vhost-local.m4: Hide the footer line.

base.m4: Be extra persistent when trying to deliver mail to the relay.

base.m4: Accept bad synchronization from `submission' clients.

Alas, Thunderbird is an offender, and this prevents it from using
`STARTTLS', which is a much worse outcome.

base.m4: Accept bad `HELO' hosts from `submission' clients.

config.m4: Don't deploy the Lets Encrypt certificate on submission.

config.m4: Present a LetsEncrypt certificate to external clients.

base.m4, config.m4: Make the certificate list tweakable in config.

base.m4: Neither accept nor transmit messages with long lines over SMTP.

This is an upstream bug: https://bugs.exim.org/show_bug.cgi?id=1684

base.m4: Fix indentation of some ACL configuration.

base.m4: Explicitly disable the `CHUNKING' extension.

See https://lists.exim.org/lurker/message/20171125.034842.d1d75cac.en.html

Debian disables this extension by default, but be explicit about it for
now.

base.m4: Re-enable RFC1413 (ident) requests.

This got turned off in 4.86.  Turn it back on.

config.m4: Fix the `acceptable' ciphers list.

Replace `+NORMAL' with the explicit algorithm class wildcards (except
for compression, which I leave turned off).  This completely broke TLS
negotiation for outside senders. :-(

config.m4: Fiddle with the ciphersuite settings.

Enable the fancy elliptic curve toys, AEAD schemes, and general
djbishness.  Also, take an interest in the ordering of ciphers in the
`acceptable' list.

config.m4: Use correct IPv6 address for national to permit relaying.

Bungled in 2f2fc64da4fd3e3edb06589a5e7dd0f3e958a40b :-(

lists.m4, exchange.m4: Check for bogus addresses when doing DNS lookups.

Inspired by Chris Siebenmann's `How not to set up your DNS' series; see
https://utcc.utoronto.ca/~cks/space/blog/__Index.

config.m4: Include national as a valid relay host.

config.m4: Use correct VPN address for chiark.

lists.m4: Preparation for switch to A&A.

vhost-local.m4: Fix missing newline.

I left a trap for myself: the extra-stuff argument to the
`USER_SPAMLIMIT_ROUTERS' macro wants a trailing newline (and tab);
otherwise the following material ends up following without a line break.

This went badly wrong: a `condition = ' line was extended with extra
material causing it to always match!  Fortunately little harm was
actually done.

vhost-local.m4: New hack for delivery to system users via vhosts.

I decided that `final' is awful.  Now there is a new `sysusers' option
which uses a separate forward file (which can usefully be symlinked to
one's `forward.suffix' if one is careful).

user-spam.m4: Fix indentation in the output.

exim-spam-limit.userv: Include the recommended spam-limit service file.

spam.m4: Include a full path to the Userv client.

Exim clobbers its environment nowadays, so it can't find things with a
PATH search.

user-spam.m4: Don't doubly-quote the Userv service-user name.

The `SPAMLIMIT_USERV' macro is going to do that for us.

base.m4: Be slacker about DH lengths.

Reduce the minimum size for general outbound SMTP to about 512 bits,
because (a) any DH is better than none, and (b) Exim will defer rather
than switching to plaintext if the receiving SMTP advertises STARTTLS.

Also introduce new transports with lower limits, and be consistent about
actually undershooting the advertised limit by four bits.

base.m4: Add an `auth=...' note to the Received header if we're relaying.

I'd previously resisted doing this, because the full `AUTH=...' notes
I'm passing around look a lot like email addresses and this might
subvert attempts to use extension addresses or the odin forwarder.  But
it seems a shame to lose this information.

Compromise: report the sender, as a bare user-name, only if the
domain-part is us.  This will, at worst, repeat the user name from the
sending MTA, which told us what it was either as the origin for a local
sender, or the authenticated user name from SMTP authentication or
identd (for submission to localhost).

base.m4: Quote the `auth=...' name, in case it has bad characters.

As a matter of local policy, user names don't in fact contain bad
characters, but it seems good to be careful anyway.

base.m4: Pass on authenticated sender properly in `smtp_local'.

  * Use the new `$acl_m_user' variable to identify the sender, if it's
    set; otherwise use the existing authenticated-sender.

  * Force setting `AUTH=...' to the next hop even though we haven't
    explicitly authenticated.  (Actually, we have, using a TLS client
    certificate, but that doesn't seem to count for pushing `AUTH=...'.)

auth.m4: Report the message's authenticated sender at `DATA' time.

This leaves a handy dropping in the log file which allows us to
associate message queue ids with authenticated users.

base.m4, auth.m4: Track a per-message authenticated user.

If we're relaying mail, and believing `AUTH=...' notes on `MAIL' lines,
then (a) we might be given several messages during a session, and (b)
they will in general have different `AUTH=...' notes, or none at all.
If we want to report the authenticated sender of a message, then, it's
important to track this information separately for each message.

Therefore, introduce `$acl_m_user', as a per-message counterpart to
`$acl_c_user'.  It gets set the same as `$acl_c_user' for non-SMTP
messages (where there can only be one) and after we've just checked a
submitter, in `mail_auth_check'; but it also gets set from
`$authenticated_sender' in the `mailauth' ACL.

auth.m4: Fix whitespace bogosity in `mailauth' ACL.

divmap.m4, spam.m4: Rename `data-spam' diversion to `data-hooks'.

spam.m4, user-spam.m4: Log details about spam rejections for users.

  * When we notice a delivery to a user during recipient verification,
    take a note of the user's name in the `user' field of the
    address_data.

  * In the `rcpt_spam' ACL, pick the user name out of the address_data
    and remember it and the corresponding recipient address (in a rather
    unpleasantly escaped form) along with the others in the variable
    `$acl_m_spam_users'.

  * Finally, in `data_spam', if we end up rejecting the message, log a
    message with the condensed SpamAssassin report, and the user names
    and matching recipient addresses.

This leaves, in the rejectlog, enough information for a service to tell
which rejection reports apply to a calling user, and tell them about the
message.  We should be able to pick the sender address and the headers
from the usual rejection report, but we don't want to leak the other
envelope recipient addresses.  (The user would have seen the /header/
recipients had we not rejected the message as being spam; but the
envelope may contain Bcc recipients or other interesting secrets.)

spam.m4: Hoist the spam-report formatting to before the rejection.

We're going to want this report either way.

spam.m4: Capture extracting a field from `$address_data' in a macro.

This makes things a little easier to read anyway, and we're going to be
doing this more soon.

satellite.m4: Fix newlines around the `alias' router options.

Makefile: Set config options from mode-specific make variables.

Use this to set `sysdomains' for the `srv' mode; now we don't need
`nosysdomains.m4' any more.

defs.m4: Fix `generated' warnings.

  * Refer to the correct sources.  Somehow they managed to be different
    between the top and tail warnings.

  * Mention which server mode the file was generated for.

Updates for CVE-2016-1531.

  * Leave the environment clear, but do this explicitly because
    otherwise Exim moans constantly.  I think that we don't need
    environment variables propagated from anywhere, so this is OK.

  * Use absolute paths when checking configuration files during the
    build.

user-spam.m4: Look up spam limit for lots of recipient.

If the envelope recipient has been changed by forwarding or aliasing
then look up a spam limit using all of the recipient addresses
available to us at the time.

This is particularly important for users of forwarding services such
as that provided by `odin.gg'.

spam.m4, user-spam.m4 (COMPATIBILITY): Don't split out prefix/suffix.

Don't pass the local-part prefix and suffix as separate items to the
spam-limit lookups.  This doesn't affect the plain file lookup, but it
does change the userv interface, which nobody is currently using.

base.m4: Slacken off local submission processing some more.

We're already allowing arbitrary envelope senders.  Now don't clobber
the `Sender' header.

lists.m4: Jaguar has a proper certificate now.

Add warning headers directly.

This means we have to stop renaming them.  But if we don't do this then
we can't test the headers in the spam filter.

defs.m4: Remove spurious initial space.

config.m4: Allow relaying by chiark over the VPN.

exchange.m4: Rename X-Distorted-... headers in messages from outside.

They're quite possibly misleading.  I don't think there's much harm
which can be done by adding extra X-Distorted-Warning headers, but
certainly we don't want anyone confusing things by adding their own
X-Distorted-SpamAssassin-... headers.  (That won't affect the server's
assessment of spamminess in any obvious way, but the purpose of the
header is to give user filters something to act on, so it's important
that they use the true header rather than the wrong one.)

Delay ACL header edits until transport time.

Don't use the `add_header' ACL control any more.  Instead, just
accumulate the desired header additions and removals in variables, and
apply them at transport time.

This way, the headers we see in the message are the unmodified ones, as
the message was originally given to us.  We can therefore apply header
/removals/ (which aren't allowed in ACLs, so have to be delayed to
routing/transport time) coherently, without the risk of clobbering
the headers we've added ourselves.

defs.m4: RENAME_HEADERS_ADD doesn't need separators.

Indeed, everything works much better if we agree to terminate header
lines with a newline rather than separate them.

Add config variable for the ...-Distorted-... token in headers.

defs.m4, local.m4: Abstract out machinery for header-renaming lists.

We're going to be renaming some more headers soon...

spam.m4: Rename X-SpamAssassin-* headers to X-Distorted-SpamAssassin-*.

This makes them less confusing because other mailservers attach their
own SpamAssassin reports.

base.m4: Only get picky about HELO hostnames from external servers.

base.m4: Allow arbitrary claimed envelope and header senders.

Give up on checking claimed sender addresses.

I'm told that it's more hassle than its worth.  I can track down
forgeries sufficiently well by staring at Received headers and staring
at logs.

Allow satellite hosts to do alias processing.

  * Do smarthost relaying after alias processing, by adding a new
    diversion for it, rather than reusing the `routers/remote'
    diversion.

  * Move alias processing to `base.m4', and include a new diversion for
    additional options.

  * Have `satellite.m4' attach a `domains' condition to the alias
    processing, so that we only do this for more-or-less local
    addresses.

lists.m4: Carve out the administratively anomalous hosts from +allnets.

Now jaguar and richmond can send us mail without a complete disaster
ensuing.

local.m4: Rename headers with special significance to Dovecot.

defs.m4: New macros for inserting separators into lists.

defs.m4: Fix commentary, and add missing descriptions.

Makefile: Include satellite rewrite rule in service-host configurations.

Locally-directed mail will need to go to the main hub, and we'll have to
trim off the local hostname to make that happen.

exchange.m4, lists.m4: Standard routing for `service=no' domains.

Domains listed in `domains.conf' with `service = false' or similar get
the standard routing arrangements, and aren't subject to virtual-host
processing.

Makefile: New configuration flavour for service-only mailservers.

base.m4: Exim wants `::0' rather than `::' as the magic IPv6 wildcard.

config.m4, exchange.m4, lists.m4: Allow optout from serving main domain.

This is useful for hosts which provide external mail service for
special subdomains, but don't provide service for local users.

Makefile, spam.m4, user-spam.m4: Put user limit config in its own file.

base.m4, config.m4: Define `trusted_users'.

Merge branch 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config

* 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config:
  README: Add a bunch of technical documentation.

README: Add a bunch of technical documentation.

Merge branch 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config

* 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config:
  base.m4: New `senders' entry in `domains.conf'.
  base.m4: Missing subsection name.
  spam.m4: No, we can't check domains in the DATA ACL.
  spam.m4: Allow virtual domains to opt out of spam checking.

base.m4: Use certlists including the issuer, rather than bare certificates.

These work better with DANE TLSA records, coming soon.  (Maybe.)

base.m4: New `senders' entry in `domains.conf'.

This is a get-out-of-gaol card for sending domains too badly
misconfigured to manage a valid DNS A or MX record.

base.m4: Missing subsection name.

spam.m4: No, we can't check domains in the DATA ACL.

Whoops.  We've been deferring for a while.  This is quite bad.

spam.m4: Allow virtual domains to opt out of spam checking.

base.m4: `helo.conf' entries are `;'-separated.

vhost.m4: Configurable spam limit in virtual hosts.

spam.m4: Refactor routers with macros.

Split the big router into two separate ones.  Arrange that routers don't
set a spam limit if there's already one set (so the first one wins!).

config.m4, spam.m4: Hack in configurable Userv options.

Mainly useful so that you can say `--spoof-user Debian-exim' when
testing.

spam.m4: The ${run ...} expansion doesn't do PATH lookup.

So we must do this ourselves.

spam.m4: Quote the arguments to the Userv service properly.

The Exim specification lies about how ${run ...} works.  We have to fix
this in post-production.

base.m4: Overhaul the relay-permission check.

Don't provide public service to all domains in `domains.conf': check the
`service' property to see whether it should be allowed.

New file `auth-sender.conf' lists extra allowed senders for users.

This is an escape hatch I'm not using yet.

base.m4: Check that the ident daemon actually gave us an answer.

base.m4: Simplify the bare `smtp' router.

It's no longer generated with the `SMTP_TRANS_DHBITS' macro.  Since it's
only used when the recipient domain is unknown, the various tunable
parameters are never actually tuned.

This has another happy effect: it bodges around Exim bug #1413.

base.m4, vhost.m4: Very hacky DH field-size limitation.

We can't set `tls_dh_min_bits' from an expansion.  So set up multiple
transports for different thresholds.

auth.m4, base.m4: Client authentication machinery.

If the server knows secrets for authenticating to a remote server, it
can use them.

base.m4: Tweakable TLS parameters in `smtp' transport.

Now we can designate particular hosts as requiring TLS, with proper
certificate checking and maybe client certification.  No SMTP client
authentication yet.

base.m4, exchange.m4: Move TLS tweaks to `base.m4'.

Non-hub hosts want this so that they can receive mail for local users.

vhost.m4: Use `;' to separate hostnames in `route' entries.

base.m4, exchange.m4: Improve key/value syntax in warnings.

Only just noticed `HELO name=...' which is awful; change to
`helo-name=...'.  Also, kill the separating commas.

auth.m4, base.m4, lists.m4: Allow local submission to port 25.

Extend the current rules for submission to localhost port 25 to all of
the host's local addresses.  The server won't try to talk to itself on
this port, so this is sensible, and there's probably crappy software out
there which assume that it works.

base.m4: Don't report HELO host expicitly.

Exim will report it for us if it's anomalous.  (And we'll add a fearsome
warning banner about it.)

auth.m4, base.m4, exchange.m4: Make sender-address checking universal.

Previously, satellite hosts weren't doing this at all, and usersat hosts
were doing it half-heartedly.  Make sure that everyone does it.

sat-rewrite.m4: On satellite hosts, rewrite ADDR@HOST.distorted.org.uk.

These addresses are simply wrong, but stamping out programs which try to
issue them one by one is too difficult.

divmap.m4, lists.m4, vhost.m4: End-stop for required local parts.

We really want to support `postmaster' and `abuse' (any maybe other
local parts which every domain should have), so send them to the
domain owner if nobody has accepted them already.

This involves moving the end-stop for `final' domains into a separate
router, which is a little strange in its configuration, but it does
the job.

divmap.m4: Move descriptions over by a tab stop.

We have some longer names coming.

vhost.m4: Refactor virtual host routing some more.

Move the does-this-key-exist condition out of the `VHOST' macro and
into `VHOST_FILTER'.  Alas, this means we must repeat the logic for
the `virtual_route' router.  But we can take the opportunity to elide
the unnecessary existence checks for the domain keys we just tested in
the router conditions.

Also, switch the arguments to `VHOST_FILTER' around.  I think they
make more sense like this.

vhost.m4: Rename `route' to `virtual_route'.

The old name was just way too generic.

Change how filtering routers work.

Commit e7b830e7... was overzealous.  In particular, it took the
`alias' router from working.  Take out `verify = false' from the
`FILTER_TRANSPORT' options, and replace this with a macro
`FILTER_ROUTER' which generates a verify/delivery router pair with the
right stuff in.

This change also introduces verification-time processing for
`~/.mail/forward' and `~/.forward' files, since that's easy and
possibly useful.