Doc notes on expansion ordering

[users/jgh/exim.git] / doc / doc-txt / experimental-spec.txt
diff --git a/doc/doc-txt/experimental-spec.txt b/doc/doc-txt/experimental-spec.txt

index 769f0229de03171266cee6c9d47a5e1b60a7afa9..e7a0d06682e95e507edf0d8c376bb1b6788e9a65 100644 (file)
--- a/doc/doc-txt/experimental-spec.txt
+++ b/doc/doc-txt/experimental-spec.txt
@@ -762,8 +762,10 @@ b. Configure, somewhere before the DATA ACL, the control option to
  Transport post-delivery actions
  --------------------------------------------------------------
  
  Transport post-delivery actions
  --------------------------------------------------------------
  
-An arbitrary per-transport string can be expanded on successful delivery,
+An arbitrary per-transport string can be expanded upon various transport events
  and (for SMTP transports) a second string on deferrals caused by a host error.
  and (for SMTP transports) a second string on deferrals caused by a host error.
+Additionally a main-section configuration option can be expanded on some
+per-message events.
  This feature may be used, for example, to write exim internal log information
  (not available otherwise) into a database.
  
  This feature may be used, for example, to write exim internal log information
  (not available otherwise) into a database.
  
@@ -773,18 +775,23 @@ EXPERIMENTAL_TPDA=yes
  
  in your Local/Makefile
  
  
  in your Local/Makefile
  
-and define the tpda_event_action option in the transport, to
-be expanded when the event fires.
+and define one or both of
+- the tpda_event_action option in the transport
+- the delivery_event_action
+to be expanded when the event fires.
  
  A new variable, $tpda_event, is set to the event type when the
  expansion is done.  The current list of events is:
  
  
  A new variable, $tpda_event, is set to the event type when the
  expansion is done.  The current list of events is:
  
-       msg:delivery
-       msg:host:defer
-       tcp:connect
-       tcp:close
-       tls:cert
-       smtp:connect
+       msg:complete            main            per message
+       msg:delivery            transport       per recipient
+       msg:host:defer          transport       per attempt
+       msg:fail:delivery       main            per recipient
+       msg:fail:internal       main            per recipient
+       tcp:connect             transport       per connection
+       tcp:close               transport       per connection
+       tls:cert                transport       per certificate in verification chain
+       smtp:connect            transport       per connection
  
  The expansion is called for all event types, and should use the $tpda_event
  value to decide when to act.  The variable data is a colon-separated
  
  The expansion is called for all event types, and should use the $tpda_event
  value to decide when to act.  The variable data is a colon-separated
@@ -800,7 +807,7 @@ content is event_dependent:
  
  The msg:host:defer event populates one extra variable, $tpda_defer_errno.
  
  
  The msg:host:defer event populates one extra variable, $tpda_defer_errno.
  
-The following variables are likely to be useful for most event types:
+The following variables are likely to be useful depending on the event type:
  
         router_name, transport_name
         local_part, domain
  
         router_name, transport_name
         local_part, domain
@@ -808,6 +815,7 @@ The following variables are likely to be useful for most event types:
         tls_out_peercert
         lookup_dnssec_authenticated, tls_out_dane
         sending_ip_address, sending_port
         tls_out_peercert
         lookup_dnssec_authenticated, tls_out_dane
         sending_ip_address, sending_port
+       message_exim_id
  
  
  An example might look like:
  
  
  An example might look like:
@@ -823,13 +831,10 @@ tpda_event_action = ${if = {msg:delivery}{$tpda_event} \
      '${quote_pgsql:$message_exim_id}')}} \
  } {}}
  
      '${quote_pgsql:$message_exim_id}')}} \
  } {}}
  
-The string is expanded after the delivery completes and any
+The string is expanded for each of the supported events and any
  side-effects will happen.  The result is then discarded.
  Note that for complex operations an ACL expansion can be used.
  
  side-effects will happen.  The result is then discarded.
  Note that for complex operations an ACL expansion can be used.
  
-During the expansion the tpda_event variable will contain the
-string-list "msg:delivery".
-
  
  The expansion of the tpda_event_action option should normally
  return an empty string.  Should it return anything else the
  
  The expansion of the tpda_event_action option should normally
  return an empty string.  Should it return anything else the
@@ -837,6 +842,7 @@ following will be forced:
  
         msg:delivery    (ignored)
         msg:host:defer  (ignored)
  
         msg:delivery    (ignored)
         msg:host:defer  (ignored)
+       msg:fail:delivery (ignored)
         tcp:connect     do not connect
         tcp:close       (ignored)
         tls:cert        refuse verification
         tcp:connect     do not connect
         tcp:close       (ignored)
         tls:cert        refuse verification
@@ -1172,6 +1178,10 @@ admins of the target server.   The attack surface presented
  by (a) is thought to be smaller than that of the set
  of root CAs.
  
  by (a) is thought to be smaller than that of the set
  of root CAs.
  
+It also allows the server to declare (implicitly) that
+connections to it should use TLS.  An MITM could simply
+fail to pass on a server's STARTTLS.
+
  DANE scales better than having to maintain (and
  side-channel communicate) copies of server certificates
  for every possible target server.  It also scales
  DANE scales better than having to maintain (and
  side-channel communicate) copies of server certificates
  for every possible target server.  It also scales
@@ -1196,12 +1206,12 @@ There are no changes to Exim specific to server-side
  operation of DANE.
  
  The TLSA record for the server may have "certificate
  operation of DANE.
  
  The TLSA record for the server may have "certificate
-usage" of DANE_TA(2) or DANE_EE(3).  The latter specifies
+usage" of DANE-TA(2) or DANE-EE(3).  The latter specifies
  the End Entity directly, i.e. the certificate involved
  is that of the server (and should be the sole one transmitted
  during the TLS handshake); this is appropriate for a
  single system, using a self-signed certificate.
  the End Entity directly, i.e. the certificate involved
  is that of the server (and should be the sole one transmitted
  during the TLS handshake); this is appropriate for a
  single system, using a self-signed certificate.
-  DANE_TA usage is effectively declaring a specific CA
+  DANE-TA usage is effectively declaring a specific CA
  to be used; this might be a private CA or a public,
  well-known one.  A private CA at simplest is just
  a self-signed certificate which is used to sign
  to be used; this might be a private CA or a public,
  well-known one.  A private CA at simplest is just
  a self-signed certificate which is used to sign
@@ -1213,7 +1223,7 @@ the entire certificate chain from CA to server-certificate.
  If a public CA is used then all clients must be primed with it
  (losing one advantage of DANE) - but the attack surface is
  reduced from all public CAs to that single CA.
  If a public CA is used then all clients must be primed with it
  (losing one advantage of DANE) - but the attack surface is
  reduced from all public CAs to that single CA.
-DANE_TA is commonly used for several services and/or
+DANE-TA is commonly used for several services and/or
  servers, each having a TLSA query-domain CNAME record,
  all of which point to a single TLSA record.
  
  servers, each having a TLSA query-domain CNAME record,
  all of which point to a single TLSA record.
  
@@ -1230,13 +1240,13 @@ is useful for quickly generating TLSA records; and commands like
  
  are workable for 4th-field hashes.
  
  
  are workable for 4th-field hashes.
  
-For use with the DANE_TA model, server certificates
+For use with the DANE-TA model, server certificates
  must have a correct name (SubjectName or SubjectAltName).
  
  The use of OCSP-stapling should be considered, allowing
  for fast revocation of certificates (which would otherwise
  be limited by the DNS TTL on the TLSA records).  However,
  must have a correct name (SubjectName or SubjectAltName).
  
  The use of OCSP-stapling should be considered, allowing
  for fast revocation of certificates (which would otherwise
  be limited by the DNS TTL on the TLSA records).  However,
-this is likely to only be usable with DANE_TA.  NOTE: the
+this is likely to only be usable with DANE-TA.  NOTE: the
  default of requesting OCSP for all hosts is modified iff
  DANE is in use, to:
  
  default of requesting OCSP for all hosts is modified iff
  DANE is in use, to:
  
@@ -1247,10 +1257,10 @@ DANE is in use, to:
  The (new) variable $tls_out_tlsa_usage is a bitfield with
  numbered bits set for TLSA record usage codes.
  The zero above means DANE was not in use,
  The (new) variable $tls_out_tlsa_usage is a bitfield with
  numbered bits set for TLSA record usage codes.
  The zero above means DANE was not in use,
-the four means that only DANE_TA usage TLSA records were
-found. If the definition of hosts_require_ocsp or
-hosts_request_ocsp includes the string "tls_out_tlsa_usage",
-they are re-expanded in time to control the OCSP request.
+the four means that only DANE-TA usage TLSA records were
+found. If the definition of hosts_request_ocsp includes the
+string "tls_out_tlsa_usage", they are re-expanded in time to
+control the OCSP request.
  
  This modification of hosts_request_ocsp is only done if
  it has the default value of "*".  Admins who change it, and
  
  This modification of hosts_request_ocsp is only done if
  it has the default value of "*".  Admins who change it, and
@@ -1265,9 +1275,15 @@ hosts_try_dane and hosts_require_dane.  They do the obvious thing.
  DANE will only be usable if the target host has DNSSEC-secured
  MX, A and TLSA records.
  
  DANE will only be usable if the target host has DNSSEC-secured
  MX, A and TLSA records.
  
+A TLSA lookup will be done if either of the above options match
+and the host-lookup succeded using dnssec.
+If the TLSA lookup succeeds, a TLS connection will be required
+for the host.
+
  (TODO: specify when fallback happens vs. when the host is not used)
  
  If dane is in use the following transport options are ignored:
  (TODO: specify when fallback happens vs. when the host is not used)
  
  If dane is in use the following transport options are ignored:
+  hosts_require_tls
    tls_verify_hosts
    tls_try_verify_hosts
    tls_verify_certificates
    tls_verify_hosts
    tls_try_verify_hosts
    tls_verify_certificates