Logging: TCP Fast Open
[users/jgh/exim.git] / doc / doc-txt / NewStuff
1 New Features in Exim
2 --------------------
3
4 This file contains descriptions of new features that have been added to Exim.
5 Before a formal release, there may be quite a lot of detail so that people can
6 test from the snapshots or the Git before the documentation is updated. Once
7 the documentation is updated, this file is reduced to a short list.
8
9 Version 4.90
10 ------------
11
12  1. PKG_CONFIG_PATH can now be set in Local/Makefile;
13     wildcards will be expanded, values are collapsed.
14
15  2. The ${readsocket } expansion now takes an option to not shutdown the
16     connection after sending the query string.  The default remains to do so.
17
18  3. An smtp transport option "hosts_noproxy_tls" to control whether multiple
19     deliveries on a single TCP connection can maintain a TLS connection
20     open.  By default disabled for all hosts, doing so saves the cost of
21     making new TLS sessions, at the cost of having to proxy the data via
22     another process.  Logging is also affected.
23
24  4. A malware connection type for the FPSCAND protocol.
25
26  5. An option for recipient verify callouts to hold the connection open for
27     further recipients and for delivery.
28
29  6. The reproducible build $SOURCE_DATE_EPOCH environment variable is now
30     supported.
31
32  7. Optionally, an alternate format for spool data-files which matches the
33     wire format - meaning more efficient reception and transmission (at the
34     cost of difficulty with standard Unix tools).  Only used for messages
35     received using the ESMTP CHUNKING option, and when a new main-section
36     option "spool_wireformat" (false by default) is set.
37
38  8. New main configuration option "commandline_checks_require_admin" to
39     restrict who can use various introspection options.
40
41  9. New option modifier "no_check" for quota and quota_filecount
42     appendfile transport.
43
44 10. Variable $smtp_command_history returning a comma-sep list of recent
45     SMTP commands.
46
47 11. Millisecond timetamps in logs, on log_selector "millisec".  Also affects
48     log elements QT, DT and D, and timstamps in debug output.
49
50 12. TCP Fast Open logging.  As a server, logs when the SMTP banner was sent
51     while still in SYN_RECV state; as a client logs when the connection
52     is opened with a TFO cookie.
53
54
55 Version 4.89
56 ------------
57
58  1. Allow relative config file names for ".include"
59
60  2. A main-section config option "debug_store" to control the checks on
61     variable locations during store-reset.  Normally false but can be enabled
62     when a memory corrution issue is suspected on a production system.
63
64
65 Version 4.88
66 ------------
67
68  1. The new perl_taintmode option allows to run the embedded perl
69     interpreter in taint mode.
70
71  2. New log_selector: dnssec, adds a "DS" tag to acceptance and delivery lines.
72
73  3. Speculative debugging, via a "kill" option to the "control=debug" ACL
74     modifier.
75
76  4. New expansion item ${sha3:<string>} / ${sha3_<N>:<string>}.
77     N can be 224, 256 (default), 384, 512.
78     With GnuTLS 3.5.0 or later, only.
79
80  5. Facility for named queues:  A command-line argument can specify
81     the queue name for a queue operation, and an ACL modifier can set
82     the queue to be used for a message.  A $queue_name variable gives
83     visibility.
84
85  6. New expansion operators base32/base32d.
86
87  7. The CHUNKING ESMTP extension from RFC 3030.  May give some slight
88     performance increase and network load decrease.  Main config option
89     chunking_advertise_hosts, and smtp transport option hosts_try_chunking
90     for control.
91
92  8. LMDB lookup support, as Experimental. Patch supplied by Andrew Colin Kissa.
93
94  9. Expansion operator escape8bit, like escape but not touching newline etc..
95
96 10. Feature macros, generated from compile options.  All start with "_HAVE_"
97     and go on with some roughly recognisable name.  Driver macros, for
98     router, transport and authentication drivers; names starting with "_DRIVER_".
99     Option macros, for each configuration-file option; all start with "_OPT_".
100     Use the "-bP macros" command-line option to see what is present.
101
102 11. Integer values for options can take a "G" multiplier.
103
104 12. defer=pass option for the ACL control cutthrough_delivery, to reflect 4xx
105     returns from the target back to the initiator, rather than spooling the
106     message.
107
108 13. New built-in constants available for tls_dhparam and default changed.
109
110 14. If built with EXPERIMENTAL_QUEUEFILE, a queuefile transport, for writing
111     out copies of the message spool files for use by 3rd-party scanners.
112
113 15. A new option on the smtp transport, hosts_try_fastopen.  If the system
114     supports it (on Linux it must be enabled in the kernel by the sysadmin)
115     try to use RFC 7413 "TCP Fast Open".  No data is sent on the SYN segment
116     but it permits a peer that also supports the facility to send its SMTP
117     banner immediately after the SYN,ACK segment rather then waiting for
118     another ACK - so saving up to one roundtrip time.  Because it requires
119     previous communication with the peer (we save a cookie from it) this
120     will only become active on frequently-contacted destinations.
121
122 16. A new syslog_pid option to suppress PID duplication in syslog lines.
123
124
125 Version 4.87
126 ------------
127
128  1. The ACL conditions regex and mime_regex now capture substrings
129     into numeric variables $regex1 to 9, like the "match" expansion condition.
130
131  2. New $callout_address variable records the address used for a spam=,
132     malware= or verify= callout.
133
134  3. Transports now take a "max_parallel" option, to limit concurrency.
135
136  4. Expansion operators ${ipv6norm:<string>} and ${ipv6denorm:<string>}.
137     The latter expands to a 8-element colon-sep set of hex digits including
138     leading zeroes. A trailing ipv4-style dotted-decimal set is converted
139     to hex.  Pure ipv4 addresses are converted to IPv4-mapped IPv6.
140     The former operator strips leading zeroes and collapses the longest
141     set of 0-groups to a double-colon.
142
143  5. New "-bP config" support, to dump the effective configuration.
144
145  6. New $dkim_key_length variable.
146
147  7. New base64d and base64 expansion items (the existing str2b64 being a
148     synonym of the latter).  Add support in base64 for certificates.
149
150  8. New main configuration option "bounce_return_linesize_limit" to
151     avoid oversize bodies in bounces. The default value matches RFC
152     limits.
153
154  9. New $initial_cwd expansion variable.
155
156
157 Version 4.86
158 ------------
159
160  1. Support for using the system standard CA bundle.
161
162  2. New expansion items $config_file, $config_dir, containing the file
163     and directory name of the main configuration file. Also $exim_version.
164
165  3. New "malware=" support for Avast.
166
167  4. New "spam=" variant option for Rspamd.
168
169  5. Assorted options on malware= and spam= scanners.
170
171  6. A command-line option to write a comment into the logfile.
172
173  7. If built with EXPERIMENTAL_SOCKS feature enabled, the smtp transport can
174     be configured to make connections via socks5 proxies.
175
176  8. If built with EXPERIMENTAL_INTERNATIONAL, support is included for
177     the transmission of UTF-8 envelope addresses.
178
179  9. If built with EXPERIMENTAL_INTERNATIONAL, an expansion item for a commonly
180     used encoding of Maildir folder names.
181
182 10. A logging option for slow DNS lookups.
183
184 11. New ${env {<variable>}} expansion.
185
186 12. A non-SMTP authenticator using information from TLS client certificates.
187
188 13. Main option "tls_eccurve" for selecting an Elliptic Curve for TLS.
189     Patch originally by Wolfgang Breyha.
190
191 14. Main option "dns_trust_aa" for trusting your local nameserver at the
192     same level as DNSSEC.
193
194
195 Version 4.85
196 ------------
197
198  1. If built with EXPERIMENTAL_DANE feature enabled, Exim will follow the
199     DANE SMTP draft to assess a secure chain of trust of the certificate
200     used to establish the TLS connection based on a TLSA record in the
201     domain of the sender.
202
203  2. The EXPERIMENTAL_TPDA feature has been renamed to EXPERIMENTAL_EVENT
204     and several new events have been created. The reason is because it has
205     been expanded beyond just firing events during the transport phase. Any
206     existing TPDA transport options will have to be rewritten to use a new
207     $event_name expansion variable in a condition. Refer to the
208     experimental-spec.txt for details and examples.
209
210  3. The EXPERIMENTAL_CERTNAMES features is an enhancement to verify that
211     server certs used for TLS match the result of the MX lookup. It does
212     not use the same mechanism as DANE.
213
214
215 Version 4.84
216 ------------
217
218
219 Version 4.83
220 ------------
221
222  1. If built with the EXPERIMENTAL_PROXY feature enabled, Exim can be
223     configured to expect an initial header from a proxy that will make the
224     actual external source IP:host be used in exim instead of the IP of the
225     proxy that is connecting to it.
226
227  2. New verify option header_names_ascii, which will check to make sure
228     there are no non-ASCII characters in header names.  Exim itself handles
229     those non-ASCII characters, but downstream apps may not, so Exim can
230     detect and reject if those characters are present.
231
232  3. New expansion operator ${utf8clean:string} to replace malformed UTF8
233     codepoints with valid ones.
234
235  4. New malware type "sock".  Talks over a Unix or TCP socket, sending one
236     command line and matching a regex against the return data for trigger
237     and a second regex to extract malware_name.  The mail spoolfile name can
238     be included in the command line.
239
240  5. The smtp transport now supports options "tls_verify_hosts" and
241     "tls_try_verify_hosts".  If either is set the certificate verification
242     is split from the encryption operation. The default remains that a failed
243     verification cancels the encryption.
244
245  6. New SERVERS override of default ldap server list.  In the ACLs, an ldap
246     lookup can now set a list of servers to use that is different from the
247     default list.
248
249  7. New command-line option -C for exiqgrep to specify alternate exim.conf
250     file when searching the queue.
251
252  8. OCSP now supports GnuTLS also, if you have version 3.1.3 or later of that.
253
254  9. Support for DNSSEC on outbound connections.
255
256 10. New variables "tls_(in,out)_(our,peer)cert" and expansion item
257     "certextract" to extract fields from them. Hash operators md5 and sha1
258     work over them for generating fingerprints, and a new sha256 operator
259     for them added.
260
261 11. PRDR is now supported dy default.
262
263 12. OCSP stapling is now supported by default.
264
265 13. If built with the EXPERIMENTAL_DSN feature enabled, Exim will output
266     Delivery Status Notification messages in MIME format, and negotiate
267     DSN features per RFC 3461.
268
269
270 Version 4.82
271 ------------
272
273  1. New command-line option -bI:sieve will list all supported sieve extensions
274     of this Exim build on standard output, one per line.
275     ManageSieve (RFC 5804) providers managing scripts for use by Exim should
276     query this to establish the correct list to include in the protocol's
277     SIEVE capability line.
278
279  2. If the -n option is combined with the -bP option, then the name of an
280     emitted option is not output, only the value (if visible to you).
281     For instance, "exim -n -bP pid_file_path" should just emit a pathname
282     followed by a newline, and no other text.
283
284  3. When built with SUPPORT_TLS and USE_GNUTLS, the SMTP transport driver now
285     has a "tls_dh_min_bits" option, to set the minimum acceptable number of
286     bits in the Diffie-Hellman prime offered by a server (in DH ciphersuites)
287     acceptable for security.  (Option accepted but ignored if using OpenSSL).
288     Defaults to 1024, the old value.  May be lowered only to 512, or raised as
289     far as you like.  Raising this may hinder TLS interoperability with other
290     sites and is not currently recommended.  Lowering this will permit you to
291     establish a TLS session which is not as secure as you might like.
292
293     Unless you really know what you are doing, leave it alone.
294
295  4. If not built with DISABLE_DNSSEC, Exim now has the main option
296     dns_dnssec_ok; if set to 1 then Exim will initialise the resolver library
297     to send the DO flag to your recursive resolver.  If you have a recursive
298     resolver, which can set the Authenticated Data (AD) flag in results, Exim
299     can now detect this.  Exim does not perform validation itself, instead
300     relying upon a trusted path to the resolver.
301
302     Current status: work-in-progress; $sender_host_dnssec variable added.
303
304  5. DSCP support for outbound connections: on a transport using the smtp driver,
305     set "dscp = ef", for instance, to cause the connections to have the relevant
306     DSCP (IPv4 TOS or IPv6 TCLASS) value in the header.
307
308     Similarly for inbound connections, there is a new control modifier, dscp,
309     so "warn control = dscp/ef" in the connect ACL, or after authentication.
310
311     Supported values depend upon system libraries.  "exim -bI:dscp" to list the
312     ones Exim knows of.  You can also set a raw number 0..0x3F.
313
314  6. The -G command-line flag is no longer ignored; it is now equivalent to an
315     ACL setting "control = suppress_local_fixups".  The -L command-line flag
316     is now accepted and forces use of syslog, with the provided tag as the
317     process name.  A few other flags used by Sendmail are now accepted and
318     ignored.
319
320  7. New cutthrough routing feature.  Requested by a "control = cutthrough_delivery"
321     ACL modifier; works for single-recipient mails which are received on and
322     deliverable via SMTP.  Using the connection made for a recipient verify,
323     if requested before the verify, or a new one made for the purpose while
324     the inbound connection is still active.  The bulk of the mail item is copied
325     direct from the inbound socket to the outbound (as well as the spool file).
326     When the source notifies the end of data, the data acceptance by the destination
327     is negotiated before the acceptance is sent to the source.  If the destination
328     does not accept the mail item, for example due to content-scanning, the item
329     is not accepted from the source and therefore there is no need to generate
330     a bounce mail.  This is of benefit when providing a secondary-MX service.
331     The downside is that delays are under the control of the ultimate destination
332     system not your own.
333
334     The Received-by: header on items delivered by cutthrough is generated
335     early in reception rather than at the end; this will affect any timestamp
336     included.  The log line showing delivery is recorded before that showing
337     reception; it uses a new ">>" tag instead of "=>".
338
339     To support the feature, verify-callout connections can now use ESMTP and TLS.
340     The usual smtp transport options are honoured, plus a (new, default everything)
341     hosts_verify_avoid_tls.
342
343     New variable families named tls_in_cipher, tls_out_cipher etc. are introduced
344     for specific access to the information for each connection.  The old names
345     are present for now but deprecated.
346
347     Not yet supported: IGNOREQUOTA, SIZE, PIPELINING.
348
349  8. New expansion operators ${listnamed:name} to get the content of a named list
350     and ${listcount:string} to count the items in a list.
351
352  9. New global option "gnutls_allow_auto_pkcs11", defaults false.  The GnuTLS
353     rewrite in 4.80 combines with GnuTLS 2.12.0 or later, to autoload PKCS11
354     modules.  For some situations this is desirable, but we expect admin in
355     those situations to know they want the feature.  More commonly, it means
356     that GUI user modules get loaded and are broken by the setuid Exim being
357     unable to access files specified in environment variables and passed
358     through, thus breakage.  So we explicitly inhibit the PKCS11 initialisation
359     unless this new option is set.
360
361     Some older OS's with earlier versions of GnuTLS might not have pkcs11 ability,
362     so have also added a build option which can be used to build Exim with GnuTLS
363     but without trying to use any kind of PKCS11 support.  Uncomment this in the
364     Local/Makefile:
365
366     AVOID_GNUTLS_PKCS11=yes
367
368 10. The "acl = name" condition on an ACL now supports optional arguments.
369     New expansion item "${acl {name}{arg}...}" and expansion condition
370     "acl {{name}{arg}...}" are added.  In all cases up to nine arguments
371     can be used, appearing in $acl_arg1 to $acl_arg9 for the called ACL.
372     Variable $acl_narg contains the number of arguments.  If the ACL sets
373     a "message =" value this becomes the result of the expansion item,
374     or the value of $value for the expansion condition.  If the ACL returns
375     accept the expansion condition is true; if reject, false.  A defer
376     return results in a forced fail.
377
378 11. Routers and transports can now have multiple headers_add and headers_remove
379     option lines.  The concatenated list is used.
380
381 12. New ACL modifier "remove_header" can remove headers before message gets
382     handled by routers/transports.
383
384 13. New dnsdb lookup pseudo-type "a+".  A sequence of "a6" (if configured),
385     "aaaa" and "a" lookups is done and the full set of results returned.
386
387 14. New expansion variable $headers_added with content from ACL add_header
388     modifier (but not yet added to message).
389
390 15. New 8bitmime status logging option for received messages.  Log field "M8S".
391
392 16. New authenticated_sender logging option, adding to log field "A".
393
394 17. New expansion variables $router_name and $transport_name.  Useful
395     particularly for debug_print as -bt command-line option does not
396     require privilege whereas -d does.
397
398 18. If built with EXPERIMENTAL_PRDR, per-recipient data responses per a
399     proposed extension to SMTP from Eric Hall.
400
401 19. The pipe transport has gained the force_command option, to allow
402     decorating commands from user .forward pipe aliases with prefix
403     wrappers, for instance.
404
405 20. Callout connections can now AUTH; the same controls as normal delivery
406     connections apply.
407
408 21. Support for DMARC, using opendmarc libs, can be enabled. It adds new
409     options: dmarc_forensic_sender, dmarc_history_file, and dmarc_tld_file.
410     It adds new expansion variables $dmarc_ar_header, $dmarc_status,
411     $dmarc_status_text, and $dmarc_used_domain.  It adds a new acl modifier
412     dmarc_status.  It adds new control flags dmarc_disable_verify and
413     dmarc_enable_forensic. The default for the dmarc_tld_file option is
414     "/etc/exim/opendmarc.tlds" and can be changed via EDITME.
415
416 22. Add expansion variable $authenticated_fail_id, which is the username
417     provided to the authentication method which failed.  It is available
418     for use in subsequent ACL processing (typically quit or notquit ACLs).
419
420 23. New ACL modifier "udpsend" can construct a UDP packet to send to a given
421     UDP host and port.
422
423 24. New ${hexquote:..string..} expansion operator converts non-printable
424     characters in the string to \xNN form.
425
426 25. Experimental TPDA (Transport Post Delivery Action) function added.
427     Patch provided by Axel Rau.
428
429 26. Experimental Redis lookup added. Patch provided by Warren Baker.
430
431
432 Version 4.80
433 ------------
434
435  1. New authenticator driver, "gsasl".  Server-only (at present).
436     This is a SASL interface, licensed under GPL, which can be found at
437     http://www.gnu.org/software/gsasl/.
438     This system does not provide sources of data for authentication, so
439     careful use needs to be made of the conditions in Exim.
440
441  2. New authenticator driver, "heimdal_gssapi".  Server-only.
442     A replacement for using cyrus_sasl with Heimdal, now that $KRB5_KTNAME
443     is no longer honoured for setuid programs by Heimdal.  Use the
444     "server_keytab" option to point to the keytab.
445
446  3. The "pkg-config" system can now be used when building Exim to reference
447     cflags and library information for lookups and authenticators, rather
448     than having to update "CFLAGS", "AUTH_LIBS", "LOOKUP_INCLUDE" and
449     "LOOKUP_LIBS" directly.  Similarly for handling the TLS library support
450     without adjusting "TLS_INCLUDE" and "TLS_LIBS".
451
452     In addition, setting PCRE_CONFIG=yes will query the pcre-config tool to
453     find the headers and libraries for PCRE.
454
455  4. New expansion variable $tls_bits.
456
457  5. New lookup type, "dbmjz".  Key is an Exim list, the elements of which will
458     be joined together with ASCII NUL characters to construct the key to pass
459     into the DBM library.  Can be used with gsasl to access sasldb2 files as
460     used by Cyrus SASL.
461
462  6. OpenSSL now supports TLS1.1 and TLS1.2 with OpenSSL 1.0.1.
463
464     Avoid release 1.0.1a if you can.  Note that the default value of
465     "openssl_options" is no longer "+dont_insert_empty_fragments", as that
466     increased susceptibility to attack.  This may still have interoperability
467     implications for very old clients (see version 4.31 change 37) but
468     administrators can choose to make the trade-off themselves and restore
469     compatibility at the cost of session security.
470
471  7. Use of the new expansion variable $tls_sni in the main configuration option
472     tls_certificate will cause Exim to re-expand the option, if the client
473     sends the TLS Server Name Indication extension, to permit choosing a
474     different certificate; tls_privatekey will also be re-expanded.  You must
475     still set these options to expand to valid files when $tls_sni is not set.
476
477     The SMTP Transport has gained the option tls_sni, which will set a hostname
478     for outbound TLS sessions, and set $tls_sni too.
479
480     A new log_selector, +tls_sni, has been added, to log received SNI values
481     for Exim as a server.
482
483  8. The existing "accept_8bitmime" option now defaults to true.  This means
484     that Exim is deliberately not strictly RFC compliant.  We're following
485     Dan Bernstein's advice in http://cr.yp.to/smtp/8bitmime.html by default.
486     Those who disagree, or know that they are talking to mail servers that,
487     even today, are not 8-bit clean, need to turn off this option.
488
489  9. Exim can now be started with -bw (with an optional timeout, given as
490     -bw<timespec>).  With this, stdin at startup is a socket that is
491     already listening for connections.  This has a more modern name of
492     "socket activation", but forcing the activated socket to fd 0.  We're
493     interested in adding more support for modern variants.
494
495 10. ${eval } now uses 64-bit values on supporting platforms.  A new "G" suffix
496     for numbers indicates multiplication by 1024^3.
497
498 11. The GnuTLS support has been revamped; the three options gnutls_require_kx,
499     gnutls_require_mac & gnutls_require_protocols are no longer supported.
500     tls_require_ciphers is now parsed by gnutls_priority_init(3) as a priority
501     string, documentation for which is at:
502     http://www.gnutls.org/manual/html_node/Priority-Strings.html
503
504     SNI support has been added to Exim's GnuTLS integration too.
505
506     For sufficiently recent GnuTLS libraries, ${randint:..} will now use
507     gnutls_rnd(), asking for GNUTLS_RND_NONCE level randomness.
508
509 12. With OpenSSL, if built with EXPERIMENTAL_OCSP, a new option tls_ocsp_file
510     is now available.  If the contents of the file are valid, then Exim will
511     send that back in response to a TLS status request; this is OCSP Stapling.
512     Exim will not maintain the contents of the file in any way: administrators
513     are responsible for ensuring that it is up-to-date.
514
515     See "experimental-spec.txt" for more details.
516
517 13. ${lookup dnsdb{ }} supports now SPF record types. They are handled
518     identically to TXT record lookups.
519
520 14. New expansion variable $tod_epoch_l for higher-precision time.
521
522 15. New global option tls_dh_max_bits, defaulting to current value of NSS
523     hard-coded limit of DH ephemeral bits, to fix interop problems caused by
524     GnuTLS 2.12 library recommending a bit count higher than NSS supports.
525
526 16. tls_dhparam now used by both OpenSSL and GnuTLS, can be path or identifier.
527     Option can now be a path or an identifier for a standard prime.
528     If unset, we use the DH prime from section 2.2 of RFC 5114, "ike23".
529     Set to "historic" to get the old GnuTLS behaviour of auto-generated DH
530     primes.
531
532 17. SSLv2 now disabled by default in OpenSSL.  (Never supported by GnuTLS).
533     Use "openssl_options -no_sslv2" to re-enable support, if your OpenSSL
534     install was not built with OPENSSL_NO_SSL2 ("no-ssl2").
535
536
537 Version 4.77
538 ------------
539
540  1. New options for the ratelimit ACL condition: /count= and /unique=.
541     The /noupdate option has been replaced by a /readonly option.
542
543  2. The SMTP transport's protocol option may now be set to "smtps", to
544     use SSL-on-connect outbound.
545
546  3. New variable $av_failed, set true if the AV scanner deferred; ie, when
547     there is a problem talking to the AV scanner, or the AV scanner running.
548
549  4. New expansion conditions, "inlist" and "inlisti", which take simple lists
550     and check if the search item is a member of the list.  This does not
551     support named lists, but does subject the list part to string expansion.
552
553  5. Unless the new EXPAND_LISTMATCH_RHS build option is set when Exim was
554     built, Exim no longer performs string expansion on the second string of
555     the match_* expansion conditions: "match_address", "match_domain",
556     "match_ip" & "match_local_part".  Named lists can still be used.
557
558
559 Version 4.76
560 ------------
561
562  1. The global option "dns_use_edns0" may be set to coerce EDNS0 usage on
563     or off in the resolver library.
564
565
566 Version 4.75
567 ------------
568
569  1. In addition to the existing LDAP and LDAP/SSL ("ldaps") support, there
570     is now LDAP/TLS support, given sufficiently modern OpenLDAP client
571     libraries.  The following global options have been added in support of
572     this: ldap_ca_cert_dir, ldap_ca_cert_file, ldap_cert_file, ldap_cert_key,
573     ldap_cipher_suite, ldap_require_cert, ldap_start_tls.
574
575  2. The pipe transport now takes a boolean option, "freeze_signal", default
576     false.  When true, if the external delivery command exits on a signal then
577     Exim will freeze the message in the queue, instead of generating a bounce.
578
579  3. Log filenames may now use %M as an escape, instead of %D (still available).
580     The %M pattern expands to yyyymm, providing month-level resolution.
581
582  4. The $message_linecount variable is now updated for the maildir_tag option,
583     in the same way as $message_size, to reflect the real number of lines,
584     including any header additions or removals from transport.
585
586  5. When contacting a pool of SpamAssassin servers configured in spamd_address,
587     Exim now selects entries randomly, to better scale in a cluster setup.
588
589
590 Version 4.74
591 ------------
592
593  1. SECURITY FIX: privilege escalation flaw fixed. On Linux (and only Linux)
594     the flaw permitted the Exim run-time user to cause root to append to
595     arbitrary files of the attacker's choosing, with the content based
596     on content supplied by the attacker.
597
598  2. Exim now supports loading some lookup types at run-time, using your
599     platform's dlopen() functionality.  This has limited platform support
600     and the intention is not to support every variant, it's limited to
601     dlopen().  This permits the main Exim binary to not be linked against
602     all the libraries needed for all the lookup types.
603
604
605 Version 4.73
606 ------------
607
608  NOTE: this version is not guaranteed backwards-compatible, please read the
609        items below carefully
610
611  1. A new main configuration option, "openssl_options", is available if Exim
612     is built with SSL support provided by OpenSSL.  The option allows
613     administrators to specify OpenSSL options to be used on connections;
614     typically this is to set bug compatibility features which the OpenSSL
615     developers have not enabled by default.  There may be security
616     consequences for certain options, so these should not be changed
617     frivolously.
618
619  2. A new pipe transport option, "permit_coredumps", may help with problem
620     diagnosis in some scenarios.  Note that Exim is typically installed as
621     a setuid binary, which on most OSes will inhibit coredumps by default,
622     so that safety mechanism would have to be overridden for this option to
623     be able to take effect.
624
625  3. ClamAV 0.95 is now required for ClamAV support in Exim, unless
626     Local/Makefile sets: WITH_OLD_CLAMAV_STREAM=yes
627     Note that this switches Exim to use a new API ("INSTREAM") and a future
628     release of ClamAV will remove support for the old API ("STREAM").
629
630     The av_scanner option, when set to "clamd", now takes an optional third
631     part, "local", which causes Exim to pass a filename to ClamAV instead of
632     the file content.  This is the same behaviour as when clamd is pointed at
633     a Unix-domain socket.  For example:
634
635       av_scanner = clamd:192.0.2.3 1234:local
636
637     ClamAV's ExtendedDetectionInfo response format is now handled.
638
639  4. There is now a -bmalware option, restricted to admin users.  This option
640     takes one parameter, a filename, and scans that file with Exim's
641     malware-scanning framework.  This is intended purely as a debugging aid
642     to ensure that Exim's scanning is working, not to replace other tools.
643     Note that the ACL framework is not invoked, so if av_scanner references
644     ACL variables without a fallback then this will fail.
645
646  5. There is a new expansion operator, "reverse_ip", which will reverse IP
647     addresses; IPv4 into dotted quad, IPv6 into dotted nibble.  Examples:
648
649       ${reverse_ip:192.0.2.4}
650        -> 4.2.0.192
651       ${reverse_ip:2001:0db8:c42:9:1:abcd:192.0.2.3}
652        -> 3.0.2.0.0.0.0.c.d.c.b.a.1.0.0.0.9.0.0.0.2.4.c.0.8.b.d.0.1.0.0.2
653
654  6. There is a new ACL control called "debug", to enable debug logging.
655     This allows selective logging of certain incoming transactions within
656     production environments, with some care.  It takes two options, "tag"
657     and "opts"; "tag" is included in the filename of the log and "opts"
658     is used as per the -d<options> command-line option.  Examples, which
659     don't all make sense in all contexts:
660
661       control = debug
662       control = debug/tag=.$sender_host_address
663       control = debug/opts=+expand+acl
664       control = debug/tag=.$message_exim_id/opts=+expand
665
666  7. It has always been implicit in the design and the documentation that
667     "the Exim user" is not root.  src/EDITME said that using root was
668     "very strongly discouraged".  This is not enough to keep people from
669     shooting themselves in the foot in days when many don't configure Exim
670     themselves but via package build managers.  The security consequences of
671     running various bits of network code are severe if there should be bugs in
672     them.  As such, the Exim user may no longer be root.  If configured
673     statically, Exim will refuse to build.  If configured as ref:user then Exim
674     will exit shortly after start-up.  If you must shoot yourself in the foot,
675     then henceforth you will have to maintain your own local patches to strip
676     the safeties off.
677
678  8. There is a new expansion condition, bool_lax{}.  Where bool{} uses the ACL
679     condition logic to determine truth/failure and will fail to expand many
680     strings, bool_lax{} uses the router condition logic, where most strings
681     do evaluate true.
682     Note: bool{00} is false, bool_lax{00} is true.
683
684  9. Routers now support multiple "condition" tests.
685
686 10. There is now a runtime configuration option "tcp_wrappers_daemon_name".
687     Setting this allows an admin to define which entry in the tcpwrappers
688     config file will be used to control access to the daemon.  This option
689     is only available when Exim is built with USE_TCP_WRAPPERS.  The
690     default value is set at build time using the TCP_WRAPPERS_DAEMON_NAME
691     build option.
692
693 11. [POSSIBLE CONFIG BREAKAGE] The default value for system_filter_user is now
694     the Exim run-time user, instead of root.
695
696 12. [POSSIBLE CONFIG BREAKAGE] ALT_CONFIG_ROOT_ONLY is no longer optional and
697     is forced on.  This is mitigated by the new build option
698     TRUSTED_CONFIG_LIST which defines a list of configuration files which
699     are trusted; one per line. If a config file is owned by root and matches
700     a pathname in the list, then it may be invoked by the Exim build-time
701     user without Exim relinquishing root privileges.
702
703 13. [POSSIBLE CONFIG BREAKAGE] The Exim user is no longer automatically
704     trusted to supply -D<Macro[=Value]> overrides on the command-line.  Going
705     forward, we recommend using TRUSTED_CONFIG_LIST with shim configs that
706     include the main config.  As a transition mechanism, we are temporarily
707     providing a work-around: the new build option WHITELIST_D_MACROS provides
708     a colon-separated list of macro names which may be overridden by the Exim
709     run-time user.  The values of these macros are constrained to the regex
710     ^[A-Za-z0-9_/.-]*$ (which explicitly does allow for empty values).
711
712
713 Version 4.72
714 ------------
715
716  1. TWO SECURITY FIXES: one relating to mail-spools which are globally
717     writable, the other to locking of MBX folders (not mbox).
718
719  2. MySQL stored procedures are now supported.
720
721  3. The dkim_domain transport option is now a list, not a single string, and
722     messages will be signed for each element in the list (discarding
723     duplicates).
724
725  4. The 4.70 release unexpectedly changed the behaviour of dnsdb TXT lookups
726     in the presence of multiple character strings within the RR. Prior to 4.70,
727     only the first string would be returned.  The dnsdb lookup now, by default,
728     preserves the pre-4.70 semantics, but also now takes an extended output
729     separator specification.  The separator can be followed by a semicolon, to
730     concatenate the individual text strings together with no join character,
731     or by a comma and a second separator character, in which case the text
732     strings within a TXT record are joined on that second character.
733     Administrators are reminded that DNS provides no ordering guarantees
734     between multiple records in an RRset.  For example:
735
736       foo.example.  IN TXT "a" "b" "c"
737       foo.example.  IN TXT "d" "e" "f"
738
739       ${lookup dnsdb{>/ txt=foo.example}}   -> "a/d"
740       ${lookup dnsdb{>/; txt=foo.example}}  -> "def/abc"
741       ${lookup dnsdb{>/,+ txt=foo.example}} -> "a+b+c/d+e+f"
742
743
744 Version 4.70 / 4.71
745 -------------------
746
747  1. Native DKIM support without an external library.
748     (Note that if no action to prevent it is taken, a straight upgrade will
749     result in DKIM verification of all signed incoming emails.  See spec
750     for details on conditionally disabling)
751
752  2. Experimental DCC support via dccifd (contributed by Wolfgang Breyha).
753
754  3. There is now a bool{} expansion condition which maps certain strings to
755     true/false condition values (most likely of use in conjunction with the
756     and{} expansion operator).
757
758  4. The $spam_score, $spam_bar and $spam_report variables are now available
759     at delivery time.
760
761  5. exim -bP now supports "macros", "macro_list" or "macro MACRO_NAME" as
762     options, provided that Exim is invoked by an admin_user.
763
764  6. There is a new option gnutls_compat_mode, when linked against GnuTLS,
765     which increases compatibility with older clients at the cost of decreased
766     security.  Don't set this unless you need to support such clients.
767
768  7. There is a new expansion operator, ${randint:...} which will produce a
769     "random" number less than the supplied integer.  This randomness is
770     not guaranteed to be cryptographically strong, but depending upon how
771     Exim was built may be better than the most naive schemes.
772
773  8. Exim now explicitly ensures that SHA256 is available when linked against
774     OpenSSL.
775
776  9. The transport_filter_timeout option now applies to SMTP transports too.
777
778
779 Version 4.69
780 ------------
781
782  1. Preliminary DKIM support in Experimental.
783
784
785 Version 4.68
786 ------------
787
788  1. The body_linecount and body_zerocount C variables are now exported in the
789     local_scan API.
790
791  2. When a dnslists lookup succeeds, the key that was looked up is now placed
792     in $dnslist_matched. When the key is an IP address, it is not reversed in
793     this variable (though it is, of course, in the actual lookup). In simple
794     cases, for example:
795
796       deny dnslists = spamhaus.example
797
798     the key is also available in another variable (in this case,
799     $sender_host_address). In more complicated cases, however, this is not
800     true. For example, using a data lookup might generate a dnslists lookup
801     like this:
802
803       deny dnslists = spamhaus.example/<|192.168.1.2|192.168.6.7|...
804
805     If this condition succeeds, the value in $dnslist_matched might be
806     192.168.6.7 (for example).
807
808  3. Authenticators now have a client_condition option. When Exim is running as
809     a client, it skips an authenticator whose client_condition expansion yields
810     "0", "no", or "false". This can be used, for example, to skip plain text
811     authenticators when the connection is not encrypted by a setting such as:
812
813       client_condition = ${if !eq{$tls_cipher}{}}
814
815     Note that the 4.67 documentation states that $tls_cipher contains the
816     cipher used for incoming messages. In fact, during SMTP delivery, it
817     contains the cipher used for the delivery. The same is true for
818     $tls_peerdn.
819
820  4. There is now a -Mvc <message-id> option, which outputs a copy of the
821     message to the standard output, in RFC 2822 format. The option can be used
822     only by an admin user.
823
824  5. There is now a /noupdate option for the ratelimit ACL condition. It
825     computes the rate and checks the limit as normal, but it does not update
826     the saved data. This means that, in relevant ACLs, it is possible to lookup
827     the existence of a specified (or auto-generated) ratelimit key without
828     incrementing the ratelimit counter for that key.
829
830     In order for this to be useful, another ACL entry must set the rate
831     for the same key somewhere (otherwise it will always be zero).
832
833     Example:
834
835     acl_check_connect:
836       # Read the rate; if it doesn't exist or is below the maximum
837       # we update it below
838       deny ratelimit = 100 / 5m / strict / noupdate
839            log_message = RATE: $sender_rate / $sender_rate_period \
840                          (max $sender_rate_limit)
841
842       [... some other logic and tests...]
843
844       warn ratelimit = 100 / 5m / strict / per_cmd
845            log_message = RATE UPDATE: $sender_rate / $sender_rate_period \
846                          (max $sender_rate_limit)
847            condition = ${if le{$sender_rate}{$sender_rate_limit}}
848
849       accept
850
851  6. The variable $max_received_linelength contains the number of bytes in the
852     longest line that was received as part of the message, not counting the
853     line termination character(s).
854
855  7. Host lists can now include +ignore_defer and +include_defer, analagous to
856     +ignore_unknown and +include_unknown. These options should be used with
857     care, probably only in non-critical host lists such as whitelists.
858
859  8. There's a new option called queue_only_load_latch, which defaults true.
860     If set false when queue_only_load is greater than zero, Exim re-evaluates
861     the load for each incoming message in an SMTP session. Otherwise, once one
862     message is queued, the remainder are also.
863
864  9. There is a new ACL, specified by acl_smtp_notquit, which is run in most
865     cases when an SMTP session ends without sending QUIT. However, when Exim
866     itself is is bad trouble, such as being unable to write to its log files,
867     this ACL is not run, because it might try to do things (such as write to
868     log files) that make the situation even worse.
869
870     Like the QUIT ACL, this new ACL is provided to make it possible to gather
871     statistics. Whatever it returns (accept or deny) is immaterial. The "delay"
872     modifier is forbidden in this ACL.
873
874     When the NOTQUIT ACL is running, the variable $smtp_notquit_reason is set
875     to a string that indicates the reason for the termination of the SMTP
876     connection. The possible values are:
877
878       acl-drop                 Another ACL issued a "drop" command
879       bad-commands             Too many unknown or non-mail commands
880       command-timeout          Timeout while reading SMTP commands
881       connection-lost          The SMTP connection has been lost
882       data-timeout             Timeout while reading message data
883       local-scan-error         The local_scan() function crashed
884       local-scan-timeout       The local_scan() function timed out
885       signal-exit              SIGTERM or SIGINT
886       synchronization-error    SMTP synchronization error
887       tls-failed               TLS failed to start
888
889     In most cases when an SMTP connection is closed without having received
890     QUIT, Exim sends an SMTP response message before actually closing the
891     connection. With the exception of acl-drop, the default message can be
892     overridden by the "message" modifier in the NOTQUIT ACL. In the case of a
893     "drop" verb in another ACL, it is the message from the other ACL that is
894     used.
895
896 10. For MySQL and PostgreSQL lookups, it is now possible to specify a list of
897     servers with individual queries. This is done by starting the query with
898     "servers=x:y:z;", where each item in the list may take one of two forms:
899
900     (1) If it is just a host name, the appropriate global option (mysql_servers
901         or pgsql_servers) is searched for a host of the same name, and the
902         remaining parameters (database, user, password) are taken from there.
903
904     (2) If it contains any slashes, it is taken as a complete parameter set.
905
906     The list of servers is used in exactly the same was as the global list.
907     Once a connection to a server has happened and a query has been
908     successfully executed, processing of the lookup ceases.
909
910     This feature is intended for use in master/slave situations where updates
911     are occurring, and one wants to update a master rather than a slave. If the
912     masters are in the list for reading, you might have:
913
914       mysql_servers = slave1/db/name/pw:slave2/db/name/pw:master/db/name/pw
915
916     In an updating lookup, you could then write
917
918       ${lookup mysql{servers=master; UPDATE ...}
919
920     If, on the other hand, the master is not to be used for reading lookups:
921
922       pgsql_servers = slave1/db/name/pw:slave2/db/name/pw
923
924     you can still update the master by
925
926       ${lookup pgsql{servers=master/db/name/pw; UPDATE ...}
927
928 11. The message_body_newlines option (default FALSE, for backwards
929     compatibility) can be used to control whether newlines are present in
930     $message_body and $message_body_end. If it is FALSE, they are replaced by
931     spaces.
932
933
934 Version 4.67
935 ------------
936
937  1. There is a new log selector called smtp_no_mail, which is not included in
938     the default setting. When it is set, a line is written to the main log
939     whenever an accepted SMTP connection terminates without having issued a
940     MAIL command.
941
942  2. When an item in a dnslists list is followed by = and & and a list of IP
943     addresses, the behaviour was not clear when the lookup returned more than
944     one IP address. This has been solved by the addition of == and =& for "all"
945     rather than the default "any" matching.
946
947  3. Up till now, the only control over which cipher suites GnuTLS uses has been
948     for the cipher algorithms. New options have been added to allow some of the
949     other parameters to be varied.
950
951  4. There is a new compile-time option called ENABLE_DISABLE_FSYNC. When it is
952     set, Exim compiles a runtime option called disable_fsync.
953
954  5. There is a new variable called $smtp_count_at_connection_start.
955
956  6. There's a new control called no_pipelining.
957
958  7. There are two new variables called $sending_ip_address and $sending_port.
959     These are set whenever an SMTP connection to another host has been set up.
960
961  8. The expansion of the helo_data option in the smtp transport now happens
962     after the connection to the server has been made.
963
964  9. There is a new expansion operator ${rfc2047d: that decodes strings that
965     are encoded as per RFC 2047.
966
967 10. There is a new log selector called "pid", which causes the current process
968     id to be added to every log line, in square brackets, immediately after the
969     time and date.
970
971 11. Exim has been modified so that it flushes SMTP output before implementing
972     a delay in an ACL. It also flushes the output before performing a callout,
973     as this can take a substantial time. These behaviours can be disabled by
974     obeying control = no_delay_flush or control = no_callout_flush,
975     respectively, at some earlier stage of the connection.
976
977 12. There are two new expansion conditions that iterate over a list. They are
978     called forany and forall.
979
980 13. There's a new global option called dsn_from that can be used to vary the
981     contents of From: lines in bounces and other automatically generated
982     messages ("delivery status notifications" - hence the name of the option).
983
984 14. The smtp transport has a new option called hosts_avoid_pipelining.
985
986 15. By default, exigrep does case-insensitive matches. There is now a -I option
987     that makes it case-sensitive.
988
989 16. A number of new features ("addresses", "map", "filter", and "reduce") have
990     been added to string expansions to make it easier to process lists of
991     items, typically addresses.
992
993 17. There's a new ACL modifier called "continue". It does nothing of itself,
994     and processing of the ACL always continues with the next condition or
995     modifier. It is provided so that the side effects of expanding its argument
996     can be used.
997
998 18. It is now possible to use newline and other control characters (those with
999     values less than 32, plus DEL) as separators in lists.
1000
1001 19. The exigrep utility now has a -v option, which inverts the matching
1002     condition.
1003
1004 20. The host_find_failed option in the manualroute router can now be set to
1005     "ignore".
1006
1007
1008 Version 4.66
1009 ------------
1010
1011 No new features were added to 4.66.
1012
1013
1014 Version 4.65
1015 ------------
1016
1017 No new features were added to 4.65.
1018
1019
1020 Version 4.64
1021 ------------
1022
1023  1. ACL variables can now be given arbitrary names, as long as they start with
1024     "acl_c" or "acl_m" (for connection variables and message variables), are at
1025     least six characters long, with the sixth character being either a digit or
1026     an underscore.
1027
1028  2. There is a new ACL modifier called log_reject_target. It makes it possible
1029     to specify which logs are used for messages about ACL rejections.
1030
1031  3. There is a new authenticator called "dovecot". This is an interface to the
1032     authentication facility of the Dovecot POP/IMAP server, which can support a
1033     number of authentication methods.
1034
1035  4. The variable $message_headers_raw provides a concatenation of all the
1036     messages's headers without any decoding. This is in contrast to
1037     $message_headers, which does RFC2047 decoding on the header contents.
1038
1039  5. In a DNS black list, if two domain names, comma-separated, are given, the
1040     second is used first to do an initial check, making use of any IP value
1041     restrictions that are set. If there is a match, the first domain is used,
1042     without any IP value restrictions, to get the TXT record.
1043
1044  6. All authenticators now have a server_condition option.
1045
1046  7. There is a new command-line option called -Mset. It is useful only in
1047     conjunction with -be (that is, when testing string expansions). It must be
1048     followed by a message id; Exim loads the given message from its spool
1049     before doing the expansions.
1050
1051  8. Another similar new command-line option is called -bem. It operates like
1052     -be except that it must be followed by the name of a file that contains a
1053     message.
1054
1055  9. When an address is delayed because of a 4xx response to a RCPT command, it
1056     is now the combination of sender and recipient that is delayed in
1057     subsequent queue runs until its retry time is reached.
1058
1059 10. Unary negation and the bitwise logical operators and, or, xor, not, and
1060     shift, have been added to the eval: and eval10: expansion items.
1061
1062 11. The variables $interface_address and $interface_port have been renamed
1063     as $received_ip_address and $received_port, to make it clear that they
1064     relate to message reception rather than delivery. (The old names remain
1065     available for compatibility.)
1066
1067 12. The "message" modifier can now be used on "accept" and "discard" acl verbs
1068     to vary the message that is sent when an SMTP command is accepted.
1069
1070
1071 Version 4.63
1072 ------------
1073
1074 1. There is a new Boolean option called filter_prepend_home for the redirect
1075    router.
1076
1077 2. There is a new acl, set by acl_not_smtp_start, which is run right at the
1078    start of receiving a non-SMTP message, before any of the message has been
1079    read.
1080
1081 3. When an SMTP error message is specified in a "message" modifier in an ACL,
1082    or in a :fail: or :defer: message in a redirect router, Exim now checks the
1083    start of the message for an SMTP error code.
1084
1085 4. There is a new parameter for LDAP lookups called "referrals", which takes
1086    one of the settings "follow" (the default) or "nofollow".
1087
1088 5. Version 20070721.2 of exipick now included, offering these new options:
1089     --reverse
1090         After all other sorting options have bee processed, reverse order
1091         before displaying messages (-R is synonym).
1092     --random
1093         Randomize order of matching messages before displaying.
1094     --size
1095         Instead of displaying the matching messages, display the sum
1096         of their sizes.
1097     --sort <variable>[,<variable>...]
1098         Before displaying matching messages, sort the messages according to
1099         each messages value for each variable.
1100     --not
1101         Negate the value for every test (returns inverse output from the
1102         same criteria without --not).
1103
1104
1105 Version 4.62
1106 ------------
1107
1108 1. The ${readsocket expansion item now supports Internet domain sockets as well
1109    as Unix domain sockets. If the first argument begins "inet:", it must be of
1110    the form "inet:host:port". The port is mandatory; it may be a number or the
1111    name of a TCP port in /etc/services. The host may be a name, or it may be an
1112    IP address. An ip address may optionally be enclosed in square brackets.
1113    This is best for IPv6 addresses. For example:
1114
1115      ${readsocket{inet:[::1]:1234}{<request data>}...
1116
1117    Only a single host name may be given, but if looking it up yield more than
1118    one IP address, they are each tried in turn until a connection is made. Once
1119    a connection has been made, the behaviour is as for ${readsocket with a Unix
1120    domain socket.
1121
1122 2. If a redirect router sets up file or pipe deliveries for more than one
1123    incoming address, and the relevant transport has batch_max set greater than
1124    one, a batch delivery now occurs.
1125
1126 3. The appendfile transport has a new option called maildirfolder_create_regex.
1127    Its value is a regular expression. For a maildir delivery, this is matched
1128    against the maildir directory; if it matches, Exim ensures that a
1129    maildirfolder file is created alongside the new, cur, and tmp directories.
1130
1131
1132 Version 4.61
1133 ------------
1134
1135 The documentation is up-to-date for the 4.61 release. Major new features since
1136 the 4.60 release are:
1137
1138 . An option called disable_ipv6, to disable the use of IPv6 completely.
1139
1140 . An increase in the number of ACL variables to 20 of each type.
1141
1142 . A change to use $auth1, $auth2, and $auth3 in authenticators instead of $1,
1143   $2, $3, (though those are still set) because the numeric variables get used
1144   for other things in complicated expansions.
1145
1146 . The default for rfc1413_query_timeout has been changed from 30s to 5s.
1147
1148 . It is possible to use setclassresources() on some BSD OS to control the
1149   resources used in pipe deliveries.
1150
1151 . A new ACL modifier called add_header, which can be used with any verb.
1152
1153 . More errors are detectable in retry rules.
1154
1155 There are a number of other additions too.
1156
1157
1158 Version 4.60
1159 ------------
1160
1161 The documentation is up-to-date for the 4.60 release. Major new features since
1162 the 4.50 release are:
1163
1164 . Support for SQLite.
1165
1166 . Support for IGNOREQUOTA in LMTP.
1167
1168 . Extensions to the "submission mode" features.
1169
1170 . Support for Client SMTP Authorization (CSA).
1171
1172 . Support for ratelimiting hosts and users.
1173
1174 . New expansion items to help with the BATV "prvs" scheme.
1175
1176 . A "match_ip" condition, that matches an IP address against a list.
1177
1178 There are many more minor changes.
1179
1180 ****