Add expansion for DMARC policy

[users/heiko/exim.git] / doc / doc-txt / experimental-spec.txt
diff --git a/doc/doc-txt/experimental-spec.txt b/doc/doc-txt/experimental-spec.txt

index b80e02b4cfa2a6a89cf3381c3ebec5392c28a55f..d0503d9e847e9fa61a5ed3f351c48fca9310515d 100644 (file)
--- a/doc/doc-txt/experimental-spec.txt
+++ b/doc/doc-txt/experimental-spec.txt
@@ -452,12 +452,14 @@ which the spf condition should succeed. Valid strings are:
                This means the queried domain has published
                a SPF record, but wants to allow outside
                servers to send mail under its domain as well.
                This means the queried domain has published
                a SPF record, but wants to allow outside
                servers to send mail under its domain as well.
-  o err_perm  This indicates a syntax error in the SPF
-              record of the queried domain. This should be
-              treated like "none".
-  o err_temp  This indicates a temporary error during all
+              This should be treated like "none".
+  o permerror This indicates a syntax error in the SPF
+              record of the queried domain. You may deny
+              messages when this occurs. (Changed in 4.83)
+  o temperror This indicates a temporary error during all
                processing, including Exim's SPF processing.
                You may defer messages when this occurs.
                processing, including Exim's SPF processing.
                You may defer messages when this occurs.
+              (Changed in 4.83)
  
  You can prefix each string with an exclamation mark to  invert
  is meaning,  for example  "!fail" will  match all  results but
  
  You can prefix each string with an exclamation mark to  invert
  is meaning,  for example  "!fail" will  match all  results but
@@ -510,8 +512,8 @@ variables.
  
    $spf_result
    This contains the outcome of the SPF check in string form,
  
    $spf_result
    This contains the outcome of the SPF check in string form,
-  one of pass, fail, softfail, none, neutral, err_perm or
-  err_temp.
+  one of pass, fail, softfail, none, neutral, permerror or
+  temperror.
  
    $spf_smtp_comment
    This contains a string that can be used in a SMTP response
  
    $spf_smtp_comment
    This contains a string that can be used in a SMTP response
@@ -773,7 +775,7 @@ fails.
  
  Of course, you can also use any other lookup method that Exim
  supports, including LDAP, Postgres, MySQL, etc, as long as the
  
  Of course, you can also use any other lookup method that Exim
  supports, including LDAP, Postgres, MySQL, etc, as long as the
-result is a list of colon-separated strings;
+result is a list of colon-separated strings.
  
  Several expansion variables are set before the DATA ACL is
  processed, and you can use them in this ACL.  The following
  
  Several expansion variables are set before the DATA ACL is
  processed, and you can use them in this ACL.  The following
@@ -781,7 +783,10 @@ expansion variables are available:
  
    o $dmarc_status
      This is a one word status indicating what the DMARC library
  
    o $dmarc_status
      This is a one word status indicating what the DMARC library
-    thinks of the email.
+    thinks of the email.  It is a combination of the results of
+    DMARC record lookup and the SPF/DKIM/DMARC processing results
+    (if a DMARC record was found).  The actual policy declared
+    in the DMARC record is in a separate expansion variable.
  
    o $dmarc_status_text
      This is a slightly longer, human readable status.
  
    o $dmarc_status_text
      This is a slightly longer, human readable status.
@@ -790,6 +795,11 @@ expansion variables are available:
      This is the domain which DMARC used to look up the DMARC
      policy record.
  
      This is the domain which DMARC used to look up the DMARC
      policy record.
  
+  o $dmarc_domain_policy
+    This is the policy declared in the DMARC record.  Valid values
+    are "none", "reject" and "quarantine".  It is blank when there
+    is any error, including no DMARC record.
+
    o $dmarc_ar_header
      This is the entire Authentication-Results header which you can
      add using an add_header modifier.
    o $dmarc_ar_header
      This is the entire Authentication-Results header which you can
      add using an add_header modifier.
@@ -825,6 +835,9 @@ b. Configure, somewhere before the DATA ACL, the control option to
    warn    !domains       = +screwed_up_dmarc_records
            control        = dmarc_enable_forensic
  
    warn    !domains       = +screwed_up_dmarc_records
            control        = dmarc_enable_forensic
  
+  warn    condition      = (lookup if destined to mailing list)
+          set acl_m_mailing_list = 1
+
  (DATA ACL)
    warn    dmarc_status   = accept : none : off
            !authenticated = *
  (DATA ACL)
    warn    dmarc_status   = accept : none : off
            !authenticated = *
@@ -840,6 +853,10 @@ b. Configure, somewhere before the DATA ACL, the control option to
            set $acl_m_quarantine = 1
            # Do something in a transport with this flag variable
  
            set $acl_m_quarantine = 1
            # Do something in a transport with this flag variable
  
+  deny    condition      = ${if eq{$dmarc_domain_policy}{reject}}
+          condition      = ${if eq{$acl_m_mailing_list}{1}}
+          message        = Messages from $dmarc_used_domain break mailing lists
+
    deny    dmarc_status   = reject
            !authenticated = *
            message        = Message from $domain_used_domain failed sender's DMARC policy, REJECT
    deny    dmarc_status   = reject
            !authenticated = *
            message        = Message from $domain_used_domain failed sender's DMARC policy, REJECT