Fix taint-handling in rDNS name construction

[users/heiko/exim.git] / doc / doc-docbook / spec.xfpt
diff --git a/doc/doc-docbook/spec.xfpt b/doc/doc-docbook/spec.xfpt

index 5ca60327e034b90c5ad1d4ba871571f14677977d..bca6689b69e9be18ce516344723c7eec285c2133 100644 (file)
--- a/doc/doc-docbook/spec.xfpt
+++ b/doc/doc-docbook/spec.xfpt
@@ -52,7 +52,7 @@
  .set I   "&nbsp;&nbsp;&nbsp;&nbsp;"
  
  .macro copyyear
-2018
+2018, 2019
  .endmacro
  
  . /////////////////////////////////////////////////////////////////////////////
@@ -3963,6 +3963,20 @@ is sent to the sender, containing the text &"cancelled by administrator"&.
  Bounce messages are just discarded. This option can be used only by an admin
  user.
  
+.new
+.vitem &%-MG%&&~<&'queue&~name'&&~<&'message&~id'&>&~<&'message&~id'&>&~...
+.oindex "&%-MG%&"
+.cindex queue named
+.cindex "named queues"
+.cindex "queue" "moving messages"
+This option requests that each listed message be moved from its current
+queue to the given named queue.
+The destination queue name argument is required, but can be an empty
+string to define the default queue.
+If the messages are not currently located in the default queue,
+a &%-qG<name>%& option will be required to define the source queue.
+.wen
+
  .vitem &%-Mmad%&&~<&'message&~id'&>&~<&'message&~id'&>&~...
  .oindex "&%-Mmad%&"
  .cindex "delivery" "cancelling all"
@@ -6113,9 +6127,6 @@ dnslookup:
    domains = ! +local_domains
    transport = remote_smtp
    ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
-.ifdef _HAVE_DNSSEC
-  dnssec_request_domains = *
-.endif
    no_more
  .endd
  The &%domains%& option behaves as per smarthost, above.
@@ -6666,11 +6677,10 @@ aliases or other indexed data referenced by an MTA. Information about cdb and
  tools for building the files can be found in several places:
  .display
  &url(https://cr.yp.to/cdb.html)
-&url(http://www.corpit.ru/mjt/tinycdb.html)
+&url(https://www.corpit.ru/mjt/tinycdb.html)
  &url(https://packages.debian.org/stable/utils/freecdb)
  &url(https://github.com/philpennock/cdbtools) (in Go)
  .endd
-. --- 2018-09-07: corpit.ru http:-only
  A cdb distribution is not needed in order to build Exim with cdb support,
  because the code for reading cdb files is included directly in Exim itself.
  However, no means of building or testing cdb files is provided with Exim, so
@@ -13354,6 +13364,9 @@ or a &%def%& condition.
  &*Note*&: Under versions of OpenSSL preceding 1.1.1,
  when a list of more than one
  file is used for &%tls_certificate%&, this variable is not reliable.
+.new
+The macro "_TLS_BAD_MULTICERT_IN_OURCERT" will be defined for those versions.
+.wen
  
  .vitem &$tls_in_peercert$&
  .vindex "&$tls_in_peercert$&"
@@ -17686,9 +17699,9 @@ separator in the usual way (&<<SECTlistsepchange>>&) to avoid confusion under IP
  &*Note*&: Under versions of OpenSSL preceding 1.1.1,
  when a list of more than one
  file is used, the &$tls_in_ourcert$& variable is unreliable.
-
-&*Note*&: OCSP stapling is not usable under OpenSSL
-when a list of more than one file is used.
+.new
+The macro "_TLS_BAD_MULTICERT_IN_OURCERT" will be defined for those versions.
+.wen
  
  If the option contains &$tls_out_sni$& and Exim is built against OpenSSL, then
  if the OpenSSL build supports TLS extensions and the TLS client sends the
@@ -17841,6 +17854,9 @@ status proof for the server's certificate, as obtained from the
  Certificate Authority.
  
  Usable for GnuTLS 3.4.4 or 3.3.17 or OpenSSL 1.1.0 (or later).
+.new
+The macro "_HAVE_TLS_OCSP" will be defined for those versions.
+.wen
  
  .new
  For OpenSSL 1.1.0 or later, and
@@ -17848,6 +17864,9 @@ For OpenSSL 1.1.0 or later, and
  for GnuTLS 3.5.6 or later the expanded value of this option can be a list
  of files, to match a list given for the &%tls_certificate%& option.
  The ordering of the two lists must match.
+.new
+The macro "_HAVE_TLS_OCSP_LIST" will be defined for those versions.
+.wen
  
  .new
  The file(s) should be in DER format,
@@ -40323,8 +40342,12 @@ for more information of what they mean.
  
  SPF is a mechanism whereby a domain may assert which IP addresses may transmit
  messages with its domain in the envelope from, documented by RFC 7208.
-For more information on SPF see &url(http://www.openspf.org).
-. --- 2018-09-07: still not https
+For more information on SPF see &url(http://www.open-spf.org), a static copy of
+the &url(http://openspf.org).
+. --- 2019-10-28: still not https, open-spf.org is told to be a
+. --- web-archive copy of the now dead openspf.org site
+. --- See https://www.mail-archive.com/mailop@mailop.org/msg08019.html for a
+. --- discussion.
  
  Messages sent by a system not authorised will fail checking of such assertions.
  This includes retransmissions done by traditional forwarders.
@@ -40387,7 +40410,7 @@ deny spf = fail
       message = $sender_host_address is not allowed to send mail from \
                 ${if def:sender_address_domain \
                      {$sender_address_domain}{$sender_helo_name}}.  \
-               Please see http://www.openspf.org/Why?scope=\
+               Please see http://www.open-spf.org/Why?scope=\
                 ${if def:sender_address_domain {mfrom}{helo}};\
                 identity=${if def:sender_address_domain \
                               {$sender_address}{$sender_helo_name}};\
@@ -40440,9 +40463,9 @@ In addition to SPF, you can also perform checks for so-called
  "Best-guess".  Strictly speaking, "Best-guess" is not standard
  SPF, but it is supported by the same framework that enables SPF
  capability.
-Refer to &url(http://www.openspf.org/FAQ/Best_guess_record)
+Refer to &url(http://www.open-spf.org/FAQ/Best_guess_record)
  for a description of what it means.
-. --- 2018-09-07: still not https:
+. --- 2019-10-28: still not https:
  
  To access this feature, simply use the spf_guess condition in place
  of the spf one.  For example: