a command (using C's 'system()' function); if there is no
33796 second argument, the value of the SHELL environment variable is used; if this
33797 is unset or empty, _/bin/sh_ is run. When the command finishes, the mailbox
33798 is unlocked and the utility ends. The following options are available:
33799
33800 *-fcntl*:: Use 'fcntl()' locking on the open mailbox.
33801
33802 *-flock*:: Use 'flock()' locking on the open mailbox, provided the operating
33803 system supports it.
33804
33805 *-interval*:: This must be followed by a number, which is a number of seconds;
33806 it sets the interval to sleep between retries (default 3).
33807
33808 *-lockfile*:: Create a lock file before opening the mailbox.
33809
33810 *-mbx*:: Lock the mailbox using MBX rules.
33811
33812 *-q*:: Suppress verification output.
33813
33814 *-retries*:: This must be followed by a number; it sets the number of times to
33815 try to get the lock (default 10).
33816
33817 *-restore_time*:: This option causes %exim_lock% to restore the modified and
33818 read times to the locked file before exiting. This allows you to access a
33819 locked mailbox (for example, to take a backup copy) without disturbing the
33820 times that the user subsequently sees.
33821
33822 *-timeout*:: This must be followed by a number, which is a number of seconds;
33823 it sets a timeout to be used with a blocking 'fcntl()' lock. If it is not set
33824 (the default), a non-blocking call is used.
33825
33826 *-v*:: Generate verbose output.
33827
33828 If none of %-fcntl%, %-flock%, %-lockfile% or %-mbx% are given, the default is
33829 to create a lock file and also to use 'fcntl()' locking on the mailbox, which
33830 is the same as Exim's default. The use of %-flock% or %-fcntl% requires that
33831 the file be writeable; the use of %-lockfile% requires that the directory
33832 containing the file be writeable. Locking by lock file does not last for ever;
33833 Exim assumes that a lock file is expired if it is more than 30 minutes old.
33834
33835 The %-mbx% option can be used with either or both of %-fcntl% or %-flock%.
33836 It assumes %-fcntl% by default.
33837 MBX locking causes a shared lock to be taken out on the open mailbox, and an
33838 exclusive lock on the file _/tmp/._'n'.'m' where 'n' and 'm' are
33839 the device number and inode number of the mailbox file. When the locking is
33840 released, if an exclusive lock can be obtained for the mailbox, the file in
33841 _/tmp_ is deleted.
33842
33843 The default output contains verification of the locking that takes place. The
33844 %-v% option causes some additional information to be given. The %-q% option
33845 suppresses all output except error messages.
33846
33847 A command such as
33848
33849   exim_lock /var/spool/mail/spqr
33850
33851 runs an interactive shell while the file is locked, whereas
33852
33853   exim_lock -q /var/spool/mail/spqr <<End
33854   <some commands>
33855   End
33856
33857 runs a specific non-interactive sequence of commands while the file is locked,
33858 suppressing all verification output. A single command can be run by a command
33859 such as
33860
33861 ....
33862 exim_lock -q /var/spool/mail/spqr \
33863   "cp /var/spool/mail/spqr /some/where"
33864 ....
33865
33866 Note that if a command is supplied, it must be entirely contained within the
33867 second argument -- hence the quotes.
33868
33869
33870
33871 ////////////////////////////////////////////////////////////////////////////
33872 ////////////////////////////////////////////////////////////////////////////
33873
33874 [[CHAPeximon]]
33875 The Exim monitor
33876 ----------------
33877 cindex:[Exim monitor,description]
33878 cindex:[X-windows]
33879 cindex:['eximon']
33880 cindex:[Local/eximon.conf]
33881 cindex:[_exim_monitor/EDITME_]
33882 The Exim monitor is an application which displays in an X window information
33883 about the state of Exim's queue and what Exim is doing. An admin user can
33884 perform certain operations on messages from this GUI interface; however all
33885 such facilities are also available from the command line, and indeed, the
33886 monitor itself makes use of the command line to perform any actions requested.
33887
33888
33889
33890 Running the monitor
33891 ~~~~~~~~~~~~~~~~~~~
33892 The monitor is started by running the script called 'eximon'. This is a shell
33893 script that sets up a number of environment variables, and then runs the
33894 binary called _eximon.bin_. The default appearance of the monitor window can
33895 be changed by editing the _Local/eximon.conf_ file created by editing
33896 _exim_monitor/EDITME_. Comments in that file describe what the various
33897 parameters are for.
33898
33899 The parameters that get built into the 'eximon' script can be overridden for a
33900 particular invocation by setting up environment variables of the same names,
33901 preceded by `EXIMON_`. For example, a shell command such as
33902
33903   EXIMON_LOG_DEPTH=400 eximon
33904
33905 (in a Bourne-compatible shell) runs 'eximon' with an overriding setting of the
33906 LOG_DEPTH parameter. If EXIMON_LOG_FILE_PATH is set in the
33907 environment, it overrides the Exim log file configuration. This makes it
33908 possible to have 'eximon' tailing log data that is written to syslog, provided
33909 that MAIL.INFO syslog messages are routed to a file on the local host.
33910
33911 X resources can be used to change the appearance of the window in the normal
33912 way. For example, a resource setting of the form
33913
33914   Eximon*background: gray94
33915
33916 changes the colour of the background to light grey rather than white. The
33917 stripcharts are drawn with both the data lines and the reference lines in
33918 black. This means that the reference lines are not visible when on top of the
33919 data. However, their colour can be changed by setting a resource called
33920 ``highlight'' (an odd name, but that's what the Athena stripchart widget uses).
33921 For example, if your X server is running Unix, you could set up lighter
33922 reference lines in the stripcharts by obeying
33923
33924   xrdb -merge <<End
33925   Eximon*highlight: gray
33926   End
33927
33928
33929 cindex:[admin user]
33930 In order to see the contents of messages on the queue, and to operate on them,
33931 'eximon' must either be run as root or by an admin user.
33932
33933 The monitor's window is divided into three parts. The first contains one or
33934 more stripcharts and two action buttons, the second contains a ``tail'' of the
33935 main log file, and the third is a display of the queue of messages awaiting
33936 delivery, with two more action buttons. The following sections describe these
33937 different parts of the display.
33938
33939
33940
33941
33942 The stripcharts
33943 ~~~~~~~~~~~~~~~
33944 cindex:[stripchart]
33945 The first stripchart is always a count of messages on the queue. Its name can
33946 be configured by setting QUEUE_STRIPCHART_NAME in the
33947 _Local/eximon.conf_ file. The remaining stripcharts are defined in the
33948 configuration script by regular expression matches on log file entries, making
33949 it possible to display, for example, counts of messages delivered to certain
33950 hosts or using certain transports. The supplied defaults display counts of
33951 received and delivered messages, and of local and SMTP deliveries. The default
33952 period between stripchart updates is one minute; this can be adjusted by a
33953 parameter in the _Local/eximon.conf_ file.
33954
33955 The stripchart displays rescale themselves automatically as the value they are
33956 displaying changes. There are always 10 horizontal lines in each chart; the
33957 title string indicates the value of each division when it is greater than one.
33958 For example, ``x2'' means that each division represents a value of 2.
33959
33960 It is also possible to have a stripchart which shows the percentage fullness of
33961 a particular disk partition, which is useful when local deliveries are confined
33962 to a single partition.
33963
33964 cindex:[%statvfs% function]
33965 This relies on the availability of the 'statvfs()' function or equivalent in
33966 the operating system. Most, but not all versions of Unix that support Exim have
33967 this. For this particular stripchart, the top of the chart always represents
33968 100%, and the scale is given as ``x10%''. This chart is configured by setting
33969 SIZE_STRIPCHART and (optionally) SIZE_STRIPCHART_NAME in the
33970 _Local/eximon.conf_ file.
33971
33972
33973
33974
33975 Main action buttons
33976 ~~~~~~~~~~~~~~~~~~~
33977 cindex:[size,of monitor window]
33978 cindex:[Exim monitor,window size]
33979 cindex:[window size]
33980 Below the stripcharts there is an action button for quitting the monitor. Next
33981 to this is another button marked ``Size''. They are placed here so that shrinking
33982 the window to its default minimum size leaves just the queue count stripchart
33983 and these two buttons visible. Pressing the ``Size'' button causes the window to
33984 expand to its maximum size, unless it is already at the maximum, in which case
33985 it is reduced to its minimum.
33986
33987 When expanding to the maximum, if the window cannot be fully seen where it
33988 currently is, it is moved back to where it was the last time it was at full
33989 size. When it is expanding from its minimum size, the old position is
33990 remembered, and next time it is reduced to the minimum it is moved back there.
33991
33992 The idea is that you can keep a reduced window just showing one or two
33993 stripcharts at a convenient place on your screen, easily expand it to show
33994 the full window when required, and just as easily put it back to what it was.
33995 The idea is copied from what the 'twm' window manager does for its
33996 'f.fullzoom' action. The minimum size of the window can be changed by setting
33997 the MIN_HEIGHT and MIN_WIDTH values in _Local/eximon.conf_.
33998
33999 Normally, the monitor starts up with the window at its full size, but it can be
34000 built so that it starts up with the window at its smallest size, by setting
34001 START_SMALL=yes in _Local/eximon.conf_.
34002
34003
34004
34005 The log display
34006 ~~~~~~~~~~~~~~~
34007 cindex:[log,tail of; in monitor]
34008 The second section of the window is an area in which a display of the tail of
34009 the main log is maintained.
34010 To save space on the screen, the timestamp on each log line is shortened by
34011 removing the date and, if %log_timezone% is set, the timezone.
34012 The log tail is not available when the only destination for logging data is
34013 syslog, unless the syslog lines are routed to a local file whose name is passed
34014 to 'eximon' via the EXIMON_LOG_FILE_PATH environment variable.
34015
34016 The log sub-window has a scroll bar at its lefthand side which can be used to
34017 move back to look at earlier text, and the up and down arrow keys also have a
34018 scrolling effect. The amount of log that is kept depends on the setting of
34019 LOG_BUFFER in _Local/eximon.conf_, which specifies the amount of memory
34020 to use. When this is full, the earlier 50% of data is discarded -- this is much
34021 more efficient than throwing it away line by line. The sub-window also has a
34022 horizontal scroll bar for accessing the ends of long log lines. This is the
34023 only means of horizontal scrolling; the right and left arrow keys are not
34024 available. Text can be cut from this part of the window using the mouse in the
34025 normal way. The size of this subwindow is controlled by parameters in the
34026 configuration file _Local/eximon.conf_.
34027
34028 Searches of the text in the log window can be carried out by means of the ^R
34029 and ^S keystrokes, which default to a reverse and a forward search,
34030 respectively. The search covers only the text that is displayed in the window.
34031 It cannot go further back up the log.
34032
34033 The point from which the search starts is indicated by a caret marker. This is
34034 normally at the end of the text in the window, but can be positioned explicitly
34035 by pointing and clicking with the left mouse button, and is moved automatically
34036 by a successful search. If new text arrives in the window when it is scrolled
34037 back, the caret remains where it is, but if the window is not scrolled back,
34038 the caret is moved to the end of the new text.
34039
34040 Pressing ^R or ^S pops up a window into which the search text can be typed.
34041 There are buttons for selecting forward or reverse searching, for carrying out
34042 the search, and for cancelling. If the ``Search'' button is pressed, the search
34043 happens and the window remains so that further searches can be done. If the
34044 ``Return'' key is pressed, a single search is done and the window is closed. If
34045 ^C is typed the search is cancelled.
34046
34047 The searching facility is implemented using the facilities of the Athena text
34048 widget. By default this pops up a window containing both ``search'' and ``replace''
34049 options. In order to suppress the unwanted ``replace'' portion for eximon, a
34050 modified version of the %TextPop% widget is distributed with Exim. However, the
34051 linkers in BSDI and HP-UX seem unable to handle an externally provided version
34052 of %TextPop% when the remaining parts of the text widget come from the standard
34053 libraries. The compile-time option EXIMON_TEXTPOP can be unset to cut out
34054 the modified %TextPop%, making it possible to build Eximon on these systems, at
34055 the expense of having unwanted items in the search popup window.
34056
34057
34058
34059 The queue display
34060 ~~~~~~~~~~~~~~~~~
34061 cindex:[queue,display in monitor]
34062 The bottom section of the monitor window contains a list of all messages that
34063 are on the queue, which includes those currently being received or delivered,
34064 as well as those awaiting delivery. The size of this subwindow is controlled by
34065 parameters in the configuration file _Local/eximon.conf_, and the frequency
34066 at which it is updated is controlled by another parameter in the same file --
34067 the default is 5 minutes, since queue scans can be quite expensive. However,
34068 there is an ``Update'' action button just above the display which can be used to
34069 force an update of the queue display at any time.
34070
34071 When a host is down for some time, a lot of pending mail can build up for it,
34072 and this can make it hard to deal with other messages on the queue. To help
34073 with this situation there is a button next to ``Update'' called ``Hide''. If
34074 pressed, a dialogue box called ``Hide addresses ending with'' is put up. If you
34075 type anything in here and press ``Return'', the text is added to a chain of such
34076 texts, and if every undelivered address in a message matches at least one
34077 of the texts, the message is not displayed.
34078
34079 If there is an address that does not match any of the texts, all the addresses
34080 are displayed as normal. The matching happens on the ends of addresses so, for
34081 example, 'cam.ac.uk' specifies all addresses in Cambridge, while
34082 'xxx@foo.com.example' specifies just one specific address. When any hiding
34083 has been set up, a button called ``Unhide'' is displayed. If pressed, it cancels
34084 all hiding. Also, to ensure that hidden messages do not get forgotten, a hide
34085 request is automatically cancelled after one hour.
34086
34087 While the dialogue box is displayed, you can't press any buttons or do anything
34088 else to the monitor window. For this reason, if you want to cut text from the
34089 queue display to use in the dialogue box, you have to do the cutting before
34090 pressing the ``Hide'' button.
34091
34092 The queue display contains, for each unhidden queued message, the length of
34093 time it has been on the queue, the size of the message, the message id, the
34094 message sender, and the first undelivered recipient, all on one line. If it is
34095 a bounce message, the sender is shown as ``<>''. If there is more than one
34096 recipient to which the message has not yet been delivered, subsequent ones are
34097 listed on additional lines, up to a maximum configured number, following which
34098 an ellipsis is displayed. Recipients that have already received the message are
34099 not shown.
34100
34101 cindex:[frozen messages,display]
34102 If a message is frozen, an asterisk is displayed at the left-hand side.
34103
34104 The queue display has a vertical scroll bar, and can also be scrolled by means
34105 of the arrow keys. Text can be cut from it using the mouse in the normal way.
34106 The text searching facilities, as described above for the log window, are also
34107 available, but the caret is always moved to the end of the text when the queue
34108 display is updated.
34109
34110
34111
34112 The queue menu
34113 ~~~~~~~~~~~~~~
34114 cindex:[queue,menu in monitor]
34115 If the %shift% key is held down and the left button is clicked when the mouse
34116 pointer is over the text for any message, an action menu pops up, and the first
34117 line of the queue display for the message is highlighted. This does not affect
34118 any selected text.
34119
34120 If you want to use some other event for popping up the menu, you can set the
34121 MENU_EVENT parameter in _Local/eximon.conf_ to change the default, or
34122 set EXIMON_MENU_EVENT in the environment before starting the monitor. The
34123 value set in this parameter is a standard X event description. For example, to
34124 run eximon using %ctrl% rather than %shift% you could use
34125
34126   EXIMON_MENU_EVENT='Ctrl<Btn1Down>' eximon
34127
34128 The title of the menu is the message id, and it contains entries which act as
34129 follows:
34130
34131 - 'message log': The contents of the message log for the message are displayed in
34132 a new text window.
34133
34134 - 'headers': Information from the spool file that contains the envelope
34135 information and headers is displayed in a new text window. See chapter
34136 <<CHAPspool>> for a description of the format of spool files.
34137
34138 - 'body': The contents of the spool file containing the body of the message are
34139 displayed in a new text window. There is a default limit of 20,000 bytes to the
34140 amount of data displayed. This can be changed by setting the BODY_MAX
34141 option at compile time, or the EXIMON_BODY_MAX option at run time.
34142
34143 - 'deliver message': A call to Exim is made using the %-M% option to request
34144 delivery of the message. This causes an automatic thaw if the message is
34145 frozen. The %-v% option is also set, and the output from Exim is displayed in
34146 a new text window. The delivery is run in a separate process, to avoid holding
34147 up the monitor while the delivery proceeds.
34148
34149 - 'freeze message': A call to Exim is made using the %-Mf% option to request
34150 that the message be frozen.
34151
34152 - cindex:[thawing messages]
34153 cindex:[unfreezing messages]
34154 cindex:[frozen messages,thawing]
34155 'thaw message': A call to Exim is made using the %-Mt% option to request that
34156 the message be thawed.
34157
34158 - cindex:[delivery,forcing failure]
34159 'give up on msg': A call to Exim is made using the %-Mg% option to request
34160 that Exim gives up trying to deliver the message. A bounce message is generated
34161 for any remaining undelivered addresses.
34162
34163 - 'remove message': A call to Exim is made using the %-Mrm% option to request
34164 that the message be deleted from the system without generating a bounce
34165 message.
34166
34167 - 'add recipient': A dialog box is displayed into which a recipient address can
34168 be typed. If the address is not qualified and the QUALIFY_DOMAIN parameter
34169 is set in _Local/eximon.conf_, the address is qualified with that domain.
34170 Otherwise it must be entered as a fully qualified address. Pressing RETURN
34171 causes a call to Exim to be made using the %-Mar% option to request that an
34172 additional recipient be added to the message, unless the entry box is empty, in
34173 which case no action is taken.
34174
34175 - 'mark delivered': A dialog box is displayed into which a recipient address can
34176 be typed. If the address is not qualified and the QUALIFY_DOMAIN parameter
34177 is set in _Local/eximon.conf_, the address is qualified with that domain.
34178 Otherwise it must be entered as a fully qualified address. Pressing RETURN
34179 causes a call to Exim to be made using the %-Mmd% option to mark the given
34180 recipient address as already delivered, unless the entry box is empty, in which
34181 case no action is taken.
34182
34183 - 'mark all delivered': A call to Exim is made using the %-Mmad% option to mark
34184 all recipient addresses as already delivered.
34185
34186 - 'edit sender': A dialog box is displayed initialized with the current sender's
34187 address. Pressing RETURN causes a call to Exim to be made using the %-Mes%
34188 option to replace the sender address, unless the entry box is empty, in which
34189 case no action is taken. If you want to set an empty sender (as in bounce
34190 messages), you must specify it as ``<>''. Otherwise, if the address is not
34191 qualified and the QUALIFY_DOMAIN parameter is set in
34192 _Local/eximon.conf_, the address is qualified with that domain.
34193
34194 When a delivery is forced, a window showing the %-v% output is displayed. In
34195 other cases when a call to Exim is made, if there is any output from Exim (in
34196 particular, if the command fails) a window containing the command and the
34197 output is displayed. Otherwise, the results of the action are normally apparent
34198 from the log and queue displays. However, if you set ACTION_OUTPUT=yes in
34199 _Local/eximon.conf_, a window showing the Exim command is always opened, even
34200 if no output is generated.
34201
34202 The queue display is automatically updated for actions such as freezing and
34203 thawing, unless ACTION_QUEUE_UPDATE=no has been set in
34204 _Local/eximon.conf_. In this case the ``Update'' button has to be used to force
34205 an update of the display after one of these actions.
34206
34207 In any text window that is displayed as result of a menu action, the normal
34208 cut-and-paste facility is available, and searching can be carried out using ^R
34209 and ^S, as described above for the log tail window.
34210
34211
34212
34213
34214
34215
34216 ////////////////////////////////////////////////////////////////////////////
34217 ////////////////////////////////////////////////////////////////////////////
34218
34219 [[CHAPsecurity]]
34220 Security considerations
34221 -----------------------
34222 cindex:[security]
34223 This chapter discusses a number of issues concerned with security, some of
34224 which are also covered in other parts of this manual.
34225
34226 For reasons that this author does not understand, some people have promoted
34227 Exim as a ``particularly secure'' mailer. Perhaps it is because of the existence
34228 of this chapter in the documentation. However, the intent of the chapter is
34229 simply to describe the way Exim works in relation to certain security concerns,
34230 not to make any specific claims about the effectiveness of its security as
34231 compared with other MTAs.
34232
34233 What follows is a description of the way Exim is supposed to be. Best efforts
34234 have been made to try to ensure that the code agrees with the theory, but an
34235 absence of bugs can never be guaranteed. Any that are reported will get fixed
34236 as soon as possible.
34237
34238
34239 Building a more ``hardened'' Exim
34240 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
34241 cindex:[security,build-time features]
34242 There are a number of build-time options that can be set in _Local/Makefile_
34243 to create Exim binaries that are ``harder'' to attack, in particular by a rogue
34244 Exim administrator who does not have the root password, or by someone who has
34245 penetrated the Exim (but not the root) account. These options are as follows:
34246
34247 - ALT_CONFIG_PREFIX can be set to a string that is required to match the
34248 start of any file names used with the %-C% option. When it is set, these file
34249 names are also not allowed to contain the sequence ``/../''. (However, if the
34250 value of the %-C% option is identical to the value of CONFIGURE_FILE in
34251 _Local/Makefile_, Exim ignores %-C% and proceeds as usual.) There is no
34252 default setting for %ALT_CONFIG_PREFIX%.
34253 +
34254 If the permitted configuration files are confined to a directory to
34255 which only root has access, this guards against someone who has broken
34256 into the Exim account from running a privileged Exim with an arbitrary
34257 configuration file, and using it to break into other accounts.
34258
34259 - If ALT_CONFIG_ROOT_ONLY is defined, root privilege is retained for %-C%
34260 and %-D% only if the caller of Exim is root. Without it, the Exim user may
34261 also use %-C% and %-D% and retain privilege. Setting this option locks out
34262 the possibility of testing a configuration using %-C% right through message
34263 reception and delivery, even if the caller is root. The reception works, but by
34264 that time, Exim is running as the Exim user, so when it re-execs to regain
34265 privilege for the delivery, the use of %-C% causes privilege to be lost.
34266 However, root can test reception and delivery using two separate commands.
34267 ALT_CONFIG_ROOT_ONLY is not set by default.
34268
34269 - If DISABLE_D_OPTION is defined, the use of the %-D% command line option
34270 is disabled.
34271
34272 - FIXED_NEVER_USERS can be set to a colon-separated list of users that are
34273 never to be used for any deliveries. This is like the %never_users% runtime
34274 option, but it cannot be overridden; the runtime option adds additional users
34275 to the list. The default setting is ``root''; this prevents a non-root user who
34276 is permitted to modify the runtime file from using Exim as a way to get root.
34277
34278
34279
34280
34281 Root privilege
34282 ~~~~~~~~~~~~~~
34283 cindex:[setuid]
34284 cindex:[root privilege]
34285 The Exim binary is normally setuid to root, which means that it gains root
34286 privilege (runs as root) when it starts execution. In some special cases (for
34287 example, when the daemon is not in use and there are no local deliveries), it
34288 may be possible to run Exim setuid to some user other than root. This is
34289 discussed in the next section. However, in most installations, root privilege
34290 is required for two things:
34291
34292 - To set up a socket connected to the standard SMTP port (25) when initialising
34293 the listening daemon. If Exim is run from 'inetd', this privileged action is
34294 not required.
34295
34296 - To be able to change uid and gid in order to read users' _.forward_ files and
34297 perform local deliveries as the receiving user or as specified in the
34298 configuration.
34299
34300 It is not necessary to be root to do any of the other things Exim does, such as
34301 receiving messages and delivering them externally over SMTP, and it is
34302 obviously more secure if Exim does not run as root except when necessary.
34303 For this reason, a user and group for Exim to use must be defined in
34304 _Local/Makefile_. These are known as ``the Exim user'' and ``the Exim group''.
34305 Their values can be changed by the run time configuration, though this is not
34306 recommended. Often a user called 'exim' is used, but some sites use 'mail'
34307 or another user name altogether.
34308
34309 Exim uses 'setuid()' whenever it gives up root privilege. This is a permanent
34310 abdication; the process cannot regain root afterwards. Prior to release 4.00,
34311 'seteuid()' was used in some circumstances, but this is no longer the case.
34312
34313 After a new Exim process has interpreted its command line options, it changes
34314 uid and gid in the following cases:
34315
34316 - cindex:[%-C% option]
34317 cindex:[%-D% option]
34318 If the %-C% option is used to specify an alternate configuration file, or if
34319 the %-D% option is used to define macro values for the configuration, and the
34320 calling process is not running as root or the Exim user, the uid and gid are
34321 changed to those of the calling process.
34322 However, if ALT_CONFIG_ROOT_ONLY is defined in _Local/Makefile_, only
34323 root callers may use %-C% and %-D% without losing privilege, and if
34324 DISABLE_D_OPTION is set, the %-D% option may not be used at all.
34325
34326 - cindex:[%-be% option]
34327 cindex:[%-bf% option]
34328 cindex:[%-bF% option]
34329 If the expansion test option (%-be%) or one of the filter testing options
34330 (%-bf% or %-bF%) are used, the uid and gid are changed to those of the
34331 calling process.
34332
34333 - If the process is not a daemon process or a queue runner process or a delivery
34334 process or a process for testing address routing (started with %-bt%), the uid
34335 and gid are changed to the Exim user and group. This means that Exim always
34336 runs under its own uid and gid when receiving messages. This also applies when
34337 testing address verification
34338 cindex:[%-bv% option]
34339 cindex:[%-bh% option]
34340 (the %-bv% option) and testing incoming message policy controls (the %-bh%
34341 option).
34342
34343 - For a daemon, queue runner, delivery, or address testing process, the uid
34344 remains as root at this stage, but the gid is changed to the Exim group.
34345
34346 ///
34347 End of list
34348 ///
34349
34350 The processes that initially retain root privilege behave as follows:
34351
34352 - A daemon process changes the gid to the Exim group and the uid to the Exim
34353 user after setting up one or more listening sockets. The 'initgroups()'
34354 function is called, so that if the Exim user is in any additional groups, they
34355 will be used during message reception.
34356
34357 - A queue runner process retains root privilege throughout its execution. Its
34358 job is to fork a controlled sequence of delivery processes.
34359
34360 - A delivery process retains root privilege throughout most of its execution,
34361 but any actual deliveries (that is, the transports themselves) are run in
34362 subprocesses which always change to a non-root uid and gid. For local
34363 deliveries this is typically the uid and gid of the owner of the mailbox; for
34364 remote deliveries, the Exim uid and gid are used. Once all the delivery
34365 subprocesses have been run, a delivery process changes to the Exim uid and gid
34366 while doing post-delivery tidying up such as updating the retry database and
34367 generating bounce and warning messages.
34368 +
34369 While the recipient addresses in a message are being routed, the delivery
34370 process runs as root. However, if a user's filter file has to be processed,
34371 this is done in a subprocess that runs under the individual user's uid and
34372 gid. A system filter is run as root unless %system_filter_user% is set.
34373
34374 - A process that is testing addresses (the %-bt% option) runs as root so that
34375 the routing is done in the same environment as a message delivery.
34376
34377
34378
34379
34380 [[SECTrunexiwitpri]]
34381 Running Exim without privilege
34382 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
34383 cindex:[privilege, running without]
34384 cindex:[unprivileged running]
34385 cindex:[root privilege,running without]
34386 Some installations like to run Exim in an unprivileged state for more of its
34387 operation, for added security. Support for this mode of operation is provided
34388 by the global option %deliver_drop_privilege%. When this is set, the uid and
34389 gid are changed to the Exim user and group at the start of a delivery process
34390 (and also queue runner and address testing processes). This means that address
34391 routing is no longer run as root, and the deliveries themselves cannot change
34392 to any other uid.
34393
34394 Leaving the binary setuid to root, but setting %deliver_drop_privilege% means
34395 that the daemon can still be started in the usual way, and it can respond
34396 correctly to SIGHUP because the re-invocation regains root privilege.
34397
34398 An alternative approach is to make Exim setuid to the Exim user and also setgid
34399 to the Exim group.
34400 If you do this, the daemon must be started from a root process. (Calling
34401 Exim from a root process makes it behave in the way it does when it is setuid
34402 root.) However, the daemon cannot restart itself after a SIGHUP signal because
34403 it cannot regain privilege.
34404
34405 It is still useful to set %deliver_drop_privilege% in this case, because it
34406 stops Exim from trying to re-invoke itself to do a delivery after a message has
34407 been received. Such a re-invocation is a waste of resources because it has no
34408 effect.
34409
34410 If restarting the daemon is not an issue (for example, if %mua_wrapper% is set,
34411 or 'inetd' is being used instead of a daemon), having the binary setuid to the
34412 Exim user seems a clean approach, but there is one complication:
34413
34414 In this style of operation, Exim is running with the real uid and gid set to
34415 those of the calling process, and the effective uid/gid set to Exim's values.
34416 Ideally, any association with the calling process' uid/gid should be dropped,
34417 that is, the real uid/gid should be reset to the effective values so as to
34418 discard any privileges that the caller may have. While some operating systems
34419 have a function that permits this action for a non-root effective uid, quite a
34420 number of them do not. Because of this lack of standardization, Exim does not
34421 address this problem at this time.
34422
34423 For this reason, the recommended approach for ``mostly unprivileged'' running is
34424 to keep the Exim binary setuid to root, and to set %deliver_drop_privilege%.
34425 This also has the advantage of allowing a daemon to be used in the most
34426 straightforward way.
34427
34428 If you configure Exim not to run delivery processes as root, there are a
34429 number of restrictions on what you can do:
34430
34431 - You can deliver only as the Exim user/group. You should  explicitly use the
34432 %user% and %group% options to override routers or local transports that
34433 normally deliver as the recipient. This makes sure that configurations that
34434 work in this mode function the same way in normal mode. Any implicit or
34435 explicit specification of another user causes an error.
34436
34437 - Use of _.forward_ files is severely restricted, such that it is usually
34438 not worthwhile to include them in the configuration.
34439
34440 - Users who wish to use _.forward_ would have to make their home directory and
34441 the file itself accessible to the Exim user. Pipe and append-to-file entries,
34442 and their equivalents in Exim filters, cannot be used. While they could be
34443 enabled in the Exim user's name, that would be insecure and not very useful.
34444
34445 - Unless the local user mailboxes are all owned by the Exim user (possible in
34446 some POP3 or IMAP-only environments):
34447
34448 * They must be owned by the Exim group and be writable by that group. This
34449 implies you must set %mode% in the appendfile configuration, as well as the
34450 mode of the mailbox files themselves.
34451
34452 * You must set %no_check_owner%, since most or all of the files will not be
34453 owned by the Exim user.
34454
34455 * You must set %file_must_exist%, because Exim cannot set the owner correctly
34456 on a newly created mailbox when unprivileged. This also implies that new
34457 mailboxes need to be created manually.
34458
34459 These restrictions severely restrict what can be done in local deliveries.
34460 However, there are no restrictions on remote deliveries. If you are running a
34461 gateway host that does no local deliveries, setting %deliver_drop_privilege%
34462 gives more security at essentially no cost.
34463
34464 If you are using the %mua_wrapper% facility (see chapter <<CHAPnonqueueing>>),
34465 %deliver_drop_privilege% is forced to be true.
34466
34467
34468
34469
34470 Delivering to local files
34471 ~~~~~~~~~~~~~~~~~~~~~~~~~
34472 Full details of the checks applied by ^appendfile^ before it writes to a file
34473 are given in chapter <<CHAPappendfile>>.
34474
34475
34476
34477 IPv4 source routing
34478 ~~~~~~~~~~~~~~~~~~~
34479 cindex:[source routing,in IP packets]
34480 cindex:[IP source routing]
34481 Many operating systems suppress IP source-routed packets in the kernel, but
34482 some cannot be made to do this, so Exim does its own check. It logs incoming
34483 IPv4 source-routed TCP calls, and then drops them. Things are all different in
34484 IPv6. No special checking is currently done.
34485
34486
34487
34488 The VRFY, EXPN, and ETRN commands in SMTP
34489 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
34490 Support for these SMTP commands is disabled by default. If required, they can
34491 be enabled by defining suitable ACLs.
34492
34493
34494
34495
34496 Privileged users
34497 ~~~~~~~~~~~~~~~~
34498 cindex:[trusted user]
34499 cindex:[admin user]
34500 cindex:[privileged user]
34501 cindex:[user,trusted]
34502 cindex:[user,admin]
34503 Exim recognises two sets of users with special privileges. Trusted users are
34504 able to submit new messages to Exim locally, but supply their own sender
34505 addresses and information about a sending host. For other users submitting
34506 local messages, Exim sets up the sender address from the uid, and doesn't
34507 permit a remote host to be specified.
34508
34509 cindex:[%-f% option]
34510 However, an untrusted user is permitted to use the %-f% command line option in
34511 the special form %-f <>% to indicate that a delivery failure for the message
34512 should not cause an error report. This affects the message's envelope, but it
34513 does not affect the 'Sender:' header. Untrusted users may also be permitted to
34514 use specific forms of address with the %-f% option by setting the
34515 %untrusted_set_sender% option.
34516
34517 Trusted users are used to run processes that receive mail messages from some
34518 other mail domain and pass them on to Exim for delivery either locally, or over
34519 the Internet. Exim trusts a caller that is running as root, as the Exim user,
34520 as any user listed in the %trusted_users% configuration option, or under any
34521 group listed in the %trusted_groups% option.
34522
34523 Admin users are permitted to do things to the messages on Exim's queue. They
34524 can freeze or thaw messages, cause them to be returned to their senders, remove
34525 them entirely, or modify them in various ways. In addition, admin users can run
34526 the Exim monitor and see all the information it is capable of providing, which
34527 includes the contents of files on the spool.
34528
34529 cindex:[%-M% option]
34530 cindex:[%-q% option]
34531 By default, the use of the %-M% and %-q% options to cause Exim to attempt
34532 delivery of messages on its queue is restricted to admin users. This
34533 restriction can be relaxed by setting the %no_prod_requires_admin% option.
34534 Similarly, the use of %-bp% (and its variants) to list the contents of the
34535 queue is also restricted to admin users. This restriction can be relaxed by
34536 setting %no_queue_list_requires_admin%.
34537
34538 Exim recognises an admin user if the calling process is running as root or as
34539 the Exim user or if any of the groups associated with the calling process is
34540 the Exim group. It is not necessary actually to be running under the Exim
34541 group. However, if admin users who are not root or the Exim user are to access
34542 the contents of files on the spool via the Exim monitor (which runs
34543 unprivileged), Exim must be built to allow group read access to its spool
34544 files.
34545
34546
34547
34548 Spool files
34549 ~~~~~~~~~~~
34550 cindex:[spool directory,files]
34551 Exim's spool directory and everything it contains is owned by the Exim user and
34552 set to the Exim group. The mode for spool files is defined in the
34553 _Local/Makefile_ configuration file, and defaults to 0640. This means that
34554 any user who is a member of the Exim group can access these files.
34555
34556
34557
34558 Use of argv[0]
34559 ~~~~~~~~~~~~~~
34560 Exim examines the last component of %argv[0]%, and if it matches one of a set
34561 of specific strings, Exim assumes certain options. For example, calling Exim
34562 with the last component of %argv[0]% set to ``rsmtp'' is exactly equivalent to
34563 calling it with the option %-bS%. There are no security implications in this.
34564
34565
34566
34567 Use of %f formatting
34568 ~~~~~~~~~~~~~~~~~~~~
34569 The only use made of ``%f'' by Exim is in formatting load average values. These
34570 are actually stored in integer variables as 1000 times the load average.
34571 Consequently, their range is limited and so therefore is the length of the
34572 converted output.
34573
34574
34575
34576 Embedded Exim path
34577 ~~~~~~~~~~~~~~~~~~
34578 Exim uses its own path name, which is embedded in the code, only when it needs
34579 to re-exec in order to regain root privilege. Therefore, it is not root when it
34580 does so. If some bug allowed the path to get overwritten, it would lead to an
34581 arbitrary program's being run as exim, not as root.
34582
34583
34584
34585 Use of sprintf()
34586 ~~~~~~~~~~~~~~~~
34587 cindex:['sprintf()']
34588 A large number of occurrences of ``sprintf'' in the code are actually calls to
34589 'string_sprintf()', a function that returns the result in malloc'd store.
34590 The intermediate formatting is done into a large fixed buffer by a function
34591 that runs through the format string itself, and checks the length of each
34592 conversion before performing it, thus preventing buffer overruns.
34593
34594 The remaining uses of 'sprintf()' happen in controlled circumstances where
34595 the output buffer is known to be sufficiently long to contain the converted
34596 string.
34597
34598
34599
34600 Use of debug_printf() and log_write()
34601 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
34602 Arbitrary strings are passed to both these functions, but they do their
34603 formatting by calling the function 'string_vformat()', which runs through
34604 the format string itself, and checks the length of each conversion.
34605
34606
34607
34608 Use of strcat() and strcpy()
34609 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
34610 These are used only in cases where the output buffer is known to be large
34611 enough to hold the result.
34612
34613
34614
34615
34616 ////////////////////////////////////////////////////////////////////////////
34617 ////////////////////////////////////////////////////////////////////////////
34618
34619 [[CHAPspool]]
34620 Format of spool files
34621 ---------------------
34622 cindex:[format,spool files]
34623 cindex:[spool directory,format of files]
34624 cindex:[spool files, format of]
34625 cindex:[spool files, editing]
34626 A message on Exim's queue consists of two files, whose names are the message id
34627 followed by -D and -H, respectively. The data portion of the message is kept in
34628 the -D file on its own. The message's envelope, status, and headers are all
34629 kept in the -H file, whose format is described in this chapter. Each of these
34630 two files contains the final component of its own name as its first line. This
34631 is insurance against disk crashes where the directory is lost but the files
34632 themselves are recoverable.
34633
34634 Some people are tempted into editing -D files in order to modify messages. You
34635 need to be extremely careful if you do this; it is not recommended and you are
34636 on your own if you do it. Here are some of the pitfalls:
34637
34638 [revisionflag="changed"]
34639 - You must ensure that Exim does not try to deliver the message while you are
34640 fiddling with it. The safest way is to take out a write lock on the -D file,
34641 which is what Exim itself does, using ^^fcntl()^^. If you update the file in
34642 place, the lock will be retained. If you write a new file and rename it, the
34643 lock will be lost at the instant of rename.
34644
34645 [revisionflag="changed"]
34646 - cindex:[$body_linecount$]
34647 If you change the number of lines in the file, the value of
34648 $body_linecount$, which is stored in the -H file, will be incorrect. At
34649 present, this value is not used by Exim, but there is no guarantee that this
34650 will always be the case.
34651
34652 - If the message is in MIME format, you must take care not to break it.
34653
34654 - If the message is cryptographically signed, any change will invalidate the
34655 signature.
34656
34657
34658 Files whose names end with -J may also be seen in the _input_ directory (or
34659 its subdirectories when %split_spool_directory% is set). These are journal
34660 files, used to record addresses to which the message has been delivered during
34661 the course of a delivery run. At the end of the run, the -H file is updated,
34662 and the -J file is deleted.
34663
34664
34665 Format of the -H file
34666 ~~~~~~~~~~~~~~~~~~~~~
34667 cindex:[uid (user id),in spool file]
34668 cindex:[gid (group id),in spool file]
34669 The second line of the -H file contains the login name for the uid of the
34670 process that called Exim to read the message, followed by the numerical uid and
34671 gid. For a locally generated message, this is normally the user who sent the
34672 message. For a message received over TCP/IP, it is normally the Exim user.
34673
34674 The third line of the file contains the address of the message's sender as
34675 transmitted in the envelope, contained in angle brackets. The sender address is
34676 empty for bounce messages. For incoming SMTP mail, the sender address is given
34677 in the MAIL command. For locally generated mail, the sender address is
34678 created by Exim from the login name of the current user and the configured
34679 %qualify_domain%. However, this can be overridden by the %-f% option or a
34680 leading ``From'' line if the caller is trusted, or if the supplied address is
34681 ``<>'' or an address that matches %untrusted_set_senders%.
34682
34683 The fourth line contains two numbers. The first is the time that the message
34684 was received, in the conventional Unix form -- the number of seconds since the
34685 start of the epoch. The second number is a count of the number of messages
34686 warning of delayed delivery that have been sent to the sender.
34687
34688 There follow a number of lines starting with a hyphen. These can appear in any
34689 order, and are omitted when not relevant:
34690
34691 %-acl% <'number'> <'length'>::
34692 A line of this form is present for every ACL variable that is not empty. The
34693 number identifies the variable; the %acl_c%*x* variables are numbered 0--9 and
34694 the %acl_m%*x* variables are numbered 10--19. The length is the length of the
34695 data string for the variable. The string itself starts at the beginning of the
34696 next line, and is followed by a newline character. It may contain internal
34697 newlines.
34698
34699 %-active_hostname% <'hostname'>::
34700 This is present if, when the message was received over SMTP, the value of
34701 $smtp_active_hostname$ was different to the value of $primary_hostname$.
34702
34703 %-allow_unqualified_recipient%::
34704 This is present if unqualified recipient addresses are permitted in header
34705 lines (to stop such addresses from being qualified if rewriting occurs at
34706 transport time). Local messages that were input using %-bnq% and remote
34707 messages from hosts that match %recipient_unqualified_hosts% set this flag.
34708
34709 %-allow_unqualified_sender%::
34710 This is present if unqualified sender addresses are permitted in header lines
34711 (to stop such addresses from being qualified if rewriting occurs at transport
34712 time). Local messages that were input using %-bnq% and remote messages from
34713 hosts that match %sender_unqualified_hosts% set this flag.
34714
34715 %-auth_id% <'text'>::
34716 The id information for a message received on an authenticated SMTP connection
34717 -- the value of the $authenticated_id$ variable.
34718
34719 %-auth_sender% <'address'>::
34720 The address of an authenticated sender -- the value of the
34721 $authenticated_sender$ variable.
34722
34723 %-body_linecount% <'number'>::
34724 This records the number of lines in the body of the message, and is always
34725 present.
34726
34727 %-body_zerocount% <'number'>::
34728 This records the number of binary zero bytes in the body of the message, and is
34729 present if the number is greater than zero.
34730
34731 %-deliver_firsttime%::
34732 This is written when a new message is first added to the spool. When the spool
34733 file is updated after a deferral, it is omitted.
34734
34735 %-frozen% <'time'>::
34736 cindex:[frozen messages,spool data]
34737 The message is frozen, and the freezing happened at <'time'>.
34738
34739 %-helo_name% <'text'>::
34740 This records the host name as specified by a remote host in a HELO or EHLO
34741 command.
34742
34743 %-host_address% <'address'>.<'port'>::
34744 This records the IP address of the host from which the message was received and
34745 the remote port number that was used. It is omitted for locally generated
34746 messages.
34747
34748 %-host_auth% <'text'>::
34749 If the message was received on an authenticated SMTP connection, this records
34750 the name of the authenticator -- the value of the $sender_host_authenticated$
34751 variable.
34752
34753 %-host_lookup_failed%::
34754 This is present if an attempt to look up the sending host's name from its IP
34755 address failed. It corresponds to the $host_lookup_failed$ variable.
34756
34757 %-host_name% <'text'>::
34758 cindex:[reverse DNS lookup]
34759 cindex:[DNS,reverse lookup]
34760 This records the name of the remote host from which the message was received,
34761 if the host name was looked up from the IP address when the message was being
34762 received. It is not present if no reverse lookup was done.
34763
34764 %-ident% <'text'>::
34765 For locally submitted messages, this records the login of the originating user,
34766 unless it was a trusted user and the %-oMt% option was used to specify an ident
34767 value. For messages received over TCP/IP, this records the ident string
34768 supplied by the remote host, if any.
34769
34770 %-interface_address% <'address'>.<'port'>::
34771 This records the IP address of the local interface and the port number through
34772 which a message was received from a remote host. It is omitted for locally
34773 generated messages.
34774
34775 %-local%::
34776 The message is from a local sender.
34777
34778 %-localerror%::
34779 The message is a locally-generated bounce message.
34780
34781 %-local_scan% <'string'>::
34782 This records the data string that was returned by the 'local_scan()' function
34783 when the message was received -- the value of the $local_scan_data$ variable.
34784 It is omitted if no data was returned.
34785
34786 %-manual_thaw%::
34787 The message was frozen but has been thawed manually, that is, by an explicit
34788 Exim command rather than via the auto-thaw process.
34789
34790 %-N%::
34791 A testing delivery process was started using the %-N% option to suppress any
34792 actual deliveries, but delivery was deferred. At any further delivery attempts,
34793 %-N% is assumed.
34794
34795 %-received_protocol%::
34796 This records the value of the $received_protocol$ variable, which contains the
34797 name of the protocol by which the message was received.
34798
34799 %-sender_set_untrusted%::
34800 The envelope sender of this message was set by an untrusted local caller (used
34801 to ensure that the caller is displayed in queue listings).
34802
34803 %-spam_score_int% <'number'>::
34804 If a message was scanned by SpamAssassin, this is present. It records the value
34805 of $spam_score_int$.
34806
34807 %-tls_certificate_verified%::
34808 A TLS certificate was received from the client that sent this message, and the
34809 certificate was verified by the server.
34810
34811 %-tls_cipher% <'cipher name'>::
34812 When the message was received over an encrypted connection, this records the
34813 name of the cipher suite that was used.
34814
34815 %-tls_peerdn% <'peer DN'>::
34816 When the message was received over an encrypted connection, and a certificate
34817 was received from the client, this records the Distinguished Name from that
34818 certificate.
34819
34820 ///
34821 End of list
34822 ///
34823
34824 Following the options there is a list of those addresses to which the message
34825 is not to be delivered. This set of addresses is initialized from the command
34826 line when the %-t% option is used and %extract_addresses_remove_arguments%
34827 is set; otherwise it starts out empty. Whenever a successful delivery is made,
34828 the address is added to this set. The addresses are kept internally as a
34829 balanced binary tree, and it is a representation of that tree which is written
34830 to the spool file. If an address is expanded via an alias or forward file, the
34831 original address is added to the tree when deliveries to all its child
34832 addresses are complete.
34833
34834 If the tree is empty, there is a single line in the spool file containing just
34835 the text ``XX''. Otherwise, each line consists of two letters, which are either
34836 Y or N, followed by an address. The address is the value for the node of the
34837 tree, and the letters indicate whether the node has a left branch and/or a
34838 right branch attached to it, respectively. If branches exist, they immediately
34839 follow. Here is an example of a three-node tree:
34840
34841   YY darcy@austen.fict.example
34842   NN alice@wonderland.fict.example
34843   NN editor@thesaurus.ref.example
34844
34845 After the non-recipients tree, there is a list of the message's recipients.
34846 This is a simple list, preceded by a count. It includes all the original
34847 recipients of the message, including those to whom the message has already been
34848 delivered. In the simplest case, the list contains one address per line. For
34849 example:
34850
34851   4
34852   editor@thesaurus.ref.example
34853   darcy@austen.fict.example
34854   rdo@foundation
34855   alice@wonderland.fict.example
34856
34857 However, when a child address has been added to the top-level addresses as a
34858 result of the use of the %one_time% option on a ^redirect^ router, each line
34859 is of the following form:
34860
34861 &&&
34862 <'top-level address'> <'errors_to address'> <'length'>,<'parent number'>#<'flag bits'>
34863 &&&
34864
34865 The 01 flag bit indicates the presence of the three other fields that follow
34866 the top-level address. Other bits may be used in future to support additional
34867 fields. The <'parent number'> is the offset in the recipients list of the
34868 original parent of the ``one time'' address. The first two fields are the
34869 envelope sender that is associated with this address and its length. If the
34870 length is zero, there is no special envelope sender (there are then two space
34871 characters in the line). A non-empty field can arise from a ^redirect^ router
34872 that has an %errors_to% setting.
34873
34874
34875 A blank line separates the envelope and status information from the headers
34876 which follow. A header may occupy several lines of the file, and to save effort
34877 when reading it in, each header is preceded by a number and an identifying
34878 character. The number is the number of characters in the header, including any
34879 embedded newlines and the terminating newline. The character is one of the
34880 following:
34881
34882 [frame="none"]
34883 `-`--------`----------------------------------------------
34884   <'blank'>header in which Exim has no special interest
34885   `B`      'Bcc:' header
34886   `C`      'Cc:' header
34887   `F`      'From:' header
34888   `I`      'Message-id:' header
34889   `P`      'Received:' header -- P for ``postmark''
34890   `R`      'Reply-To:' header
34891   `S`      'Sender:' header
34892   `T`      'To:' header
34893   `*`      replaced or deleted header
34894 ----------------------------------------------------------
34895
34896 Deleted or replaced (rewritten) headers remain in the spool file for debugging
34897 purposes. They are not transmitted when the message is delivered. Here is a
34898 typical set of headers:
34899
34900   111P Received: by hobbit.fict.example with local (Exim 4.00)
34901           id 14y9EI-00026G-00; Fri, 11 May 2001 10:28:59 +0100
34902   049  Message-Id: <E14y9EI-00026G-00@hobbit.fict.example>
34903   038* X-rewrote-sender: bb@hobbit.fict.example
34904   042* From: Bilbo Baggins <bb@hobbit.fict.example>
34905   049F From: Bilbo Baggins <B.Baggins@hobbit.fict.example>
34906   099* To: alice@wonderland.fict.example, rdo@foundation,
34907    darcy@austen.fict.example, editor@thesaurus.ref.example
34908   109T To: alice@wonderland.fict.example, rdo@foundation.fict.example,
34909    darcy@austen.fict.example, editor@thesaurus.ref.example
34910   038  Date: Fri, 11 May 2001 10:28:59 +0100
34911
34912 The asterisked headers indicate that the envelope sender, 'From:' header, and
34913 'To:' header have been rewritten, the last one because routing expanded the
34914 unqualified domain 'foundation'.
34915
34916
34917
34918
34919 ////////////////////////////////////////////////////////////////////////////
34920 ////////////////////////////////////////////////////////////////////////////
34921
34922 [titleabbrev="Adding drivers or lookups"]
34923 Adding new drivers or lookup types
34924 ----------------------------------
34925 cindex:[adding drivers]
34926 cindex:[new drivers, adding]
34927 cindex:[drivers,adding new]
34928 The following actions have to be taken in order to add a new router, transport,
34929 authenticator, or lookup type to Exim:
34930
34931 . Choose a name for the driver or lookup type that does not conflict with any
34932 existing name; I will use ``newdriver'' in what follows.
34933
34934 . Add to _src/EDITME_ the line
34935 +
34936   <type>_NEWDRIVER=yes
34937 +
34938 where <'type'> is ROUTER, TRANSPORT, AUTH, or LOOKUP. If the
34939 code is not to be included in the binary by default, comment this line out. You
34940 should also add any relevant comments about the driver or lookup type.
34941
34942 . Add to _src/config.h.defaults_ the line
34943 +
34944   #define <type>_NEWDRIVER
34945
34946 . Edit _src/drtables.c_, adding conditional code to pull in the private header
34947 and create a table entry as is done for all the other drivers and lookup types.
34948
34949 . Edit _Makefile_ in the appropriate sub-directory (_src/routers_,
34950 _src/transports_, _src/auths_, or _src/lookups_); add a line for the new
34951 driver or lookup type and add it to the definition of OBJ.
34952
34953 . Create _newdriver.h_ and _newdriver.c_ in the appropriate sub-directory of
34954 _src_.
34955
34956 . Edit _scripts/MakeLinks_ and add commands to link the _.h_ and _.c_ files
34957 as for other drivers and lookups.
34958
34959 Then all you need to do is write the code! A good way to start is to make a
34960 proforma by copying an existing module of the same type, globally changing all
34961 occurrences of the name, and cutting out most of the code. Note that any
34962 options you create must be listed in alphabetical order, because the tables are
34963 searched using a binary chop procedure.
34964
34965 There is a _README_ file in each of the sub-directories of _src_ describing
34966 the interface that is expected.
34967
34968
34969
34970
34971 ////////////////////////////////////////////////////////////////////////////
34972 ////////////////////////////////////////////////////////////////////////////
34973
34974 [title="Option index",role="option"]
34975 Index
34976 -----
34977
34978 [title="Concept index",role="concept"]
34979 Index
34980 -----
34981
34982 ///////////////////////////////////////////////////////////////////////////////
34983 Nothing needs to be included here except "Index" as pseudo chapter headings.
34984 ///////////////////////////////////////////////////////////////////////////////