Fix testcase for 984702 - the buffer boundary was deliberately
being explored by the test

More care with time types

Fix udpsend and ip_connectedsocket().

The ip_connectedsocket() function's socket type support and error
reporting did not work properly.

Tidy up OpenSSL certificate signature & sig_algorithm extractor results.
Bug 1489

Compiler quietening

Ensure output buffer big enough for DSN additions to MAIL FROM.  Bug 1482

Fix tiny ChangeLog typo

Support service names for tls_on_connect_ports.  Bug 72

Fix doc for $sender_host_dnssec. Bug 1485

Fix no-ssl build

Fix delivery $host in client authenticator in verify/callout.  Bug 1476

Log warnings on presence of deperecated options

Fix dnssec dnsdb lookup in defer_never mode

Bug 1444: Fix \r\n handling writing spool file

Fix a bug which causes DKIM signatures to fail because what gets
  written to the spool file is different than what gets passed through
  the DKIM code.

Merge tag 'exim-4_82_1'

Fix Conflicts:
src/src/dmarc.c

SECURITY: DMARC uses From header untrusted data

CVE-2014-2957

To find the sending domain, expand_string() was used to directly parse
  the contents of the From header. This passes untrusted data directly
  into an internal function. Convert to use standard internal parsing
  functions.

Increase limit of smtp_confirmation logging from 100 to 256 chars.  Bug 1408

Errorcheck TLS library calls

Restrict certificate name checkin for wildcards.

On more recent OpenSSL library versions the builtin wildcard checking
can take a restriction option that we want, to disallow the more
complex possibilities of wildcarding.

Missing initialiser

Add OpenSSL version check

Add GnuTLS version check

Move OCSP out of EXPERIMENTAL

Compiler quietening.  Bug 907

Bug 1394: Document how to do per host conn limits

Since the max connections per host setting is computed and enforced
  in the master listening process before the fork, there is no easy
  way to get an accurate connection count once the Proxy Protocol
  negotiation has been done (i.e. in a child process, after the
  fork). Rather than try to use a shared mmap file using CAS in the
  children to manipulate it, we just advise of a crude version of
  max connections per IP be achieved by using ratelimit per_conn in
  the connect ACL.

Fix doc for dovecot authenticator.  Bugs 1448, 1483

RFC3461 support - MIME DSN messages.    Bug 118

Eliminate one foolish way to break the build

Add PRDR feature output in -bV

Support optional server certificate name checking.  Bug 1479
Enable EXPERIMENTAL_CERTNAMES to include.

Final tidyout of EXPERIMENTAL_PRDR

Use accessor functions for OpenSSL internal data

General tidying

Tidy certificate verification logic under OpenSSL

Extractors for certificate time fields support integer output modifier

Extractor for named RDN element types from a certificate DN field.

Updated changelog.

Accidentally included the fix for Bug 1119 in the same commit fixing
  Proxy Protocol version 2 to match the API change in May 2014.

Bug 1394: PPv2 header modifed

The HAProxy dev team adjusted the layout of the 16 byte header to allow
  it to be used for SSL connections.  Had to adjust PPv2 handling code
  and perl proxy emulation script.
Added link to this HAProxy commit in the documentation.

Fix cert fingerprint path to deny noncerts

certextract tidying

Add doc notes on verifying self-signing hosts

Update docs for suggested Ident and PRDR settings

Merge branch 'master' of ssh://git.exim.org/home/git/exim

Test suite normalize TLS 1.[12] to TLS1

Move PRDR out of EXPERIMENTAL

Merge branch 'master' of ssh://git.exim.org/home/git/exim

Provide better sprintf debug output for callers

Propagate dnssec status from dnslookup router through transport to tpda

Fix pair of buffer size errors.  Bug 1478

Reported-by: David Binderman

New expansion operator sha256 for certificates.  Bug 1170

More testcase serialization

Compiler quietening and testcase consistency
Fix an unterminated comment from 018058b

Remove extraneous debug

Make $tls_out_ocsp visible to TPDA (mostly testsuite)

Certificate-related routines only present when TLS is supported

Enable operator md5 and sha1 use on certificate variables.  Bug 1170

OCSP observability: variables $tls_{in,out}_ocsp
and smtp transport option hosts_request_ocsp

Refactor tls_client_init interface

Extractors for subject-alternate-name, ocsp-uri, crl-uri return list.  Bug 1358

Fix build with OpenSSL on earlier versions.

Centos 6.5 and earlier had a build fail with GENERAL_NAME etc. undefined.
Just include the file defining it even if it's a duplicate on later versions.

More debug output

Restore testsuite operation on earlier GnuTLS libraries

Typo

Restore testsuite operation on earlier GnuTLS libraries

Certificate variables and field-extractor expansions.  Bug 1358

Support dnssec in verify-callout use of smtp transport.
Use of dnslookup router support is already present.

Cancel in-progress or reject requeted cutthrough when fakereject.  Bug 1475

Merge branch 'master' of ssh://git.exim.org/home/git/exim

Bug 1454: Option -oMm for message reference

Includes docs and test suite

Add options dnssec_request_domains, dnssec_require_domains to the smtp transport

Note there are no testsuite cases included.

TODO in this area:
- dnssec during verify-callouts
- dnssec on the forward lookup of a verify=helo and verify=reverse_host_lookup

Support OCSP Stapling under GnuTLS.  Bug 1459
Requires GnuTLS version 3.1.3 or later.
Under EXPERIMENTAL_OCSP

Dnssec observability: add variable $lookup_dnssec_authenticated

Fix typo in markup.  Add .new/.wen.

Bug 609: Add -C option to exiqgrep

Option is a passthrough to the exim process that it spawns that
  generates the queue list.

Fixed Conflicts:
doc/doc-txt/ChangeLog

dnssec_strict, _lax, _never modifiers for dnsdb lookups

Lacking testsuite coverage

Bug 1453: Add SERVERS ldap server list override

Merge branch 'master' of git://git.exim.org/exim

Make --verbose propogate to html generation script

Merge remote-tracking branch 'github/pr/13'

(exiqgrep -a support)

exiqgrep: add -a to use all recipients (including delivered)

Updated GnuTLS error messages

Fix testcase "server missing/empty certificate file"

GnuTLS early versions (pre 3.0.0 ?) fail to send a reasonable
client-cert request when tls_verify_certificates is an empty file.
Since the test is for missing *server* certs (tls_certificate)
avoid this by pointing to a real (if non-verifying) cert in
tls_verify_certificates.

Fix DISABLE_DNSSEC build

Bad syntax possibly only affected some compilers.

Make testcase more robust vs. timing variations
by restricting operations and logging to fewer items of interest

Restore testsuite operation under gnuTLS 2.8.5

Update testsuite for gnuTLS 3.1.23

Add options dnssec_request_domains, dnssec_require_domains to the dnslookup router

Note there are no testsuite cases included.

TODO in this area:
- dnssec during verify-callouts
- dnssec during dnsdb expansions
- dnssec on the forward lookup of a verify=helo and verify=reverse_host_lookup
- observability of status of requested dnssec

Fix handling of $tls_cipher et.al. in (non-verify) transport.  Bug 1455

The split of these variables into _in and _out sets introduced by d9b231
in 4.82 was incomplete, leaving the deprecated legacy variables nonfunctional
during a transport and associated client authenticator.

Fix by repointing the legacy set to the outbound connection set at
transport startup (and do not clear out the inbound set at this
time, either).

Copyright year updates:

vim $(git whatchanged --since=2014-01-01 | grep '^:100' | sed 's/^[^M]*M//' | sort -u | fgrep -v test/)

Fix Proxy Protocol v2 handling

Change recv() to not use MSGPEEK and eliminated flush_input().
Add proxy_target_address/port expansions.
Convert ipv6 decoding to memmove().
Use sizeof() for variable sizing.
Correct struct member access.
Enhance debug output when passed invalid command/family.
Add to and enhance documentation.
Client script to test Proxy Protocol, interactive on STDIN/STDOUT,
  so can be chained (ie a swaks pipe), useful for any service, not
  just Exim and/or smtp.

Fix logging of nomail

When built with TLS support, non-TLS connections not resulting in mail transfer were crashing while
building a log line.  Fix by not returning a non-extensible string from the routine added in 67d81c1.

Bail configuration on missing package

If we're configured to use pkg-config (or pcre-config) and the tool is
not available or does not know about the package we ask for, that should
be a fatal configuration error.

We should not silently ignore the missing package, then try to compile,
and have missing header warnings from the compiler.  Eg, if we're told
to support GSASL, we'll try to compile the client code, and without
compiler flags, we'll either fail to compile (missing headers) or fail
to link, which obscures the source of the errors.

This change will only break people who had builds set to have Exim
depend upon non-existent packages, and that _needs_ to break.

Report OpenSSL build date too.

Adjust `-d -bV` output for OpenSSL to include library build date.

Some OS packagers have backported heartbleed security fixes without
changing anything in the reported version number.  The closest we can
get to a reassuring sign for administrators is to report the OpenSSL
library build date, as picked by the library which Exim is using at run
time.

```
Library version: OpenSSL: Compile: OpenSSL 1.0.1g 7 Apr 2014
                          Runtime: OpenSSL 1.0.1g 7 Apr 2014
                                 : built on: Mon Apr  7 15:08:30 PDT 2014
```

For comparison, the version information for OpenSSL on Ubuntu (where
Exim is by default built with GnuTLS, but this provides for context for
comparison):

```
$ openssl version -v -b
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
```

GnuTLS: the closest I can find to a runtime value is the call we are
already making; if an OS vendor patches GnuTLS without changing the
version which would be returned by `gnutls_check_version(NULL)` then the
sysadmin is SOL and will have to explore library linkages more
carefully.

Make dmarc code c89 compliant

Add back deprecated SPF error conditions

Previous patch introduced a change that could break existing SPF
  configurations.  Add back the two non-standard "err_temp" and
  "err_perm" result values, with note that it is deprecated and
  will be removed in a future release.

Add expansion for DMARC policy

New variable is $dmarc_domain_policy

Merge branch 'master' of ssh://git.exim.org/home/git/exim

Fixed Conflicts:
doc/doc-txt/ChangeLog

De-duplicate two documentation sections

Update ${utf8clean }.  Bug 1401

Fix build for update on library component.

When, eg, the smtp transport is changed the transports library must be rebuilt.
Fix the main makefile to not assume that the date on the library .a is sufficient,
but always call the library subdir makefiles.

More care with headers add/remove lists.  Bug 1452
As a side-effect, playing games with newlines no longer gives an altered message body/

Testcase 0324 is questionable (though passing)