DKIM: support multiple hash methods
[users/jgh/exim.git] / doc / doc-txt / NewStuff
1 New Features in Exim
2 --------------------
3
4 This file contains descriptions of new features that have been added to Exim.
5 Before a formal release, there may be quite a lot of detail so that people can
6 test from the snapshots or the Git before the documentation is updated. Once
7 the documentation is updated, this file is reduced to a short list.
8
9 Version 4.90
10 ------------
11
12  1. PKG_CONFIG_PATH can now be set in Local/Makefile;
13     wildcards will be expanded, values are collapsed.
14
15  2. The ${readsocket } expansion now takes an option to not shutdown the
16     connection after sending the query string.  The default remains to do so.
17
18  3. An smtp transport option "hosts_noproxy_tls" to control whether multiple
19     deliveries on a single TCP connection can maintain a TLS connection
20     open.  By default disabled for all hosts, doing so saves the cost of
21     making new TLS sessions, at the cost of having to proxy the data via
22     another process.  Logging is also affected.
23
24  4. A malware connection type for the FPSCAND protocol.
25
26  5. An option for recipient verify callouts to hold the connection open for
27     further recipients and for delivery.
28
29  6. The reproducible build $SOURCE_DATE_EPOCH environment variable is now
30     supported.
31
32  7. Optionally, an alternate format for spool data-files which matches the
33     wire format - meaning more efficient reception and transmission (at the
34     cost of difficulty with standard Unix tools).  Only used for messages
35     received using the ESMTP CHUNKING option, and when a new main-section
36     option "spool_wireformat" (false by default) is set.
37
38  8. New main configuration option "commandline_checks_require_admin" to
39     restrict who can use various introspection options.
40
41  9. New option modifier "no_check" for quota and quota_filecount
42     appendfile transport.
43
44 10. Variable $smtp_command_history returning a comma-sep list of recent
45     SMTP commands.
46
47 11. Millisecond timetamps in logs, on log_selector "millisec".  Also affects
48     log elements QT, DT and D, and timstamps in debug output.
49
50 12. TCP Fast Open logging.  As a server, logs when the SMTP banner was sent
51     while still in SYN_RECV state; as a client logs when the connection
52     is opened with a TFO cookie.  Support varies between platforms
53     (Linux does both. FreeBSD server only, others unknown).
54
55 13. DKIM support for multiple hashes.
56
57
58 Version 4.89
59 ------------
60
61  1. Allow relative config file names for ".include"
62
63  2. A main-section config option "debug_store" to control the checks on
64     variable locations during store-reset.  Normally false but can be enabled
65     when a memory corrution issue is suspected on a production system.
66
67
68 Version 4.88
69 ------------
70
71  1. The new perl_taintmode option allows to run the embedded perl
72     interpreter in taint mode.
73
74  2. New log_selector: dnssec, adds a "DS" tag to acceptance and delivery lines.
75
76  3. Speculative debugging, via a "kill" option to the "control=debug" ACL
77     modifier.
78
79  4. New expansion item ${sha3:<string>} / ${sha3_<N>:<string>}.
80     N can be 224, 256 (default), 384, 512.
81     With GnuTLS 3.5.0 or later, only.
82
83  5. Facility for named queues:  A command-line argument can specify
84     the queue name for a queue operation, and an ACL modifier can set
85     the queue to be used for a message.  A $queue_name variable gives
86     visibility.
87
88  6. New expansion operators base32/base32d.
89
90  7. The CHUNKING ESMTP extension from RFC 3030.  May give some slight
91     performance increase and network load decrease.  Main config option
92     chunking_advertise_hosts, and smtp transport option hosts_try_chunking
93     for control.
94
95  8. LMDB lookup support, as Experimental. Patch supplied by Andrew Colin Kissa.
96
97  9. Expansion operator escape8bit, like escape but not touching newline etc..
98
99 10. Feature macros, generated from compile options.  All start with "_HAVE_"
100     and go on with some roughly recognisable name.  Driver macros, for
101     router, transport and authentication drivers; names starting with "_DRIVER_".
102     Option macros, for each configuration-file option; all start with "_OPT_".
103     Use the "-bP macros" command-line option to see what is present.
104
105 11. Integer values for options can take a "G" multiplier.
106
107 12. defer=pass option for the ACL control cutthrough_delivery, to reflect 4xx
108     returns from the target back to the initiator, rather than spooling the
109     message.
110
111 13. New built-in constants available for tls_dhparam and default changed.
112
113 14. If built with EXPERIMENTAL_QUEUEFILE, a queuefile transport, for writing
114     out copies of the message spool files for use by 3rd-party scanners.
115
116 15. A new option on the smtp transport, hosts_try_fastopen.  If the system
117     supports it (on Linux it must be enabled in the kernel by the sysadmin)
118     try to use RFC 7413 "TCP Fast Open".  No data is sent on the SYN segment
119     but it permits a peer that also supports the facility to send its SMTP
120     banner immediately after the SYN,ACK segment rather then waiting for
121     another ACK - so saving up to one roundtrip time.  Because it requires
122     previous communication with the peer (we save a cookie from it) this
123     will only become active on frequently-contacted destinations.
124
125 16. A new syslog_pid option to suppress PID duplication in syslog lines.
126
127
128 Version 4.87
129 ------------
130
131  1. The ACL conditions regex and mime_regex now capture substrings
132     into numeric variables $regex1 to 9, like the "match" expansion condition.
133
134  2. New $callout_address variable records the address used for a spam=,
135     malware= or verify= callout.
136
137  3. Transports now take a "max_parallel" option, to limit concurrency.
138
139  4. Expansion operators ${ipv6norm:<string>} and ${ipv6denorm:<string>}.
140     The latter expands to a 8-element colon-sep set of hex digits including
141     leading zeroes. A trailing ipv4-style dotted-decimal set is converted
142     to hex.  Pure ipv4 addresses are converted to IPv4-mapped IPv6.
143     The former operator strips leading zeroes and collapses the longest
144     set of 0-groups to a double-colon.
145
146  5. New "-bP config" support, to dump the effective configuration.
147
148  6. New $dkim_key_length variable.
149
150  7. New base64d and base64 expansion items (the existing str2b64 being a
151     synonym of the latter).  Add support in base64 for certificates.
152
153  8. New main configuration option "bounce_return_linesize_limit" to
154     avoid oversize bodies in bounces. The default value matches RFC
155     limits.
156
157  9. New $initial_cwd expansion variable.
158
159
160 Version 4.86
161 ------------
162
163  1. Support for using the system standard CA bundle.
164
165  2. New expansion items $config_file, $config_dir, containing the file
166     and directory name of the main configuration file. Also $exim_version.
167
168  3. New "malware=" support for Avast.
169
170  4. New "spam=" variant option for Rspamd.
171
172  5. Assorted options on malware= and spam= scanners.
173
174  6. A command-line option to write a comment into the logfile.
175
176  7. If built with EXPERIMENTAL_SOCKS feature enabled, the smtp transport can
177     be configured to make connections via socks5 proxies.
178
179  8. If built with EXPERIMENTAL_INTERNATIONAL, support is included for
180     the transmission of UTF-8 envelope addresses.
181
182  9. If built with EXPERIMENTAL_INTERNATIONAL, an expansion item for a commonly
183     used encoding of Maildir folder names.
184
185 10. A logging option for slow DNS lookups.
186
187 11. New ${env {<variable>}} expansion.
188
189 12. A non-SMTP authenticator using information from TLS client certificates.
190
191 13. Main option "tls_eccurve" for selecting an Elliptic Curve for TLS.
192     Patch originally by Wolfgang Breyha.
193
194 14. Main option "dns_trust_aa" for trusting your local nameserver at the
195     same level as DNSSEC.
196
197
198 Version 4.85
199 ------------
200
201  1. If built with EXPERIMENTAL_DANE feature enabled, Exim will follow the
202     DANE SMTP draft to assess a secure chain of trust of the certificate
203     used to establish the TLS connection based on a TLSA record in the
204     domain of the sender.
205
206  2. The EXPERIMENTAL_TPDA feature has been renamed to EXPERIMENTAL_EVENT
207     and several new events have been created. The reason is because it has
208     been expanded beyond just firing events during the transport phase. Any
209     existing TPDA transport options will have to be rewritten to use a new
210     $event_name expansion variable in a condition. Refer to the
211     experimental-spec.txt for details and examples.
212
213  3. The EXPERIMENTAL_CERTNAMES features is an enhancement to verify that
214     server certs used for TLS match the result of the MX lookup. It does
215     not use the same mechanism as DANE.
216
217
218 Version 4.84
219 ------------
220
221
222 Version 4.83
223 ------------
224
225  1. If built with the EXPERIMENTAL_PROXY feature enabled, Exim can be
226     configured to expect an initial header from a proxy that will make the
227     actual external source IP:host be used in exim instead of the IP of the
228     proxy that is connecting to it.
229
230  2. New verify option header_names_ascii, which will check to make sure
231     there are no non-ASCII characters in header names.  Exim itself handles
232     those non-ASCII characters, but downstream apps may not, so Exim can
233     detect and reject if those characters are present.
234
235  3. New expansion operator ${utf8clean:string} to replace malformed UTF8
236     codepoints with valid ones.
237
238  4. New malware type "sock".  Talks over a Unix or TCP socket, sending one
239     command line and matching a regex against the return data for trigger
240     and a second regex to extract malware_name.  The mail spoolfile name can
241     be included in the command line.
242
243  5. The smtp transport now supports options "tls_verify_hosts" and
244     "tls_try_verify_hosts".  If either is set the certificate verification
245     is split from the encryption operation. The default remains that a failed
246     verification cancels the encryption.
247
248  6. New SERVERS override of default ldap server list.  In the ACLs, an ldap
249     lookup can now set a list of servers to use that is different from the
250     default list.
251
252  7. New command-line option -C for exiqgrep to specify alternate exim.conf
253     file when searching the queue.
254
255  8. OCSP now supports GnuTLS also, if you have version 3.1.3 or later of that.
256
257  9. Support for DNSSEC on outbound connections.
258
259 10. New variables "tls_(in,out)_(our,peer)cert" and expansion item
260     "certextract" to extract fields from them. Hash operators md5 and sha1
261     work over them for generating fingerprints, and a new sha256 operator
262     for them added.
263
264 11. PRDR is now supported dy default.
265
266 12. OCSP stapling is now supported by default.
267
268 13. If built with the EXPERIMENTAL_DSN feature enabled, Exim will output
269     Delivery Status Notification messages in MIME format, and negotiate
270     DSN features per RFC 3461.
271
272
273 Version 4.82
274 ------------
275
276  1. New command-line option -bI:sieve will list all supported sieve extensions
277     of this Exim build on standard output, one per line.
278     ManageSieve (RFC 5804) providers managing scripts for use by Exim should
279     query this to establish the correct list to include in the protocol's
280     SIEVE capability line.
281
282  2. If the -n option is combined with the -bP option, then the name of an
283     emitted option is not output, only the value (if visible to you).
284     For instance, "exim -n -bP pid_file_path" should just emit a pathname
285     followed by a newline, and no other text.
286
287  3. When built with SUPPORT_TLS and USE_GNUTLS, the SMTP transport driver now
288     has a "tls_dh_min_bits" option, to set the minimum acceptable number of
289     bits in the Diffie-Hellman prime offered by a server (in DH ciphersuites)
290     acceptable for security.  (Option accepted but ignored if using OpenSSL).
291     Defaults to 1024, the old value.  May be lowered only to 512, or raised as
292     far as you like.  Raising this may hinder TLS interoperability with other
293     sites and is not currently recommended.  Lowering this will permit you to
294     establish a TLS session which is not as secure as you might like.
295
296     Unless you really know what you are doing, leave it alone.
297
298  4. If not built with DISABLE_DNSSEC, Exim now has the main option
299     dns_dnssec_ok; if set to 1 then Exim will initialise the resolver library
300     to send the DO flag to your recursive resolver.  If you have a recursive
301     resolver, which can set the Authenticated Data (AD) flag in results, Exim
302     can now detect this.  Exim does not perform validation itself, instead
303     relying upon a trusted path to the resolver.
304
305     Current status: work-in-progress; $sender_host_dnssec variable added.
306
307  5. DSCP support for outbound connections: on a transport using the smtp driver,
308     set "dscp = ef", for instance, to cause the connections to have the relevant
309     DSCP (IPv4 TOS or IPv6 TCLASS) value in the header.
310
311     Similarly for inbound connections, there is a new control modifier, dscp,
312     so "warn control = dscp/ef" in the connect ACL, or after authentication.
313
314     Supported values depend upon system libraries.  "exim -bI:dscp" to list the
315     ones Exim knows of.  You can also set a raw number 0..0x3F.
316
317  6. The -G command-line flag is no longer ignored; it is now equivalent to an
318     ACL setting "control = suppress_local_fixups".  The -L command-line flag
319     is now accepted and forces use of syslog, with the provided tag as the
320     process name.  A few other flags used by Sendmail are now accepted and
321     ignored.
322
323  7. New cutthrough routing feature.  Requested by a "control = cutthrough_delivery"
324     ACL modifier; works for single-recipient mails which are received on and
325     deliverable via SMTP.  Using the connection made for a recipient verify,
326     if requested before the verify, or a new one made for the purpose while
327     the inbound connection is still active.  The bulk of the mail item is copied
328     direct from the inbound socket to the outbound (as well as the spool file).
329     When the source notifies the end of data, the data acceptance by the destination
330     is negotiated before the acceptance is sent to the source.  If the destination
331     does not accept the mail item, for example due to content-scanning, the item
332     is not accepted from the source and therefore there is no need to generate
333     a bounce mail.  This is of benefit when providing a secondary-MX service.
334     The downside is that delays are under the control of the ultimate destination
335     system not your own.
336
337     The Received-by: header on items delivered by cutthrough is generated
338     early in reception rather than at the end; this will affect any timestamp
339     included.  The log line showing delivery is recorded before that showing
340     reception; it uses a new ">>" tag instead of "=>".
341
342     To support the feature, verify-callout connections can now use ESMTP and TLS.
343     The usual smtp transport options are honoured, plus a (new, default everything)
344     hosts_verify_avoid_tls.
345
346     New variable families named tls_in_cipher, tls_out_cipher etc. are introduced
347     for specific access to the information for each connection.  The old names
348     are present for now but deprecated.
349
350     Not yet supported: IGNOREQUOTA, SIZE, PIPELINING.
351
352  8. New expansion operators ${listnamed:name} to get the content of a named list
353     and ${listcount:string} to count the items in a list.
354
355  9. New global option "gnutls_allow_auto_pkcs11", defaults false.  The GnuTLS
356     rewrite in 4.80 combines with GnuTLS 2.12.0 or later, to autoload PKCS11
357     modules.  For some situations this is desirable, but we expect admin in
358     those situations to know they want the feature.  More commonly, it means
359     that GUI user modules get loaded and are broken by the setuid Exim being
360     unable to access files specified in environment variables and passed
361     through, thus breakage.  So we explicitly inhibit the PKCS11 initialisation
362     unless this new option is set.
363
364     Some older OS's with earlier versions of GnuTLS might not have pkcs11 ability,
365     so have also added a build option which can be used to build Exim with GnuTLS
366     but without trying to use any kind of PKCS11 support.  Uncomment this in the
367     Local/Makefile:
368
369     AVOID_GNUTLS_PKCS11=yes
370
371 10. The "acl = name" condition on an ACL now supports optional arguments.
372     New expansion item "${acl {name}{arg}...}" and expansion condition
373     "acl {{name}{arg}...}" are added.  In all cases up to nine arguments
374     can be used, appearing in $acl_arg1 to $acl_arg9 for the called ACL.
375     Variable $acl_narg contains the number of arguments.  If the ACL sets
376     a "message =" value this becomes the result of the expansion item,
377     or the value of $value for the expansion condition.  If the ACL returns
378     accept the expansion condition is true; if reject, false.  A defer
379     return results in a forced fail.
380
381 11. Routers and transports can now have multiple headers_add and headers_remove
382     option lines.  The concatenated list is used.
383
384 12. New ACL modifier "remove_header" can remove headers before message gets
385     handled by routers/transports.
386
387 13. New dnsdb lookup pseudo-type "a+".  A sequence of "a6" (if configured),
388     "aaaa" and "a" lookups is done and the full set of results returned.
389
390 14. New expansion variable $headers_added with content from ACL add_header
391     modifier (but not yet added to message).
392
393 15. New 8bitmime status logging option for received messages.  Log field "M8S".
394
395 16. New authenticated_sender logging option, adding to log field "A".
396
397 17. New expansion variables $router_name and $transport_name.  Useful
398     particularly for debug_print as -bt command-line option does not
399     require privilege whereas -d does.
400
401 18. If built with EXPERIMENTAL_PRDR, per-recipient data responses per a
402     proposed extension to SMTP from Eric Hall.
403
404 19. The pipe transport has gained the force_command option, to allow
405     decorating commands from user .forward pipe aliases with prefix
406     wrappers, for instance.
407
408 20. Callout connections can now AUTH; the same controls as normal delivery
409     connections apply.
410
411 21. Support for DMARC, using opendmarc libs, can be enabled. It adds new
412     options: dmarc_forensic_sender, dmarc_history_file, and dmarc_tld_file.
413     It adds new expansion variables $dmarc_ar_header, $dmarc_status,
414     $dmarc_status_text, and $dmarc_used_domain.  It adds a new acl modifier
415     dmarc_status.  It adds new control flags dmarc_disable_verify and
416     dmarc_enable_forensic. The default for the dmarc_tld_file option is
417     "/etc/exim/opendmarc.tlds" and can be changed via EDITME.
418
419 22. Add expansion variable $authenticated_fail_id, which is the username
420     provided to the authentication method which failed.  It is available
421     for use in subsequent ACL processing (typically quit or notquit ACLs).
422
423 23. New ACL modifier "udpsend" can construct a UDP packet to send to a given
424     UDP host and port.
425
426 24. New ${hexquote:..string..} expansion operator converts non-printable
427     characters in the string to \xNN form.
428
429 25. Experimental TPDA (Transport Post Delivery Action) function added.
430     Patch provided by Axel Rau.
431
432 26. Experimental Redis lookup added. Patch provided by Warren Baker.
433
434
435 Version 4.80
436 ------------
437
438  1. New authenticator driver, "gsasl".  Server-only (at present).
439     This is a SASL interface, licensed under GPL, which can be found at
440     http://www.gnu.org/software/gsasl/.
441     This system does not provide sources of data for authentication, so
442     careful use needs to be made of the conditions in Exim.
443
444  2. New authenticator driver, "heimdal_gssapi".  Server-only.
445     A replacement for using cyrus_sasl with Heimdal, now that $KRB5_KTNAME
446     is no longer honoured for setuid programs by Heimdal.  Use the
447     "server_keytab" option to point to the keytab.
448
449  3. The "pkg-config" system can now be used when building Exim to reference
450     cflags and library information for lookups and authenticators, rather
451     than having to update "CFLAGS", "AUTH_LIBS", "LOOKUP_INCLUDE" and
452     "LOOKUP_LIBS" directly.  Similarly for handling the TLS library support
453     without adjusting "TLS_INCLUDE" and "TLS_LIBS".
454
455     In addition, setting PCRE_CONFIG=yes will query the pcre-config tool to
456     find the headers and libraries for PCRE.
457
458  4. New expansion variable $tls_bits.
459
460  5. New lookup type, "dbmjz".  Key is an Exim list, the elements of which will
461     be joined together with ASCII NUL characters to construct the key to pass
462     into the DBM library.  Can be used with gsasl to access sasldb2 files as
463     used by Cyrus SASL.
464
465  6. OpenSSL now supports TLS1.1 and TLS1.2 with OpenSSL 1.0.1.
466
467     Avoid release 1.0.1a if you can.  Note that the default value of
468     "openssl_options" is no longer "+dont_insert_empty_fragments", as that
469     increased susceptibility to attack.  This may still have interoperability
470     implications for very old clients (see version 4.31 change 37) but
471     administrators can choose to make the trade-off themselves and restore
472     compatibility at the cost of session security.
473
474  7. Use of the new expansion variable $tls_sni in the main configuration option
475     tls_certificate will cause Exim to re-expand the option, if the client
476     sends the TLS Server Name Indication extension, to permit choosing a
477     different certificate; tls_privatekey will also be re-expanded.  You must
478     still set these options to expand to valid files when $tls_sni is not set.
479
480     The SMTP Transport has gained the option tls_sni, which will set a hostname
481     for outbound TLS sessions, and set $tls_sni too.
482
483     A new log_selector, +tls_sni, has been added, to log received SNI values
484     for Exim as a server.
485
486  8. The existing "accept_8bitmime" option now defaults to true.  This means
487     that Exim is deliberately not strictly RFC compliant.  We're following
488     Dan Bernstein's advice in http://cr.yp.to/smtp/8bitmime.html by default.
489     Those who disagree, or know that they are talking to mail servers that,
490     even today, are not 8-bit clean, need to turn off this option.
491
492  9. Exim can now be started with -bw (with an optional timeout, given as
493     -bw<timespec>).  With this, stdin at startup is a socket that is
494     already listening for connections.  This has a more modern name of
495     "socket activation", but forcing the activated socket to fd 0.  We're
496     interested in adding more support for modern variants.
497
498 10. ${eval } now uses 64-bit values on supporting platforms.  A new "G" suffix
499     for numbers indicates multiplication by 1024^3.
500
501 11. The GnuTLS support has been revamped; the three options gnutls_require_kx,
502     gnutls_require_mac & gnutls_require_protocols are no longer supported.
503     tls_require_ciphers is now parsed by gnutls_priority_init(3) as a priority
504     string, documentation for which is at:
505     http://www.gnutls.org/manual/html_node/Priority-Strings.html
506
507     SNI support has been added to Exim's GnuTLS integration too.
508
509     For sufficiently recent GnuTLS libraries, ${randint:..} will now use
510     gnutls_rnd(), asking for GNUTLS_RND_NONCE level randomness.
511
512 12. With OpenSSL, if built with EXPERIMENTAL_OCSP, a new option tls_ocsp_file
513     is now available.  If the contents of the file are valid, then Exim will
514     send that back in response to a TLS status request; this is OCSP Stapling.
515     Exim will not maintain the contents of the file in any way: administrators
516     are responsible for ensuring that it is up-to-date.
517
518     See "experimental-spec.txt" for more details.
519
520 13. ${lookup dnsdb{ }} supports now SPF record types. They are handled
521     identically to TXT record lookups.
522
523 14. New expansion variable $tod_epoch_l for higher-precision time.
524
525 15. New global option tls_dh_max_bits, defaulting to current value of NSS
526     hard-coded limit of DH ephemeral bits, to fix interop problems caused by
527     GnuTLS 2.12 library recommending a bit count higher than NSS supports.
528
529 16. tls_dhparam now used by both OpenSSL and GnuTLS, can be path or identifier.
530     Option can now be a path or an identifier for a standard prime.
531     If unset, we use the DH prime from section 2.2 of RFC 5114, "ike23".
532     Set to "historic" to get the old GnuTLS behaviour of auto-generated DH
533     primes.
534
535 17. SSLv2 now disabled by default in OpenSSL.  (Never supported by GnuTLS).
536     Use "openssl_options -no_sslv2" to re-enable support, if your OpenSSL
537     install was not built with OPENSSL_NO_SSL2 ("no-ssl2").
538
539
540 Version 4.77
541 ------------
542
543  1. New options for the ratelimit ACL condition: /count= and /unique=.
544     The /noupdate option has been replaced by a /readonly option.
545
546  2. The SMTP transport's protocol option may now be set to "smtps", to
547     use SSL-on-connect outbound.
548
549  3. New variable $av_failed, set true if the AV scanner deferred; ie, when
550     there is a problem talking to the AV scanner, or the AV scanner running.
551
552  4. New expansion conditions, "inlist" and "inlisti", which take simple lists
553     and check if the search item is a member of the list.  This does not
554     support named lists, but does subject the list part to string expansion.
555
556  5. Unless the new EXPAND_LISTMATCH_RHS build option is set when Exim was
557     built, Exim no longer performs string expansion on the second string of
558     the match_* expansion conditions: "match_address", "match_domain",
559     "match_ip" & "match_local_part".  Named lists can still be used.
560
561
562 Version 4.76
563 ------------
564
565  1. The global option "dns_use_edns0" may be set to coerce EDNS0 usage on
566     or off in the resolver library.
567
568
569 Version 4.75
570 ------------
571
572  1. In addition to the existing LDAP and LDAP/SSL ("ldaps") support, there
573     is now LDAP/TLS support, given sufficiently modern OpenLDAP client
574     libraries.  The following global options have been added in support of
575     this: ldap_ca_cert_dir, ldap_ca_cert_file, ldap_cert_file, ldap_cert_key,
576     ldap_cipher_suite, ldap_require_cert, ldap_start_tls.
577
578  2. The pipe transport now takes a boolean option, "freeze_signal", default
579     false.  When true, if the external delivery command exits on a signal then
580     Exim will freeze the message in the queue, instead of generating a bounce.
581
582  3. Log filenames may now use %M as an escape, instead of %D (still available).
583     The %M pattern expands to yyyymm, providing month-level resolution.
584
585  4. The $message_linecount variable is now updated for the maildir_tag option,
586     in the same way as $message_size, to reflect the real number of lines,
587     including any header additions or removals from transport.
588
589  5. When contacting a pool of SpamAssassin servers configured in spamd_address,
590     Exim now selects entries randomly, to better scale in a cluster setup.
591
592
593 Version 4.74
594 ------------
595
596  1. SECURITY FIX: privilege escalation flaw fixed. On Linux (and only Linux)
597     the flaw permitted the Exim run-time user to cause root to append to
598     arbitrary files of the attacker's choosing, with the content based
599     on content supplied by the attacker.
600
601  2. Exim now supports loading some lookup types at run-time, using your
602     platform's dlopen() functionality.  This has limited platform support
603     and the intention is not to support every variant, it's limited to
604     dlopen().  This permits the main Exim binary to not be linked against
605     all the libraries needed for all the lookup types.
606
607
608 Version 4.73
609 ------------
610
611  NOTE: this version is not guaranteed backwards-compatible, please read the
612        items below carefully
613
614  1. A new main configuration option, "openssl_options", is available if Exim
615     is built with SSL support provided by OpenSSL.  The option allows
616     administrators to specify OpenSSL options to be used on connections;
617     typically this is to set bug compatibility features which the OpenSSL
618     developers have not enabled by default.  There may be security
619     consequences for certain options, so these should not be changed
620     frivolously.
621
622  2. A new pipe transport option, "permit_coredumps", may help with problem
623     diagnosis in some scenarios.  Note that Exim is typically installed as
624     a setuid binary, which on most OSes will inhibit coredumps by default,
625     so that safety mechanism would have to be overridden for this option to
626     be able to take effect.
627
628  3. ClamAV 0.95 is now required for ClamAV support in Exim, unless
629     Local/Makefile sets: WITH_OLD_CLAMAV_STREAM=yes
630     Note that this switches Exim to use a new API ("INSTREAM") and a future
631     release of ClamAV will remove support for the old API ("STREAM").
632
633     The av_scanner option, when set to "clamd", now takes an optional third
634     part, "local", which causes Exim to pass a filename to ClamAV instead of
635     the file content.  This is the same behaviour as when clamd is pointed at
636     a Unix-domain socket.  For example:
637
638       av_scanner = clamd:192.0.2.3 1234:local
639
640     ClamAV's ExtendedDetectionInfo response format is now handled.
641
642  4. There is now a -bmalware option, restricted to admin users.  This option
643     takes one parameter, a filename, and scans that file with Exim's
644     malware-scanning framework.  This is intended purely as a debugging aid
645     to ensure that Exim's scanning is working, not to replace other tools.
646     Note that the ACL framework is not invoked, so if av_scanner references
647     ACL variables without a fallback then this will fail.
648
649  5. There is a new expansion operator, "reverse_ip", which will reverse IP
650     addresses; IPv4 into dotted quad, IPv6 into dotted nibble.  Examples:
651
652       ${reverse_ip:192.0.2.4}
653        -> 4.2.0.192
654       ${reverse_ip:2001:0db8:c42:9:1:abcd:192.0.2.3}
655        -> 3.0.2.0.0.0.0.c.d.c.b.a.1.0.0.0.9.0.0.0.2.4.c.0.8.b.d.0.1.0.0.2
656
657  6. There is a new ACL control called "debug", to enable debug logging.
658     This allows selective logging of certain incoming transactions within
659     production environments, with some care.  It takes two options, "tag"
660     and "opts"; "tag" is included in the filename of the log and "opts"
661     is used as per the -d<options> command-line option.  Examples, which
662     don't all make sense in all contexts:
663
664       control = debug
665       control = debug/tag=.$sender_host_address
666       control = debug/opts=+expand+acl
667       control = debug/tag=.$message_exim_id/opts=+expand
668
669  7. It has always been implicit in the design and the documentation that
670     "the Exim user" is not root.  src/EDITME said that using root was
671     "very strongly discouraged".  This is not enough to keep people from
672     shooting themselves in the foot in days when many don't configure Exim
673     themselves but via package build managers.  The security consequences of
674     running various bits of network code are severe if there should be bugs in
675     them.  As such, the Exim user may no longer be root.  If configured
676     statically, Exim will refuse to build.  If configured as ref:user then Exim
677     will exit shortly after start-up.  If you must shoot yourself in the foot,
678     then henceforth you will have to maintain your own local patches to strip
679     the safeties off.
680
681  8. There is a new expansion condition, bool_lax{}.  Where bool{} uses the ACL
682     condition logic to determine truth/failure and will fail to expand many
683     strings, bool_lax{} uses the router condition logic, where most strings
684     do evaluate true.
685     Note: bool{00} is false, bool_lax{00} is true.
686
687  9. Routers now support multiple "condition" tests.
688
689 10. There is now a runtime configuration option "tcp_wrappers_daemon_name".
690     Setting this allows an admin to define which entry in the tcpwrappers
691     config file will be used to control access to the daemon.  This option
692     is only available when Exim is built with USE_TCP_WRAPPERS.  The
693     default value is set at build time using the TCP_WRAPPERS_DAEMON_NAME
694     build option.
695
696 11. [POSSIBLE CONFIG BREAKAGE] The default value for system_filter_user is now
697     the Exim run-time user, instead of root.
698
699 12. [POSSIBLE CONFIG BREAKAGE] ALT_CONFIG_ROOT_ONLY is no longer optional and
700     is forced on.  This is mitigated by the new build option
701     TRUSTED_CONFIG_LIST which defines a list of configuration files which
702     are trusted; one per line. If a config file is owned by root and matches
703     a pathname in the list, then it may be invoked by the Exim build-time
704     user without Exim relinquishing root privileges.
705
706 13. [POSSIBLE CONFIG BREAKAGE] The Exim user is no longer automatically
707     trusted to supply -D<Macro[=Value]> overrides on the command-line.  Going
708     forward, we recommend using TRUSTED_CONFIG_LIST with shim configs that
709     include the main config.  As a transition mechanism, we are temporarily
710     providing a work-around: the new build option WHITELIST_D_MACROS provides
711     a colon-separated list of macro names which may be overridden by the Exim
712     run-time user.  The values of these macros are constrained to the regex
713     ^[A-Za-z0-9_/.-]*$ (which explicitly does allow for empty values).
714
715
716 Version 4.72
717 ------------
718
719  1. TWO SECURITY FIXES: one relating to mail-spools which are globally
720     writable, the other to locking of MBX folders (not mbox).
721
722  2. MySQL stored procedures are now supported.
723
724  3. The dkim_domain transport option is now a list, not a single string, and
725     messages will be signed for each element in the list (discarding
726     duplicates).
727
728  4. The 4.70 release unexpectedly changed the behaviour of dnsdb TXT lookups
729     in the presence of multiple character strings within the RR. Prior to 4.70,
730     only the first string would be returned.  The dnsdb lookup now, by default,
731     preserves the pre-4.70 semantics, but also now takes an extended output
732     separator specification.  The separator can be followed by a semicolon, to
733     concatenate the individual text strings together with no join character,
734     or by a comma and a second separator character, in which case the text
735     strings within a TXT record are joined on that second character.
736     Administrators are reminded that DNS provides no ordering guarantees
737     between multiple records in an RRset.  For example:
738
739       foo.example.  IN TXT "a" "b" "c"
740       foo.example.  IN TXT "d" "e" "f"
741
742       ${lookup dnsdb{>/ txt=foo.example}}   -> "a/d"
743       ${lookup dnsdb{>/; txt=foo.example}}  -> "def/abc"
744       ${lookup dnsdb{>/,+ txt=foo.example}} -> "a+b+c/d+e+f"
745
746
747 Version 4.70 / 4.71
748 -------------------
749
750  1. Native DKIM support without an external library.
751     (Note that if no action to prevent it is taken, a straight upgrade will
752     result in DKIM verification of all signed incoming emails.  See spec
753     for details on conditionally disabling)
754
755  2. Experimental DCC support via dccifd (contributed by Wolfgang Breyha).
756
757  3. There is now a bool{} expansion condition which maps certain strings to
758     true/false condition values (most likely of use in conjunction with the
759     and{} expansion operator).
760
761  4. The $spam_score, $spam_bar and $spam_report variables are now available
762     at delivery time.
763
764  5. exim -bP now supports "macros", "macro_list" or "macro MACRO_NAME" as
765     options, provided that Exim is invoked by an admin_user.
766
767  6. There is a new option gnutls_compat_mode, when linked against GnuTLS,
768     which increases compatibility with older clients at the cost of decreased
769     security.  Don't set this unless you need to support such clients.
770
771  7. There is a new expansion operator, ${randint:...} which will produce a
772     "random" number less than the supplied integer.  This randomness is
773     not guaranteed to be cryptographically strong, but depending upon how
774     Exim was built may be better than the most naive schemes.
775
776  8. Exim now explicitly ensures that SHA256 is available when linked against
777     OpenSSL.
778
779  9. The transport_filter_timeout option now applies to SMTP transports too.
780
781
782 Version 4.69
783 ------------
784
785  1. Preliminary DKIM support in Experimental.
786
787
788 Version 4.68
789 ------------
790
791  1. The body_linecount and body_zerocount C variables are now exported in the
792     local_scan API.
793
794  2. When a dnslists lookup succeeds, the key that was looked up is now placed
795     in $dnslist_matched. When the key is an IP address, it is not reversed in
796     this variable (though it is, of course, in the actual lookup). In simple
797     cases, for example:
798
799       deny dnslists = spamhaus.example
800
801     the key is also available in another variable (in this case,
802     $sender_host_address). In more complicated cases, however, this is not
803     true. For example, using a data lookup might generate a dnslists lookup
804     like this:
805
806       deny dnslists = spamhaus.example/<|192.168.1.2|192.168.6.7|...
807
808     If this condition succeeds, the value in $dnslist_matched might be
809     192.168.6.7 (for example).
810
811  3. Authenticators now have a client_condition option. When Exim is running as
812     a client, it skips an authenticator whose client_condition expansion yields
813     "0", "no", or "false". This can be used, for example, to skip plain text
814     authenticators when the connection is not encrypted by a setting such as:
815
816       client_condition = ${if !eq{$tls_cipher}{}}
817
818     Note that the 4.67 documentation states that $tls_cipher contains the
819     cipher used for incoming messages. In fact, during SMTP delivery, it
820     contains the cipher used for the delivery. The same is true for
821     $tls_peerdn.
822
823  4. There is now a -Mvc <message-id> option, which outputs a copy of the
824     message to the standard output, in RFC 2822 format. The option can be used
825     only by an admin user.
826
827  5. There is now a /noupdate option for the ratelimit ACL condition. It
828     computes the rate and checks the limit as normal, but it does not update
829     the saved data. This means that, in relevant ACLs, it is possible to lookup
830     the existence of a specified (or auto-generated) ratelimit key without
831     incrementing the ratelimit counter for that key.
832
833     In order for this to be useful, another ACL entry must set the rate
834     for the same key somewhere (otherwise it will always be zero).
835
836     Example:
837
838     acl_check_connect:
839       # Read the rate; if it doesn't exist or is below the maximum
840       # we update it below
841       deny ratelimit = 100 / 5m / strict / noupdate
842            log_message = RATE: $sender_rate / $sender_rate_period \
843                          (max $sender_rate_limit)
844
845       [... some other logic and tests...]
846
847       warn ratelimit = 100 / 5m / strict / per_cmd
848            log_message = RATE UPDATE: $sender_rate / $sender_rate_period \
849                          (max $sender_rate_limit)
850            condition = ${if le{$sender_rate}{$sender_rate_limit}}
851
852       accept
853
854  6. The variable $max_received_linelength contains the number of bytes in the
855     longest line that was received as part of the message, not counting the
856     line termination character(s).
857
858  7. Host lists can now include +ignore_defer and +include_defer, analagous to
859     +ignore_unknown and +include_unknown. These options should be used with
860     care, probably only in non-critical host lists such as whitelists.
861
862  8. There's a new option called queue_only_load_latch, which defaults true.
863     If set false when queue_only_load is greater than zero, Exim re-evaluates
864     the load for each incoming message in an SMTP session. Otherwise, once one
865     message is queued, the remainder are also.
866
867  9. There is a new ACL, specified by acl_smtp_notquit, which is run in most
868     cases when an SMTP session ends without sending QUIT. However, when Exim
869     itself is is bad trouble, such as being unable to write to its log files,
870     this ACL is not run, because it might try to do things (such as write to
871     log files) that make the situation even worse.
872
873     Like the QUIT ACL, this new ACL is provided to make it possible to gather
874     statistics. Whatever it returns (accept or deny) is immaterial. The "delay"
875     modifier is forbidden in this ACL.
876
877     When the NOTQUIT ACL is running, the variable $smtp_notquit_reason is set
878     to a string that indicates the reason for the termination of the SMTP
879     connection. The possible values are:
880
881       acl-drop                 Another ACL issued a "drop" command
882       bad-commands             Too many unknown or non-mail commands
883       command-timeout          Timeout while reading SMTP commands
884       connection-lost          The SMTP connection has been lost
885       data-timeout             Timeout while reading message data
886       local-scan-error         The local_scan() function crashed
887       local-scan-timeout       The local_scan() function timed out
888       signal-exit              SIGTERM or SIGINT
889       synchronization-error    SMTP synchronization error
890       tls-failed               TLS failed to start
891
892     In most cases when an SMTP connection is closed without having received
893     QUIT, Exim sends an SMTP response message before actually closing the
894     connection. With the exception of acl-drop, the default message can be
895     overridden by the "message" modifier in the NOTQUIT ACL. In the case of a
896     "drop" verb in another ACL, it is the message from the other ACL that is
897     used.
898
899 10. For MySQL and PostgreSQL lookups, it is now possible to specify a list of
900     servers with individual queries. This is done by starting the query with
901     "servers=x:y:z;", where each item in the list may take one of two forms:
902
903     (1) If it is just a host name, the appropriate global option (mysql_servers
904         or pgsql_servers) is searched for a host of the same name, and the
905         remaining parameters (database, user, password) are taken from there.
906
907     (2) If it contains any slashes, it is taken as a complete parameter set.
908
909     The list of servers is used in exactly the same was as the global list.
910     Once a connection to a server has happened and a query has been
911     successfully executed, processing of the lookup ceases.
912
913     This feature is intended for use in master/slave situations where updates
914     are occurring, and one wants to update a master rather than a slave. If the
915     masters are in the list for reading, you might have:
916
917       mysql_servers = slave1/db/name/pw:slave2/db/name/pw:master/db/name/pw
918
919     In an updating lookup, you could then write
920
921       ${lookup mysql{servers=master; UPDATE ...}
922
923     If, on the other hand, the master is not to be used for reading lookups:
924
925       pgsql_servers = slave1/db/name/pw:slave2/db/name/pw
926
927     you can still update the master by
928
929       ${lookup pgsql{servers=master/db/name/pw; UPDATE ...}
930
931 11. The message_body_newlines option (default FALSE, for backwards
932     compatibility) can be used to control whether newlines are present in
933     $message_body and $message_body_end. If it is FALSE, they are replaced by
934     spaces.
935
936
937 Version 4.67
938 ------------
939
940  1. There is a new log selector called smtp_no_mail, which is not included in
941     the default setting. When it is set, a line is written to the main log
942     whenever an accepted SMTP connection terminates without having issued a
943     MAIL command.
944
945  2. When an item in a dnslists list is followed by = and & and a list of IP
946     addresses, the behaviour was not clear when the lookup returned more than
947     one IP address. This has been solved by the addition of == and =& for "all"
948     rather than the default "any" matching.
949
950  3. Up till now, the only control over which cipher suites GnuTLS uses has been
951     for the cipher algorithms. New options have been added to allow some of the
952     other parameters to be varied.
953
954  4. There is a new compile-time option called ENABLE_DISABLE_FSYNC. When it is
955     set, Exim compiles a runtime option called disable_fsync.
956
957  5. There is a new variable called $smtp_count_at_connection_start.
958
959  6. There's a new control called no_pipelining.
960
961  7. There are two new variables called $sending_ip_address and $sending_port.
962     These are set whenever an SMTP connection to another host has been set up.
963
964  8. The expansion of the helo_data option in the smtp transport now happens
965     after the connection to the server has been made.
966
967  9. There is a new expansion operator ${rfc2047d: that decodes strings that
968     are encoded as per RFC 2047.
969
970 10. There is a new log selector called "pid", which causes the current process
971     id to be added to every log line, in square brackets, immediately after the
972     time and date.
973
974 11. Exim has been modified so that it flushes SMTP output before implementing
975     a delay in an ACL. It also flushes the output before performing a callout,
976     as this can take a substantial time. These behaviours can be disabled by
977     obeying control = no_delay_flush or control = no_callout_flush,
978     respectively, at some earlier stage of the connection.
979
980 12. There are two new expansion conditions that iterate over a list. They are
981     called forany and forall.
982
983 13. There's a new global option called dsn_from that can be used to vary the
984     contents of From: lines in bounces and other automatically generated
985     messages ("delivery status notifications" - hence the name of the option).
986
987 14. The smtp transport has a new option called hosts_avoid_pipelining.
988
989 15. By default, exigrep does case-insensitive matches. There is now a -I option
990     that makes it case-sensitive.
991
992 16. A number of new features ("addresses", "map", "filter", and "reduce") have
993     been added to string expansions to make it easier to process lists of
994     items, typically addresses.
995
996 17. There's a new ACL modifier called "continue". It does nothing of itself,
997     and processing of the ACL always continues with the next condition or
998     modifier. It is provided so that the side effects of expanding its argument
999     can be used.
1000
1001 18. It is now possible to use newline and other control characters (those with
1002     values less than 32, plus DEL) as separators in lists.
1003
1004 19. The exigrep utility now has a -v option, which inverts the matching
1005     condition.
1006
1007 20. The host_find_failed option in the manualroute router can now be set to
1008     "ignore".
1009
1010
1011 Version 4.66
1012 ------------
1013
1014 No new features were added to 4.66.
1015
1016
1017 Version 4.65
1018 ------------
1019
1020 No new features were added to 4.65.
1021
1022
1023 Version 4.64
1024 ------------
1025
1026  1. ACL variables can now be given arbitrary names, as long as they start with
1027     "acl_c" or "acl_m" (for connection variables and message variables), are at
1028     least six characters long, with the sixth character being either a digit or
1029     an underscore.
1030
1031  2. There is a new ACL modifier called log_reject_target. It makes it possible
1032     to specify which logs are used for messages about ACL rejections.
1033
1034  3. There is a new authenticator called "dovecot". This is an interface to the
1035     authentication facility of the Dovecot POP/IMAP server, which can support a
1036     number of authentication methods.
1037
1038  4. The variable $message_headers_raw provides a concatenation of all the
1039     messages's headers without any decoding. This is in contrast to
1040     $message_headers, which does RFC2047 decoding on the header contents.
1041
1042  5. In a DNS black list, if two domain names, comma-separated, are given, the
1043     second is used first to do an initial check, making use of any IP value
1044     restrictions that are set. If there is a match, the first domain is used,
1045     without any IP value restrictions, to get the TXT record.
1046
1047  6. All authenticators now have a server_condition option.
1048
1049  7. There is a new command-line option called -Mset. It is useful only in
1050     conjunction with -be (that is, when testing string expansions). It must be
1051     followed by a message id; Exim loads the given message from its spool
1052     before doing the expansions.
1053
1054  8. Another similar new command-line option is called -bem. It operates like
1055     -be except that it must be followed by the name of a file that contains a
1056     message.
1057
1058  9. When an address is delayed because of a 4xx response to a RCPT command, it
1059     is now the combination of sender and recipient that is delayed in
1060     subsequent queue runs until its retry time is reached.
1061
1062 10. Unary negation and the bitwise logical operators and, or, xor, not, and
1063     shift, have been added to the eval: and eval10: expansion items.
1064
1065 11. The variables $interface_address and $interface_port have been renamed
1066     as $received_ip_address and $received_port, to make it clear that they
1067     relate to message reception rather than delivery. (The old names remain
1068     available for compatibility.)
1069
1070 12. The "message" modifier can now be used on "accept" and "discard" acl verbs
1071     to vary the message that is sent when an SMTP command is accepted.
1072
1073
1074 Version 4.63
1075 ------------
1076
1077 1. There is a new Boolean option called filter_prepend_home for the redirect
1078    router.
1079
1080 2. There is a new acl, set by acl_not_smtp_start, which is run right at the
1081    start of receiving a non-SMTP message, before any of the message has been
1082    read.
1083
1084 3. When an SMTP error message is specified in a "message" modifier in an ACL,
1085    or in a :fail: or :defer: message in a redirect router, Exim now checks the
1086    start of the message for an SMTP error code.
1087
1088 4. There is a new parameter for LDAP lookups called "referrals", which takes
1089    one of the settings "follow" (the default) or "nofollow".
1090
1091 5. Version 20070721.2 of exipick now included, offering these new options:
1092     --reverse
1093         After all other sorting options have bee processed, reverse order
1094         before displaying messages (-R is synonym).
1095     --random
1096         Randomize order of matching messages before displaying.
1097     --size
1098         Instead of displaying the matching messages, display the sum
1099         of their sizes.
1100     --sort <variable>[,<variable>...]
1101         Before displaying matching messages, sort the messages according to
1102         each messages value for each variable.
1103     --not
1104         Negate the value for every test (returns inverse output from the
1105         same criteria without --not).
1106
1107
1108 Version 4.62
1109 ------------
1110
1111 1. The ${readsocket expansion item now supports Internet domain sockets as well
1112    as Unix domain sockets. If the first argument begins "inet:", it must be of
1113    the form "inet:host:port". The port is mandatory; it may be a number or the
1114    name of a TCP port in /etc/services. The host may be a name, or it may be an
1115    IP address. An ip address may optionally be enclosed in square brackets.
1116    This is best for IPv6 addresses. For example:
1117
1118      ${readsocket{inet:[::1]:1234}{<request data>}...
1119
1120    Only a single host name may be given, but if looking it up yield more than
1121    one IP address, they are each tried in turn until a connection is made. Once
1122    a connection has been made, the behaviour is as for ${readsocket with a Unix
1123    domain socket.
1124
1125 2. If a redirect router sets up file or pipe deliveries for more than one
1126    incoming address, and the relevant transport has batch_max set greater than
1127    one, a batch delivery now occurs.
1128
1129 3. The appendfile transport has a new option called maildirfolder_create_regex.
1130    Its value is a regular expression. For a maildir delivery, this is matched
1131    against the maildir directory; if it matches, Exim ensures that a
1132    maildirfolder file is created alongside the new, cur, and tmp directories.
1133
1134
1135 Version 4.61
1136 ------------
1137
1138 The documentation is up-to-date for the 4.61 release. Major new features since
1139 the 4.60 release are:
1140
1141 . An option called disable_ipv6, to disable the use of IPv6 completely.
1142
1143 . An increase in the number of ACL variables to 20 of each type.
1144
1145 . A change to use $auth1, $auth2, and $auth3 in authenticators instead of $1,
1146   $2, $3, (though those are still set) because the numeric variables get used
1147   for other things in complicated expansions.
1148
1149 . The default for rfc1413_query_timeout has been changed from 30s to 5s.
1150
1151 . It is possible to use setclassresources() on some BSD OS to control the
1152   resources used in pipe deliveries.
1153
1154 . A new ACL modifier called add_header, which can be used with any verb.
1155
1156 . More errors are detectable in retry rules.
1157
1158 There are a number of other additions too.
1159
1160
1161 Version 4.60
1162 ------------
1163
1164 The documentation is up-to-date for the 4.60 release. Major new features since
1165 the 4.50 release are:
1166
1167 . Support for SQLite.
1168
1169 . Support for IGNOREQUOTA in LMTP.
1170
1171 . Extensions to the "submission mode" features.
1172
1173 . Support for Client SMTP Authorization (CSA).
1174
1175 . Support for ratelimiting hosts and users.
1176
1177 . New expansion items to help with the BATV "prvs" scheme.
1178
1179 . A "match_ip" condition, that matches an IP address against a list.
1180
1181 There are many more minor changes.
1182
1183 ****