Fix for unknown responses from Dovecot authenticator. Fixes: #954

[users/jgh/exim.git] / doc / doc-txt / experimental-spec.txt
diff --git a/doc/doc-txt/experimental-spec.txt b/doc/doc-txt/experimental-spec.txt

index 145fc42daa58ef348924203e40c4d1c3b80dde43..be871d2b955deae9e924486b9fc66a23aed269fa 100644 (file)
--- a/doc/doc-txt/experimental-spec.txt
+++ b/doc/doc-txt/experimental-spec.txt
@@ -1,14 +1,14 @@
-$Cambridge: exim/doc/doc-txt/experimental-spec.txt,v 1.1 2005/01/11 10:51:15 ph10 Exp $
+$Cambridge: exim/doc/doc-txt/experimental-spec.txt,v 1.12 2009/06/11 14:07:57 tom Exp $
  
  
-From time to time, experimental features may be added to Exim. 
-While a feature is experimental, there will be a build-time 
-option whose name starts "EXPERIMENTAL_" that must be set in
-order to include the feature. This file contains information
-about experimenatal features, all of which are unstable and
+From time to time, experimental features may be added to Exim.
+While a feature  is experimental, there  will be a  build-time
+option whose name starts  "EXPERIMENTAL_" that must be  set in
+order to include the  feature. This file contains  information
+about experimenatal  features, all  of which  are unstable and
  liable to incompatibile change.
  
  
  liable to incompatibile change.
  
  
-1. Brighmail AntiSpam (BMI) suppport
+Brightmail AntiSpam (BMI) suppport
  --------------------------------------------------------------
  
  Brightmail  AntiSpam  is  a  commercial  package.  Please  see
  --------------------------------------------------------------
  
  Brightmail  AntiSpam  is  a  commercial  package.  Please  see
@@ -32,14 +32,14 @@ instead  of per-message.  To use  BMI, you  need to  take the
  following steps:
  
    1) Compile Exim with BMI support
  following steps:
  
    1) Compile Exim with BMI support
-  2) Set up main BMI options (top section of exim config file)
+  2) Set up main BMI options (top section of Exim config file)
    3) Set up ACL control statement (ACL section of the config
       file)
    4) Set up your routers to use BMI verdicts (routers section
       of the config file).
    5) (Optional) Set up per-recipient opt-in information.
  
    3) Set up ACL control statement (ACL section of the config
       file)
    4) Set up your routers to use BMI verdicts (routers section
       of the config file).
    5) (Optional) Set up per-recipient opt-in information.
  
-These four steps are explained in more details below. 
+These four steps are explained in more details below.
  
  1) Adding support for BMI at compile time
  
  
  1) Adding support for BMI at compile time
  
@@ -51,16 +51,16 @@ These four steps are explained in more details below.
    with  these lines in Local/Makefile:
  
    EXPERIMENTAL_BRIGHTMAIL=yes
    with  these lines in Local/Makefile:
  
    EXPERIMENTAL_BRIGHTMAIL=yes
-  CFLAGS=-DBRIGHTMAIL -I/path/to/the/dir/with/the/includefile
+  CFLAGS=-I/path/to/the/dir/with/the/includefile
    EXTRALIBS_EXIM=-L/path/to/the/dir/with/the/library -lbmiclient_single
    EXTRALIBS_EXIM=-L/path/to/the/dir/with/the/library -lbmiclient_single
-  
+
    If  you use  other CFLAGS  or EXTRALIBS_EXIM  settings then
    merge the content of these lines with them.
  
    Note for BMI6.x users: You'll also have to add -lxml2_single
    to the EXTRALIBS_EXIM line. Users of 5.5x do not need to  do
    this.
    If  you use  other CFLAGS  or EXTRALIBS_EXIM  settings then
    merge the content of these lines with them.
  
    Note for BMI6.x users: You'll also have to add -lxml2_single
    to the EXTRALIBS_EXIM line. Users of 5.5x do not need to  do
    this.
-  
+
    You    should     also    include     the    location     of
    libbmiclient_single.so in your dynamic linker  configuration
    file   (usually   /etc/ld.so.conf)   and   run    "ldconfig"
    You    should     also    include     the    location     of
    libbmiclient_single.so in your dynamic linker  configuration
    file   (usually   /etc/ld.so.conf)   and   run    "ldconfig"
@@ -68,22 +68,22 @@ These four steps are explained in more details below.
    able to find the library file.
  
  
    able to find the library file.
  
  
-2) Setting up BMI support in the exim main configuration
+2) Setting up BMI support in the Exim main configuration
  
  
-  To enable BMI  support in the  main exim configuration,  you
+  To enable BMI  support in the  main Exim configuration,  you
    should set the path to the main BMI configuration file  with
    the "bmi_config_file" option, like this:
    should set the path to the main BMI configuration file  with
    the "bmi_config_file" option, like this:
-  
+
    bmi_config_file = /opt/brightmail/etc/brightmail.cfg
    bmi_config_file = /opt/brightmail/etc/brightmail.cfg
-  
-  This must go into section 1 of exims configuration file (You
+
+  This must go into section 1 of Exim's configuration file (You
    can  put it  right on  top). If  you omit  this option,  it
    defaults to /opt/brightmail/etc/brightmail.cfg.
  
    Note for BMI6.x users: This  file is in XML format  in V6.xx
    and its  name is  /opt/brightmail/etc/bmiconfig.xml. So  BMI
    6.x users MUST set the bmi_config_file option.
    can  put it  right on  top). If  you omit  this option,  it
    defaults to /opt/brightmail/etc/brightmail.cfg.
  
    Note for BMI6.x users: This  file is in XML format  in V6.xx
    and its  name is  /opt/brightmail/etc/bmiconfig.xml. So  BMI
    6.x users MUST set the bmi_config_file option.
-  
+
  
  3) Set up ACL control statement
  
  
  3) Set up ACL control statement
  
@@ -95,8 +95,8 @@ These four steps are explained in more details below.
    an "accept"  block in  the "acl_check_rcpt"  ACL. You should
    use the "accept" block(s)  that accept messages from  remote
    servers for your own domain(s). Here is an example that uses
    an "accept"  block in  the "acl_check_rcpt"  ACL. You should
    use the "accept" block(s)  that accept messages from  remote
    servers for your own domain(s). Here is an example that uses
-  the "accept" blocks from exims default configuration file:
-  
+  the "accept" blocks from Exim's default configuration file:
+
  
    accept  domains       = +local_domains
            endpass
  
    accept  domains       = +local_domains
            endpass
@@ -107,7 +107,7 @@ These four steps are explained in more details below.
            endpass
            verify        = recipient
            control       = bmi_run
            endpass
            verify        = recipient
            control       = bmi_run
-  
+
    If bmi_run  is not  set in  any ACL  during reception of the
    message, it will NOT be passed to the BMI server.
  
    If bmi_run  is not  set in  any ACL  during reception of the
    message, it will NOT be passed to the BMI server.
  
@@ -118,108 +118,108 @@ These four steps are explained in more details below.
    more "verdicts" are  present. Different recipients  can have
    different verdicts. Each  recipient is treated  individually
    during routing, so you  can query the verdicts  by recipient
    more "verdicts" are  present. Different recipients  can have
    different verdicts. Each  recipient is treated  individually
    during routing, so you  can query the verdicts  by recipient
-  at  that stage.  From Exims  view, a  verdict can  have the
+  at  that stage.  From Exim's  view, a  verdict can  have the
    following outcomes:
    following outcomes:
-  
+
    o deliver the message normally
    o deliver the message to an alternate location
    o do not deliver the message
    o deliver the message normally
    o deliver the message to an alternate location
    o do not deliver the message
-  
+
    To query  the verdict  for a  recipient, the  implementation
    offers the following tools:
    To query  the verdict  for a  recipient, the  implementation
    offers the following tools:
-  
-  
+
+
    - Boolean router  preconditions. These  can be  used in  any
      router. For a simple  implementation of BMI, these  may be
      all  that  you  need.  The  following  preconditions   are
      available:
    - Boolean router  preconditions. These  can be  used in  any
      router. For a simple  implementation of BMI, these  may be
      all  that  you  need.  The  following  preconditions   are
      available:
-    
+
      o bmi_deliver_default
      o bmi_deliver_default
-    
+
        This  precondition  is  TRUE  if  the  verdict  for  the
        recipient is  to deliver  the message  normally. If  the
        message has not been  processed by the BMI  server, this
        variable defaults to TRUE.
        This  precondition  is  TRUE  if  the  verdict  for  the
        recipient is  to deliver  the message  normally. If  the
        message has not been  processed by the BMI  server, this
        variable defaults to TRUE.
-      
+
      o bmi_deliver_alternate
      o bmi_deliver_alternate
-    
+
        This  precondition  is  TRUE  if  the  verdict  for  the
        recipient  is to  deliver the  message to  an alternate
        location.  You  can  get the  location  string  from the
        $bmi_alt_location expansion variable if you need it. See
        further below. If the message has not been processed  by
        the BMI server, this variable defaults to FALSE.
        This  precondition  is  TRUE  if  the  verdict  for  the
        recipient  is to  deliver the  message to  an alternate
        location.  You  can  get the  location  string  from the
        $bmi_alt_location expansion variable if you need it. See
        further below. If the message has not been processed  by
        the BMI server, this variable defaults to FALSE.
-      
+
      o bmi_dont_deliver
      o bmi_dont_deliver
-    
+
        This  precondition  is  TRUE  if  the  verdict  for  the
        recipient  is  NOT  to   deliver  the  message  to   the
        recipient. You will typically use this precondition in a
        top-level blackhole router, like this:
        This  precondition  is  TRUE  if  the  verdict  for  the
        recipient  is  NOT  to   deliver  the  message  to   the
        recipient. You will typically use this precondition in a
        top-level blackhole router, like this:
-      
+
          # don't deliver messages handled by the BMI server
          bmi_blackhole:
            driver = redirect
            bmi_dont_deliver
            data = :blackhole:
          # don't deliver messages handled by the BMI server
          bmi_blackhole:
            driver = redirect
            bmi_dont_deliver
            data = :blackhole:
-      
+
        This router should be on top of all others, so  messages
        that should not be delivered do not reach other  routers
        at all. If   the  message  has  not  been  processed  by
        the  BMI server, this variable defaults to FALSE.
        This router should be on top of all others, so  messages
        that should not be delivered do not reach other  routers
        at all. If   the  message  has  not  been  processed  by
        the  BMI server, this variable defaults to FALSE.
-      
-      
+
+
    - A list router  precondition to query  if rules "fired"  on
      the message for the recipient. Its name is "bmi_rule". You
      use  it  by  passing it  a  colon-separated  list of  rule
      numbers. You can use this condition to route messages that
      matched specific rules. Here is an example:
    - A list router  precondition to query  if rules "fired"  on
      the message for the recipient. Its name is "bmi_rule". You
      use  it  by  passing it  a  colon-separated  list of  rule
      numbers. You can use this condition to route messages that
      matched specific rules. Here is an example:
-    
+
        # special router for BMI rule #5, #8 and #11
        bmi_rule_redirect:
          driver = redirect
          bmi_rule = 5:8:11
          data = postmaster@mydomain.com
        # special router for BMI rule #5, #8 and #11
        bmi_rule_redirect:
          driver = redirect
          bmi_rule = 5:8:11
          data = postmaster@mydomain.com
-      
-  
+
+
    - Expansion variables. Several  expansion variables are  set
      during  routing.  You  can  use  them  in  custom   router
      conditions,  for  example.  The  following  variables  are
      available:
    - Expansion variables. Several  expansion variables are  set
      during  routing.  You  can  use  them  in  custom   router
      conditions,  for  example.  The  following  variables  are
      available:
-    
+
      o $bmi_base64_verdict
      o $bmi_base64_verdict
-    
+
        This variable  will contain  the BASE64  encoded verdict
        for the recipient being routed. You can use it to add  a
        header to messages for tracking purposes, for example:
        This variable  will contain  the BASE64  encoded verdict
        for the recipient being routed. You can use it to add  a
        header to messages for tracking purposes, for example:
-      
+
        localuser:
          driver = accept
          check_local_user
          headers_add = X-Brightmail-Verdict: $bmi_base64_verdict
          transport = local_delivery
        localuser:
          driver = accept
          check_local_user
          headers_add = X-Brightmail-Verdict: $bmi_base64_verdict
          transport = local_delivery
-      
+
        If there is no verdict available for the recipient being
        routed, this variable contains the empty string.
        If there is no verdict available for the recipient being
        routed, this variable contains the empty string.
-    
+
      o $bmi_base64_tracker_verdict
      o $bmi_base64_tracker_verdict
-    
+
        This variable  will contain  a BASE64  encoded subset of
        the  verdict  information  concerning  the  "rules" that
        fired  on the  message. You  can add  this string  to a
        header, commonly named "X-Brightmail-Tracker". Example:
        This variable  will contain  a BASE64  encoded subset of
        the  verdict  information  concerning  the  "rules" that
        fired  on the  message. You  can add  this string  to a
        header, commonly named "X-Brightmail-Tracker". Example:
-      
+
        localuser:
          driver = accept
          check_local_user
          headers_add = X-Brightmail-Tracker: $bmi_base64_tracker_verdict
          transport = local_delivery
        localuser:
          driver = accept
          check_local_user
          headers_add = X-Brightmail-Tracker: $bmi_base64_tracker_verdict
          transport = local_delivery
-        
+
        If there is no verdict available for the recipient being
        routed, this variable contains the empty string.
        If there is no verdict available for the recipient being
        routed, this variable contains the empty string.
-      
+
      o $bmi_alt_location
      o $bmi_alt_location
-    
+
        If  the  verdict  is  to  redirect  the  message  to  an
        alternate  location,  this  variable  will  contain  the
        alternate location string returned by the BMI server. In
        If  the  verdict  is  to  redirect  the  message  to  an
        alternate  location,  this  variable  will  contain  the
        alternate location string returned by the BMI server. In
@@ -228,17 +228,17 @@ These four steps are explained in more details below.
        there is  no verdict  available for  the recipient being
        routed, or if the  message is to be  delivered normally,
        this variable contains the empty string.
        there is  no verdict  available for  the recipient being
        routed, or if the  message is to be  delivered normally,
        this variable contains the empty string.
-      
+
      o $bmi_deliver
      o $bmi_deliver
-    
+
        This is an additional integer variable that can be  used
        to query if the message should be delivered at all.  You
        should use router preconditions instead if possible.
        This is an additional integer variable that can be  used
        to query if the message should be delivered at all.  You
        should use router preconditions instead if possible.
-      
+
        $bmi_deliver is '0': the message should NOT be delivered.
        $bmi_deliver is '1': the message should be delivered.
        $bmi_deliver is '0': the message should NOT be delivered.
        $bmi_deliver is '1': the message should be delivered.
-      
-   
+
+
    IMPORTANT NOTE: Verdict inheritance.
    The  message  is passed  to  the BMI  server  during message
    reception,  using the  target addresses  from the  RCPT TO:
    IMPORTANT NOTE: Verdict inheritance.
    The  message  is passed  to  the BMI  server  during message
    reception,  using the  target addresses  from the  RCPT TO:
@@ -247,8 +247,8 @@ These four steps are explained in more details below.
    inherit the  verdict from  the original  address. This means
    that verdicts also apply to all "child" addresses  generated
    from top-level addresses that were sent to the BMI server.
    inherit the  verdict from  the original  address. This means
    that verdicts also apply to all "child" addresses  generated
    from top-level addresses that were sent to the BMI server.
-  
-  
+
+
  5) Using per-recipient opt-in information (Optional)
  
    The  BMI server  features multiple  scanning "profiles"  for
  5) Using per-recipient opt-in information (Optional)
  
    The  BMI server  features multiple  scanning "profiles"  for
@@ -256,7 +256,7 @@ These four steps are explained in more details below.
    server and are  queried by the  BMI server itself.  However,
    you can also  pass opt-in data  for each recipient  from the
    MTA to the  BMI server. This  is particularly useful  if you
    server and are  queried by the  BMI server itself.  However,
    you can also  pass opt-in data  for each recipient  from the
    MTA to the  BMI server. This  is particularly useful  if you
-  already look  up recipient  data in  exim anyway  (which can
+  already look  up recipient  data in  Exim anyway  (which can
    also be  stored in  a SQL  database or  other source).  This
    implementation enables you  to pass opt-in  data to the  BMI
    server  in  the  RCPT   ACL.  This  works  by   setting  the
    also be  stored in  a SQL  database or  other source).  This
    implementation enables you  to pass opt-in  data to the  BMI
    server  in  the  RCPT   ACL.  This  works  by   setting  the
@@ -268,49 +268,49 @@ These four steps are explained in more details below.
    flag. Here is an example that will pull opt-in data for each
    recipient      from       a      flat       file      called
    '/etc/exim/bmi_optin_data'.
    flag. Here is an example that will pull opt-in data for each
    recipient      from       a      flat       file      called
    '/etc/exim/bmi_optin_data'.
-  
+
    The file format:
    The file format:
-  
+
      user1@mydomain.com: <OPTIN STRING1>:<OPTIN STRING2>
      user2@thatdomain.com: <OPTIN STRING3>
      user1@mydomain.com: <OPTIN STRING1>:<OPTIN STRING2>
      user2@thatdomain.com: <OPTIN STRING3>
-    
-    
+
+
    The example:
    The example:
-  
+
      accept  domains       = +relay_to_domains
              endpass
              verify        = recipient
              bmi_optin     = ${lookup{$local_part@$domain}lsearch{/etc/exim/bmi_optin_data}}
      accept  domains       = +relay_to_domains
              endpass
              verify        = recipient
              bmi_optin     = ${lookup{$local_part@$domain}lsearch{/etc/exim/bmi_optin_data}}
-            control       = bmi_run  
-  
+            control       = bmi_run
+
    Of course,  you can  also use  any other  lookup method that
    Of course,  you can  also use  any other  lookup method that
-  exim supports, including LDAP, Postgres, MySQL, Oracle etc.,
+  Exim supports, including LDAP, Postgres, MySQL, Oracle etc.,
    as long as  the result is  a list of  colon-separated opt-in
    strings.
    as long as  the result is  a list of  colon-separated opt-in
    strings.
-  
+
    For a list of available opt-in strings, please contact  your
    Brightmail representative.
    For a list of available opt-in strings, please contact  your
    Brightmail representative.
-  
-  
  
  
-  
-2. Sender Policy Framework (SPF) support
+
+
+
+Sender Policy Framework (SPF) support
  --------------------------------------------------------------
  
  --------------------------------------------------------------
  
-To learn  more  about  SPF, visit   http://spf.pobox.com. This
+To learn  more  about  SPF, visit   http://www.openspf.org. This
  document does   not explain  the SPF  fundamentals, you should
  read and understand the implications of deploying SPF on  your
  system before doing so.
  
  document does   not explain  the SPF  fundamentals, you should
  read and understand the implications of deploying SPF on  your
  system before doing so.
  
-SPF support is added via the libspf2 library. Visit 
+SPF support is added via the libspf2 library. Visit
  
    http://www.libspf2.org/
  
    http://www.libspf2.org/
-  
+
  to obtain  a copy,  then compile  and install  it. By default,
  this will  put headers  in /usr/local/include  and the  static
  library in /usr/local/lib.
  
  to obtain  a copy,  then compile  and install  it. By default,
  this will  put headers  in /usr/local/include  and the  static
  library in /usr/local/lib.
  
-To compile exim with SPF support, set these additional flags in
+To compile Exim with SPF support, set these additional flags in
  Local/Makefile:
  
  EXPERIMENTAL_SPF=yes
  Local/Makefile:
  
  EXPERIMENTAL_SPF=yes
@@ -350,9 +350,9 @@ which the spf condition should succeed. Valid strings are:
                record of the queried domain. This should be
                treated like "none".
    o err_temp  This indicates a temporary error during all
                record of the queried domain. This should be
                treated like "none".
    o err_temp  This indicates a temporary error during all
-              processing, including exim's SPF processing.
+              processing, including Exim's SPF processing.
                You may defer messages when this occurs.
                You may defer messages when this occurs.
-              
+
  You can prefix each string with an exclamation mark to  invert
  is meaning,  for example  "!fail" will  match all  results but
  "fail".  The  string  list is  evaluated  left-to-right,  in a
  You can prefix each string with an exclamation mark to  invert
  is meaning,  for example  "!fail" will  match all  results but
  "fail".  The  string  list is  evaluated  left-to-right,  in a
@@ -361,11 +361,12 @@ the SPF check, the condition  succeeds. If none of the  listed
  strings matches the  outcome of the  SPF check, the  condition
  fails.
  
  strings matches the  outcome of the  SPF check, the  condition
  fails.
  
-Here is a simple example to fail forgery attempts from domains
-that publish SPF records:
+Here is an example to fail forgery attempts from domains that
+publish SPF records:
  
  /* -----------------
  
  /* -----------------
-deny message = $sender_host_address is not allowed to send mail from $sender_address_domain
+deny message = $sender_host_address is not allowed to send mail from ${if def:sender_address_domain {$sender_address_domain}{$sender_helo_name}}.  \
+              Please see http://www.openspf.org/Why?scope=${if def:sender_address_domain {mfrom}{helo}};identity=${if def:sender_address_domain {$sender_address}{$sender_helo_name}};ip=$sender_host_address
       spf = fail
  --------------------- */
  
       spf = fail
  --------------------- */
  
@@ -391,29 +392,63 @@ variables.
    This contains a human-readable string describing the outcome
    of the SPF check. You can add it to a custom header or use
    it for logging purposes.
    This contains a human-readable string describing the outcome
    of the SPF check. You can add it to a custom header or use
    it for logging purposes.
-  
+
    $spf_received
    $spf_received
-  This contains a complete SPF-Received: header that can be
+  This contains a complete Received-SPF: header that can be
    added to the message. Please note that according to the SPF
    draft, this header must be added at the top of the header
    list. Please see section 10 on how you can do this.
    added to the message. Please note that according to the SPF
    draft, this header must be added at the top of the header
    list. Please see section 10 on how you can do this.
-  
+
+  Note: in case of "Best-guess" (see below), the convention is
+  to put this string in a header called X-SPF-Guess: instead.
+
    $spf_result
    This contains the outcome of the SPF check in string form,
    one of pass, fail, softfail, none, neutral, err_perm or
    err_temp.
    $spf_result
    This contains the outcome of the SPF check in string form,
    one of pass, fail, softfail, none, neutral, err_perm or
    err_temp.
-  
+
    $spf_smtp_comment
    This contains a string that can be used in a SMTP response
    to the calling party. Useful for "fail".
    $spf_smtp_comment
    This contains a string that can be used in a SMTP response
    to the calling party. Useful for "fail".
-  
-  
  
  
-3. SRS (Sender Rewriting Scheme) Support
+In addition to SPF, you can also perform checks for so-called
+"Best-guess".  Strictly speaking, "Best-guess" is not standard
+SPF, but it is supported by the same framework that enables SPF
+capability.  Refer to http://www.openspf.org/FAQ/Best_guess_record
+for a description of what it means.
+
+To access this feature, simply use the spf_guess condition in place
+of the spf one.  For example:
+
+/* -----------------
+deny message = $sender_host_address doesn't look trustworthy to me
+     spf_guess = fail
+--------------------- */
+
+In case you decide to reject messages based on this check, you
+should note that although it uses the same framework, "Best-guess"
+is NOT SPF, and therefore you should not mention SPF at all in your
+reject message.
+
+When the spf_guess condition has run, it sets up the same expansion
+variables as when spf condition is run, described above.
+
+Additionally, since Best-guess is not standarized, you may redefine
+what "Best-guess" means to you by redefining spf_guess variable in
+global config.  For example, the following:
+
+/* -----------------
+spf_guess = v=spf1 a/16 mx/16 ptr ?all
+--------------------- */
+
+would relax host matching rules to a broader network range.
+
+
+SRS (Sender Rewriting Scheme) Support
  --------------------------------------------------------------
  
  Exiscan  currently  includes SRS  support  via Miles  Wilton's
  --------------------------------------------------------------
  
  Exiscan  currently  includes SRS  support  via Miles  Wilton's
-libsrs_alt library. The current version of the supported 
+libsrs_alt library. The current version of the supported
  library is 0.5.
  
  In order to  use SRS, you  must get a  copy of libsrs_alt from
  library is 0.5.
  
  In order to  use SRS, you  must get a  copy of libsrs_alt from