Don't reveal SQL expansion failure details in SMTP.
[users/jgh/exim.git] / doc / doc-txt / NewStuff
1 $Cambridge: exim/doc/doc-txt/NewStuff,v 1.176 2010/06/14 18:51:10 pdp Exp $
2
3 New Features in Exim
4 --------------------
5
6 This file contains descriptions of new features that have been added to Exim.
7 Before a formal release, there may be quite a lot of detail so that people can
8 test from the snapshots or the CVS before the documentation is updated. Once
9 the documentation is updated, this file is reduced to a short list.
10
11
12 Version 4.75
13 ------------
14
15  1. In addition to the existing LDAP and LDAP/SSL ("ldaps") support, there
16     is now LDAP/TLS support, given sufficiently modern OpenLDAP client
17     libraries.  The following global options have been added in support of
18     this: ldap_ca_cert_dir, ldap_ca_cert_file, ldap_cert_file, ldap_cert_key,
19     ldap_cipher_suite, ldap_require_cert, ldap_start_tls.
20
21  2. The pipe transport now takes a boolean option, "freeze_signal", default
22     false.  When true, if the external delivery command exits on a signal then
23     Exim will freeze the message in the queue, instead of generating a bounce.
24
25
26 Version 4.74
27 ------------
28
29  1. SECURITY FIX: privilege escalation flaw fixed. On Linux (and only Linux)
30     the flaw permitted the Exim run-time user to cause root to append to
31     arbitrary files of the attacker's choosing, with the content based
32     on content supplied by the attacker.
33
34  2. Exim now supports loading some lookup types at run-time, using your
35     platform's dlopen() functionality.  This has limited platform support
36     and the intention is not to support every variant, it's limited to
37     dlopen().  This permits the main Exim binary to not be linked against
38     all the libraries needed for all the lookup types.
39
40
41 Version 4.73
42 ------------
43
44  NOTE: this version is not guaranteed backwards-compatible, please read the
45        items below carefully
46
47  1. A new main configuration option, "openssl_options", is available if Exim
48     is built with SSL support provided by OpenSSL.  The option allows
49     administrators to specify OpenSSL options to be used on connections;
50     typically this is to set bug compatibility features which the OpenSSL
51     developers have not enabled by default.  There may be security
52     consequences for certain options, so these should not be changed
53     frivolously.
54
55  2. A new pipe transport option, "permit_coredumps", may help with problem
56     diagnosis in some scenarios.  Note that Exim is typically installed as
57     a setuid binary, which on most OSes will inhibit coredumps by default,
58     so that safety mechanism would have to be overriden for this option to
59     be able to take effect.
60
61  3. ClamAV 0.95 is now required for ClamAV support in Exim, unless
62     Local/Makefile sets: WITH_OLD_CLAMAV_STREAM=yes
63     Note that this switches Exim to use a new API ("INSTREAM") and a future
64     release of ClamAV will remove support for the old API ("STREAM").
65
66     The av_scanner option, when set to "clamd", now takes an optional third
67     part, "local", which causes Exim to pass a filename to ClamAV instead of
68     the file content.  This is the same behaviour as when clamd is pointed at
69     a Unix-domain socket.  For example:
70
71       av_scanner = clamd:192.0.2.3 1234:local
72
73     ClamAV's ExtendedDetectionInfo response format is now handled.
74
75  4. There is now a -bmalware option, restricted to admin users.  This option
76     takes one parameter, a filename, and scans that file with Exim's
77     malware-scanning framework.  This is intended purely as a debugging aid
78     to ensure that Exim's scanning is working, not to replace other tools.
79     Note that the ACL framework is not invoked, so if av_scanner references
80     ACL variables without a fallback then this will fail.
81
82  5. There is a new expansion operator, "reverse_ip", which will reverse IP
83     addresses; IPv4 into dotted quad, IPv6 into dotted nibble.  Examples:
84
85       ${reverse_ip:192.0.2.4}
86        -> 4.2.0.192
87       ${reverse_ip:2001:0db8:c42:9:1:abcd:192.0.2.3}
88        -> 3.0.2.0.0.0.0.c.d.c.b.a.1.0.0.0.9.0.0.0.2.4.c.0.8.b.d.0.1.0.0.2
89
90  6. There is a new ACL control called "debug", to enable debug logging.
91     This allows selective logging of certain incoming transactions within
92     production environments, with some care.  It takes two options, "tag"
93     and "opts"; "tag" is included in the filename of the log and "opts"
94     is used as per the -d<options> command-line option.  Examples, which
95     don't all make sense in all contexts:
96
97       control = debug
98       control = debug/tag=.$sender_host_address
99       control = debug/opts=+expand+acl
100       control = debug/tag=.$message_exim_id/opts=+expand
101
102  7. It has always been implicit in the design and the documentation that
103     "the Exim user" is not root.  src/EDITME said that using root was
104     "very strongly discouraged".  This is not enough to keep people from
105     shooting themselves in the foot in days when many don't configure Exim
106     themselves but via package build managers.  The security consequences of
107     running various bits of network code are severe if there should be bugs in
108     them.  As such, the Exim user may no longer be root.  If configured
109     statically, Exim will refuse to build.  If configured as ref:user then Exim
110     will exit shortly after start-up.  If you must shoot yourself in the foot,
111     then henceforth you will have to maintain your own local patches to strip
112     the safeties off.
113
114  8. There is a new expansion operator, bool_lax{}.  Where bool{} uses the ACL
115     condition logic to determine truth/failure and will fail to expand many
116     strings, bool_lax{} uses the router condition logic, where most strings
117     do evaluate true.
118     Note: bool{00} is false, bool_lax{00} is true.
119
120  9. Routers now support multiple "condition" tests,
121
122 10. There is now a runtime configuration option "tcp_wrappers_daemon_name".
123     Setting this allows an admin to define which entry in the tcpwrappers
124     config file will be used to control access to the daemon.  This option
125     is only available when Exim is built with USE_TCP_WRAPPERS.  The
126     default value is set at build time using the TCP_WRAPPERS_DAEMON_NAME
127     build option.
128
129 11. [POSSIBLE CONFIG BREAKAGE] The default value for system_filter_user is now
130     the Exim run-time user, instead of root.
131
132 12. [POSSIBLE CONFIG BREAKAGE] ALT_CONFIG_ROOT_ONLY is no longer optional and
133     is forced on.  This is mitigated by the new build option
134     TRUSTED_CONFIG_LIST which defines a list of configuration files which
135     are trusted; one per line. If a config file is owned by root and matches
136     a pathname in the list, then it may be invoked by the Exim build-time
137     user without Exim relinquishing root privileges.
138
139 13. [POSSIBLE CONFIG BREAKAGE] The Exim user is no longer automatically
140     trusted to supply -D<Macro[=Value]> overrides on the command-line.  Going
141     forward, we recommend using TRUSTED_CONFIG_LIST with shim configs that
142     include the main config.  As a transition mechanism, we are temporarily
143     providing a work-around: the new build option WHITELIST_D_MACROS provides
144     a colon-separated list of macro names which may be overriden by the Exim
145     run-time user.  The values of these macros are constrained to the regex
146     ^[A-Za-z0-9_/.-]*$ (which explicitly does allow for empty values).
147
148
149 Version 4.72
150 ------------
151
152  1. TWO SECURITY FIXES: one relating to mail-spools which are globally
153     writable, the other to locking of MBX folders (not mbox).
154
155  2. MySQL stored procedures are now supported.
156
157  3. The dkim_domain transport option is now a list, not a single string, and
158     messages will be signed for each element in the list (discarding
159     duplicates).
160
161  4. The 4.70 release unexpectedly changed the behaviour of dnsdb TXT lookups
162     in the presence of multiple character strings within the RR. Prior to 4.70,
163     only the first string would be returned.  The dnsdb lookup now, by default,
164     preserves the pre-4.70 semantics, but also now takes an extended output
165     separator specification.  The separator can be followed by a semicolon, to
166     concatenate the individual text strings together with no join character,
167     or by a comma and a second separator character, in which case the text
168     strings within a TXT record are joined on that second character.
169     Administrators are reminded that DNS provides no ordering guarantees
170     between multiple records in an RRset.  For example:
171
172       foo.example.  IN TXT "a" "b" "c"
173       foo.example.  IN TXT "d" "e" "f"
174
175       ${lookup dnsdb{>/ txt=foo.example}}   -> "a/d"
176       ${lookup dnsdb{>/; txt=foo.example}}  -> "def/abc"
177       ${lookup dnsdb{>/,+ txt=foo.example}} -> "a+b+c/d+e+f"
178
179
180 Version 4.70 / 4.71
181 -------------------
182
183  1. Native DKIM support without an external library.
184     (Note that if no action to prevent it is taken, a straight upgrade will
185     result in DKIM verification of all signed incoming emails.  See spec
186     for details on conditionally disabling)
187
188  2. Experimental DCC support via dccifd (contributed by Wolfgang Breyha).
189
190  3. There is now a bool{} expansion condition which maps certain strings to
191     true/false condition values (most likely of use in conjunction with the
192     and{} expansion operator).
193
194  4. The $spam_score, $spam_bar and $spam_report variables are now available
195     at delivery time.
196
197  5. exim -bP now supports "macros", "macro_list" or "macro MACRO_NAME" as
198     options, provided that Exim is invoked by an admin_user.
199
200  6. There is a new option gnutls_compat_mode, when linked against GnuTLS,
201     which increases compatibility with older clients at the cost of decreased
202     security.  Don't set this unless you need to support such clients.
203
204  7. There is a new expansion operator, ${randint:...} which will produce a
205     "random" number less than the supplied integer.  This randomness is
206     not guaranteed to be cryptographically strong, but depending upon how
207     Exim was built may be better than the most naive schemes.
208
209  8. Exim now explicitly ensures that SHA256 is available when linked against
210     OpenSSL.
211
212  9. The transport_filter_timeout option now applies to SMTP transports too.
213
214
215 Version 4.69
216 ------------
217
218  1. Preliminary DKIM support in Experimental.
219
220
221 Version 4.68
222 ------------
223
224  1. The body_linecount and body_zerocount C variables are now exported in the
225     local_scan API.
226
227  2. When a dnslists lookup succeeds, the key that was looked up is now placed
228     in $dnslist_matched. When the key is an IP address, it is not reversed in
229     this variable (though it is, of course, in the actual lookup). In simple
230     cases, for example:
231
232       deny dnslists = spamhaus.example
233
234     the key is also available in another variable (in this case,
235     $sender_host_address). In more complicated cases, however, this is not
236     true. For example, using a data lookup might generate a dnslists lookup
237     like this:
238
239       deny dnslists = spamhaus.example/<|192.168.1.2|192.168.6.7|...
240
241     If this condition succeeds, the value in $dnslist_matched might be
242     192.168.6.7 (for example).
243
244  3. Authenticators now have a client_condition option. When Exim is running as
245     a client, it skips an authenticator whose client_condition expansion yields
246     "0", "no", or "false". This can be used, for example, to skip plain text
247     authenticators when the connection is not encrypted by a setting such as:
248
249       client_condition = ${if !eq{$tls_cipher}{}}
250
251     Note that the 4.67 documentation states that $tls_cipher contains the
252     cipher used for incoming messages. In fact, during SMTP delivery, it
253     contains the cipher used for the delivery. The same is true for
254     $tls_peerdn.
255
256  4. There is now a -Mvc <message-id> option, which outputs a copy of the
257     message to the standard output, in RFC 2822 format. The option can be used
258     only by an admin user.
259
260  5. There is now a /noupdate option for the ratelimit ACL condition. It
261     computes the rate and checks the limit as normal, but it does not update
262     the saved data. This means that, in relevant ACLs, it is possible to lookup
263     the existence of a specified (or auto-generated) ratelimit key without
264     incrementing the ratelimit counter for that key.
265
266     In order for this to be useful, another ACL entry must set the rate
267     for the same key somewhere (otherwise it will always be zero).
268
269     Example:
270
271     acl_check_connect:
272       # Read the rate; if it doesn't exist or is below the maximum
273       # we update it below
274       deny ratelimit = 100 / 5m / strict / noupdate
275            log_message = RATE: $sender_rate / $sender_rate_period \
276                          (max $sender_rate_limit)
277
278       [... some other logic and tests...]
279
280       warn ratelimit = 100 / 5m / strict / per_cmd
281            log_message = RATE UPDATE: $sender_rate / $sender_rate_period \
282                          (max $sender_rate_limit)
283            condition = ${if le{$sender_rate}{$sender_rate_limit}}
284
285       accept
286
287  6. The variable $max_received_linelength contains the number of bytes in the
288     longest line that was received as part of the message, not counting the
289     line termination character(s).
290
291  7. Host lists can now include +ignore_defer and +include_defer, analagous to
292     +ignore_unknown and +include_unknown. These options should be used with
293     care, probably only in non-critical host lists such as whitelists.
294
295  8. There's a new option called queue_only_load_latch, which defaults true.
296     If set false when queue_only_load is greater than zero, Exim re-evaluates
297     the load for each incoming message in an SMTP session. Otherwise, once one
298     message is queued, the remainder are also.
299
300  9. There is a new ACL, specified by acl_smtp_notquit, which is run in most
301     cases when an SMTP session ends without sending QUIT. However, when Exim
302     itself is is bad trouble, such as being unable to write to its log files,
303     this ACL is not run, because it might try to do things (such as write to
304     log files) that make the situation even worse.
305
306     Like the QUIT ACL, this new ACL is provided to make it possible to gather
307     statistics. Whatever it returns (accept or deny) is immaterial. The "delay"
308     modifier is forbidden in this ACL.
309
310     When the NOTQUIT ACL is running, the variable $smtp_notquit_reason is set
311     to a string that indicates the reason for the termination of the SMTP
312     connection. The possible values are:
313
314       acl-drop                 Another ACL issued a "drop" command
315       bad-commands             Too many unknown or non-mail commands
316       command-timeout          Timeout while reading SMTP commands
317       connection-lost          The SMTP connection has been lost
318       data-timeout             Timeout while reading message data
319       local-scan-error         The local_scan() function crashed
320       local-scan-timeout       The local_scan() function timed out
321       signal-exit              SIGTERM or SIGINT
322       synchronization-error    SMTP synchronization error
323       tls-failed               TLS failed to start
324
325     In most cases when an SMTP connection is closed without having received
326     QUIT, Exim sends an SMTP response message before actually closing the
327     connection. With the exception of acl-drop, the default message can be
328     overridden by the "message" modifier in the NOTQUIT ACL. In the case of a
329     "drop" verb in another ACL, it is the message from the other ACL that is
330     used.
331
332 10. For MySQL and PostgreSQL lookups, it is now possible to specify a list of
333     servers with individual queries. This is done by starting the query with
334     "servers=x:y:z;", where each item in the list may take one of two forms:
335
336     (1) If it is just a host name, the appropriate global option (mysql_servers
337         or pgsql_servers) is searched for a host of the same name, and the
338         remaining parameters (database, user, password) are taken from there.
339
340     (2) If it contains any slashes, it is taken as a complete parameter set.
341
342     The list of servers is used in exactly the same was as the global list.
343     Once a connection to a server has happened and a query has been
344     successfully executed, processing of the lookup ceases.
345
346     This feature is intended for use in master/slave situations where updates
347     are occurring, and one wants to update a master rather than a slave. If the
348     masters are in the list for reading, you might have:
349
350       mysql_servers = slave1/db/name/pw:slave2/db/name/pw:master/db/name/pw
351
352     In an updating lookup, you could then write
353
354       ${lookup mysql{servers=master; UPDATE ...}
355
356     If, on the other hand, the master is not to be used for reading lookups:
357
358       pgsql_servers = slave1/db/name/pw:slave2/db/name/pw
359
360     you can still update the master by
361
362       ${lookup pgsql{servers=master/db/name/pw; UPDATE ...}
363
364 11. The message_body_newlines option (default FALSE, for backwards
365     compatibility) can be used to control whether newlines are present in
366     $message_body and $message_body_end. If it is FALSE, they are replaced by
367     spaces.
368
369
370 Version 4.67
371 ------------
372
373  1. There is a new log selector called smtp_no_mail, which is not included in
374     the default setting. When it is set, a line is written to the main log
375     whenever an accepted SMTP connection terminates without having issued a
376     MAIL command.
377
378  2. When an item in a dnslists list is followed by = and & and a list of IP
379     addresses, the behaviour was not clear when the lookup returned more than
380     one IP address. This has been solved by the addition of == and =& for "all"
381     rather than the default "any" matching.
382
383  3. Up till now, the only control over which cipher suites GnuTLS uses has been
384     for the cipher algorithms. New options have been added to allow some of the
385     other parameters to be varied.
386
387  4. There is a new compile-time option called ENABLE_DISABLE_FSYNC. When it is
388     set, Exim compiles a runtime option called disable_fsync.
389
390  5. There is a new variable called $smtp_count_at_connection_start.
391
392  6. There's a new control called no_pipelining.
393
394  7. There are two new variables called $sending_ip_address and $sending_port.
395     These are set whenever an SMTP connection to another host has been set up.
396
397  8. The expansion of the helo_data option in the smtp transport now happens
398     after the connection to the server has been made.
399
400  9. There is a new expansion operator ${rfc2047d: that decodes strings that
401     are encoded as per RFC 2047.
402
403 10. There is a new log selector called "pid", which causes the current process
404     id to be added to every log line, in square brackets, immediately after the
405     time and date.
406
407 11. Exim has been modified so that it flushes SMTP output before implementing
408     a delay in an ACL. It also flushes the output before performing a callout,
409     as this can take a substantial time. These behaviours can be disabled by
410     obeying control = no_delay_flush or control = no_callout_flush,
411     respectively, at some earlier stage of the connection.
412
413 12. There are two new expansion conditions that iterate over a list. They are
414     called forany and forall.
415
416 13. There's a new global option called dsn_from that can be used to vary the
417     contents of From: lines in bounces and other automatically generated
418     messages ("delivery status notifications" - hence the name of the option).
419
420 14. The smtp transport has a new option called hosts_avoid_pipelining.
421
422 15. By default, exigrep does case-insensitive matches. There is now a -I option
423     that makes it case-sensitive.
424
425 16. A number of new features ("addresses", "map", "filter", and "reduce") have
426     been added to string expansions to make it easier to process lists of
427     items, typically addresses.
428
429 17. There's a new ACL modifier called "continue". It does nothing of itself,
430     and processing of the ACL always continues with the next condition or
431     modifier. It is provided so that the side effects of expanding its argument
432     can be used.
433
434 18. It is now possible to use newline and other control characters (those with
435     values less than 32, plus DEL) as separators in lists.
436
437 19. The exigrep utility now has a -v option, which inverts the matching
438     condition.
439
440 20. The host_find_failed option in the manualroute router can now be set to
441     "ignore".
442
443
444 Version 4.66
445 ------------
446
447 No new features were added to 4.66.
448
449
450 Version 4.65
451 ------------
452
453 No new features were added to 4.65.
454
455
456 Version 4.64
457 ------------
458
459  1. ACL variables can now be given arbitrary names, as long as they start with
460     "acl_c" or "acl_m" (for connection variables and message variables), are at
461     least six characters long, with the sixth character being either a digit or
462     an underscore.
463
464  2. There is a new ACL modifier called log_reject_target. It makes it possible
465     to specify which logs are used for messages about ACL rejections.
466
467  3. There is a new authenticator called "dovecot". This is an interface to the
468     authentication facility of the Dovecot POP/IMAP server, which can support a
469     number of authentication methods.
470
471  4. The variable $message_headers_raw provides a concatenation of all the
472     messages's headers without any decoding. This is in contrast to
473     $message_headers, which does RFC2047 decoding on the header contents.
474
475  5. In a DNS black list, if two domain names, comma-separated, are given, the
476     second is used first to do an initial check, making use of any IP value
477     restrictions that are set. If there is a match, the first domain is used,
478     without any IP value restrictions, to get the TXT record.
479
480  6. All authenticators now have a server_condition option.
481
482  7. There is a new command-line option called -Mset. It is useful only in
483     conjunction with -be (that is, when testing string expansions). It must be
484     followed by a message id; Exim loads the given message from its spool
485     before doing the expansions.
486
487  8. Another similar new command-line option is called -bem. It operates like
488     -be except that it must be followed by the name of a file that contains a
489     message.
490
491  9. When an address is delayed because of a 4xx response to a RCPT command, it
492     is now the combination of sender and recipient that is delayed in
493     subsequent queue runs until its retry time is reached.
494
495 10. Unary negation and the bitwise logical operators and, or, xor, not, and
496     shift, have been added to the eval: and eval10: expansion items.
497
498 11. The variables $interface_address and $interface_port have been renamed
499     as $received_ip_address and $received_port, to make it clear that they
500     relate to message reception rather than delivery. (The old names remain
501     available for compatibility.)
502
503 12. The "message" modifier can now be used on "accept" and "discard" acl verbs
504     to vary the message that is sent when an SMTP command is accepted.
505
506
507 Version 4.63
508 ------------
509
510 1. There is a new Boolean option called filter_prepend_home for the redirect
511    router.
512
513 2. There is a new acl, set by acl_not_smtp_start, which is run right at the
514    start of receiving a non-SMTP message, before any of the message has been
515    read.
516
517 3. When an SMTP error message is specified in a "message" modifier in an ACL,
518    or in a :fail: or :defer: message in a redirect router, Exim now checks the
519    start of the message for an SMTP error code.
520
521 4. There is a new parameter for LDAP lookups called "referrals", which takes
522    one of the settings "follow" (the default) or "nofollow".
523
524 5. Version 20070721.2 of exipick now included, offering these new options:
525     --reverse
526         After all other sorting options have bee processed, reverse order
527         before displaying messages (-R is synonym).
528     --random
529         Randomize order of matching messages before displaying.
530     --size
531         Instead of displaying the matching messages, display the sum
532         of their sizes.
533     --sort <variable>[,<variable>...]
534         Before displaying matching messages, sort the messages according to
535         each messages value for each variable.
536     --not
537         Negate the value for every test (returns inverse output from the
538         same criteria without --not).
539
540
541 Version 4.62
542 ------------
543
544 1. The ${readsocket expansion item now supports Internet domain sockets as well
545    as Unix domain sockets. If the first argument begins "inet:", it must be of
546    the form "inet:host:port". The port is mandatory; it may be a number or the
547    name of a TCP port in /etc/services. The host may be a name, or it may be an
548    IP address. An ip address may optionally be enclosed in square brackets.
549    This is best for IPv6 addresses. For example:
550
551      ${readsocket{inet:[::1]:1234}{<request data>}...
552
553    Only a single host name may be given, but if looking it up yield more than
554    one IP address, they are each tried in turn until a connection is made. Once
555    a connection has been made, the behaviour is as for ${readsocket with a Unix
556    domain socket.
557
558 2. If a redirect router sets up file or pipe deliveries for more than one
559    incoming address, and the relevant transport has batch_max set greater than
560    one, a batch delivery now occurs.
561
562 3. The appendfile transport has a new option called maildirfolder_create_regex.
563    Its value is a regular expression. For a maildir delivery, this is matched
564    against the maildir directory; if it matches, Exim ensures that a
565    maildirfolder file is created alongside the new, cur, and tmp directories.
566
567
568 Version 4.61
569 ------------
570
571 The documentation is up-to-date for the 4.61 release. Major new features since
572 the 4.60 release are:
573
574 . An option called disable_ipv6, to disable the use of IPv6 completely.
575
576 . An increase in the number of ACL variables to 20 of each type.
577
578 . A change to use $auth1, $auth2, and $auth3 in authenticators instead of $1,
579   $2, $3, (though those are still set) because the numeric variables get used
580   for other things in complicated expansions.
581
582 . The default for rfc1413_query_timeout has been changed from 30s to 5s.
583
584 . It is possible to use setclassresources() on some BSD OS to control the
585   resources used in pipe deliveries.
586
587 . A new ACL modifier called add_header, which can be used with any verb.
588
589 . More errors are detectable in retry rules.
590
591 There are a number of other additions too.
592
593
594 Version 4.60
595 ------------
596
597 The documentation is up-to-date for the 4.60 release. Major new features since
598 the 4.50 release are:
599
600 . Support for SQLite.
601
602 . Support for IGNOREQUOTA in LMTP.
603
604 . Extensions to the "submission mode" features.
605
606 . Support for Client SMTP Authorization (CSA).
607
608 . Support for ratelimiting hosts and users.
609
610 . New expansion items to help with the BATV "prvs" scheme.
611
612 . A "match_ip" condition, that matches an IP address against a list.
613
614 There are many more minor changes.
615
616 ****