Docs: Update text about lazy init

Add generic main config option lazy_init

lazy_init = <string list or "*">

Valid list elements are "tls", and "dkim"

Defer loading crypto strings for DKIM until needed to improve startup time

Add tls_pre_flight_checks main config option

This option controls, if during readonf time we do start a TLS check
in a subprocess. The option defaults to TRUE, for backward
compatibility.

No tests introduced to the testsuite, as exactly the message about
the created child process gets filtered out by the munger of runtest

Docs: Update CVE text about the 4.92.3 release CVE-2019-16928

Testsuite: src/client.c: handle long lines read back from the server

Increase the buffer for reading data back from the server, and read
at least until a '\n' appears in the input.

(cherry picked from commit bb71a66f55c3dd047dd5973c08365a967910f5e1)

Fix buffer overflow in string_vformat.   CVE-2019-16928 Bug 2449

Add CVE announcement

(cherry picked from commit 478effbfd9c3cc5a627fc671d4bf94d13670d65f)
(cherry picked from commit c34650401d2d35a6ec3ba1c1a88d395f77030300)

string.c: do not interpret '\\' before '\0' (CVE-2019-15846)

Add documents about CVE-2019-15846
Add testcase for CVE-2019-15846
Update Changelog
Add Announcements

Update security contact

Add security postings for future reference

Avoid re-expansion in ${sort } CVE-2019-13917 OVE-20190718-0006

(cherry picked from commit 5c887f836e4d8e3f79da1c15565b56b40d9bd0dd)

Fix dkim_verify_signers option.  Bug 2366
Testsuite coverage by jgh.

Broken-by: d342446f29

Docs: clarify quoting for $pipe_addresses

The texinfo output version has single-quotes round a variable,
so the sentence saying "precisely the text" was difficult to
interpret.

Docs: correct spamd port

configure.default: spacing, de-tabbing

Add basic framework for PRDR use with per-user content filters to example config.

Mostly commented-out and with dummy lookups since we do not know what sorts
of filtering may be employed.

(cherry picked from commit b220576b3ba5396af6b3e0f45739f269079f8fc5)

mk_exim_release: tidy

Docs: crossref list-separator changing

Docs: crossref dlfunc API

More checks on header line length during reception

Docs: tweak TLS authenticator chapter

Docs: missing options

Broken-by: b3ef41c94a

Docs: tweak new-drivers chapter

PIPE_CONNECT: fix feature-cache refresh

Docs: clarify logging from filter

Update Changelog for GnuTLS and TLS 1.3 Bug 2359

Fix is in 4896a3192ffac48885347460377edcd893eb9600

GnuTLS: repeat lowlevel read and write operations while they request retry

(cherry picked from commit 06faf21f3a84a3ac4aa4f7b1512087423d8c8541)

mk_exim_release: more perlish

mk_exim_release: integrate signing and checksumming

DKIM: better debug for key/signature size mismatch

OpenSSL: clear any leftover errors from the stack after SSL_accept succeeds

mk_exim_release: output an useful error message when used for older versions

Older releases can't be built with the newer mk_exim_release script,
as there are interdependencies with scripts/reversion and version.sh

Recent commit is thanks to Josh Soref

I managed to drop his name, sorry for that.

Grammar changes in docs

Fix copyright year and exim website URL schema

spelling fixes

Docs: tweaks

Default config: use ROUTER_SMARTHOST macro; document

Work around the `$host` vs CNAME issue for now by re-specifying the
`tls_sni` value on the example `smarthost_smtp` transport, using the
same macro which we use to turn on use of a smarthost.

Uncomment both dnslookup and smarthost routers by default and let the
macro choose between them.

Bring the documentation of the default configuration closer to
up-to-date, on this issue and others which I spotted while in there.

stats_for_email: Do not auto-select the release directory

Re-create test/configure script

Update Changelog for Bug 2351

Log failures to extract envelope addresses from message headers.  Bug 2351

(cherry picked from commit 60c02b350a7d325e64ae0a656cfd37a9fbd162a7)

doc: gsasl: be clearer that server-side only

Fix build with content-scan enabled but all malware types disabled

Fix parsing of option type Kint (integer, stored in K).  Bug 2348

Broken-by: a45431fa71

sign_exim_package: do not auto-select the packages directory

mk_exim_release: rework for dotted release scheme

reversion: Adapt to dotted release scheme

reversion: tidy

Docs: SPF lookup type

Send delay-MDN for any queurun past delay_warning, even if not retry time yet.  Bug 2341

tidying

More debug in smtp transport

Logging: outgoing_port on temporary errors for non-last hosts

Also show nonstandard ports in process info for exiwhat

Harden string-list handling

Testsuite: handle change in GnuTLS cert preference

Testsuite: output changes resulting

Broken-by: a7a1ad1447

GnuTLS: fix build with older libraries

Broken-by: 6aac3239b4

Testsuite: regenerate CA trees with 2048-bit keys

This is to support RHEL 8.0 where OpenSSL dislikes 1024

OpenSSL: fail the handshake when SNI processing hits a problem

TLS: Increase RSA keysize of autogen selfsign cert

Testsuite: switch ciphersuite use

This is to accomodate RHEL 7, where openssl seems to not support ECDHE Kx + CAMELIA
nor any of the CHACHA20s, but does support DHE Kx + CAMELIA.

All we really wanted was something distinguishable from default
(which is commonly ECDHE-RSA-AUE256-GCM-SHA).

Testsuite: ignore OCSP option output; fixes runs on non-OCSP builds

Fix AUTH_GSASL build

Avoid leaving $domain live with bogus info, during server connection startup

Recent efforts to reduce string-copy ops while also avoiding using excessive memory
tripped a check on freeing the still-live variable.  It is unclear why the variable
was set anyway, even though commented.  The use was introduced between Exim 3.36 and 4.0

nit (typo fix; docs)

Fix cyrus-sasl authenticator for $authenticated_fail_id.  Bug 2338

Relabel for commit c0fb53b74e which which had a typo in the commit message.

Fix cyrus-sasl authenticator for $authenticated_fail_id.  Bug 2238

Docs: more on $authenticated_fail_id

Testsuite: document noisy-comment script commands

Docs: add note on manualroute route-lists

Docs: indexing of retry final-cutoff

tidying

Lose more string-copy operations

Fix growable-string sprintf

Broken-by d12746bc15

OpenBSD: bump dns-result buffer to 64kB

This just to take out a difference in testsuite behaviour.  Builds
for memory-constrained devices could legitimately use 16kB.

Recast more internal string routines to use growable-strings

tidying

Docs: Add cross-refs for $h_<name>

Testsuite: account for hostname-dependent output in debug output

Testsuite: fix testcases for /etc/services not having smtps

Docs: add notes on smtps

Testsuite: increase retry time (for really slow test host)

Testsuite: avoid time-quantization issue

Testsuite: avoid time-quantization issue

Testsuite: check for conflicting host name

tidying

Fix build on FreeBSD 11

Testsuite: rework testcases for DSN RCPT options

MacOS: fix build

Broken-by: ee8b809061

Fix mis-merge

Broken-by ee8b809061

Unbreak non-PIPE_CONNECT build

Broken-by: ee8b809061

Squashed commit of PIPE_CONNECT

MacOS: TCP Fast Open

Testsuite: adjust for 64b-int compatability

Testsuite: more detail in dsearch testcase output

Testsuite: ignore TCP Fast Open probe debug output

Increase size of variables for check_spool_space and check_log_space

Avoid trying to talk TLS over a known-closed channel

Testsuite: fix cmdline option for test flavour