base.m4: Line-wrap the DKIM warning header.

spam.m4: Skip SpamAssassin check for mail from relay clients.

The expectation is that relay clients use us as their primary path for
delivering mail to external users.  If we're going to allow them to do
that, it doesn't seem right to subject it to spam checks -- particularly
since there isn't a receiving user to set a spam score limit.

No, I'm not completely sure about this.

Makefile, site.mk: Add a `site.mk' file with the essential definitions.

I'm fed up of skew over this.

config.m4 (relay_hosts): Allow the entire internal network to relay.

Because, nowadays, we require relay hosts in the internal network to
hold a valid certificate before we accept their relayed mail.

I don't know why chiark is included in the list.

config.m4 (dkim_headers): Reinstate the spaces around the header names.

base.m4 (dkim_sign_headers): Oversign the headers we're interested in.

Adds some stunt Exim expansion to count how many instances of each
header there are in the message and add extra entry for each one into
the list plus an extra to catch any additional header added later.

This also has the happy side-effect of trimming spaces from the incoming
list items.

config.m4 (dkim_headers): Remove the `Resent-...' and `List-...' headers.

Both are things which can plausibly be added by subsequent message
processing, and we should all this without breaking the signature.

base.m4: Skip `HELO' checking in submission mode, not relay mode.

Oops.  That's been wrong for a while.

vhost-local.m4: Reinstate a newline which wasn't spurious after all.

I think that's egg on my face.

base.m4, config.m4: Remove spaces from the `dkim_sign_headers' setting.

It turns out that Exim secretly requires there to be no spaces here.
Or, more specifically, it compares the header names in the message
against the list entries between the colons without stripping spaces, so
none of them will match.

vhost-local.m4: Remove a couple of spurious blank lines.

base.m4 (DKIM_SIGN): Add missing braces.

base.m4, config.m4: Add DKIM signing machinery.

base.m4: Remove redundant haereses.

defs.m4: Document the behaviour of omitting `KV' apodosis/haeresis args.

defs.m4: Factor out the apodosis/haeresis handling in `LOOKUP_DOMAIN'.

base.m4: Add missing `SMTP_DELIVERY' to the plain `smtp' transport.

config.m4: Fix national's IPv6 address.

lists.m4: Update the IP address lists following server move.

config.m4: Update spamassassin server address.

base.m4: Raise the message size limit.

vhost-local.m4: Hide the footer line.

base.m4: Be extra persistent when trying to deliver mail to the relay.

base.m4: Accept bad synchronization from `submission' clients.

Alas, Thunderbird is an offender, and this prevents it from using
`STARTTLS', which is a much worse outcome.

base.m4: Accept bad `HELO' hosts from `submission' clients.

config.m4: Don't deploy the Lets Encrypt certificate on submission.

config.m4: Present a LetsEncrypt certificate to external clients.

base.m4, config.m4: Make the certificate list tweakable in config.

base.m4: Neither accept nor transmit messages with long lines over SMTP.

This is an upstream bug: https://bugs.exim.org/show_bug.cgi?id=1684

base.m4: Fix indentation of some ACL configuration.

base.m4: Explicitly disable the `CHUNKING' extension.

See https://lists.exim.org/lurker/message/20171125.034842.d1d75cac.en.html

Debian disables this extension by default, but be explicit about it for
now.

base.m4: Re-enable RFC1413 (ident) requests.

This got turned off in 4.86.  Turn it back on.

config.m4: Fix the `acceptable' ciphers list.

Replace `+NORMAL' with the explicit algorithm class wildcards (except
for compression, which I leave turned off).  This completely broke TLS
negotiation for outside senders. :-(

config.m4: Fiddle with the ciphersuite settings.

Enable the fancy elliptic curve toys, AEAD schemes, and general
djbishness.  Also, take an interest in the ordering of ciphers in the
`acceptable' list.

config.m4: Use correct IPv6 address for national to permit relaying.

Bungled in 2f2fc64da4fd3e3edb06589a5e7dd0f3e958a40b :-(

lists.m4, exchange.m4: Check for bogus addresses when doing DNS lookups.

Inspired by Chris Siebenmann's `How not to set up your DNS' series; see
https://utcc.utoronto.ca/~cks/space/blog/__Index.

config.m4: Include national as a valid relay host.

config.m4: Use correct VPN address for chiark.

lists.m4: Preparation for switch to A&A.

vhost-local.m4: Fix missing newline.

I left a trap for myself: the extra-stuff argument to the
`USER_SPAMLIMIT_ROUTERS' macro wants a trailing newline (and tab);
otherwise the following material ends up following without a line break.

This went badly wrong: a `condition = ' line was extended with extra
material causing it to always match!  Fortunately little harm was
actually done.

vhost-local.m4: New hack for delivery to system users via vhosts.

I decided that `final' is awful.  Now there is a new `sysusers' option
which uses a separate forward file (which can usefully be symlinked to
one's `forward.suffix' if one is careful).

user-spam.m4: Fix indentation in the output.

exim-spam-limit.userv: Include the recommended spam-limit service file.

spam.m4: Include a full path to the Userv client.

Exim clobbers its environment nowadays, so it can't find things with a
PATH search.

user-spam.m4: Don't doubly-quote the Userv service-user name.

The `SPAMLIMIT_USERV' macro is going to do that for us.

base.m4: Be slacker about DH lengths.

Reduce the minimum size for general outbound SMTP to about 512 bits,
because (a) any DH is better than none, and (b) Exim will defer rather
than switching to plaintext if the receiving SMTP advertises STARTTLS.

Also introduce new transports with lower limits, and be consistent about
actually undershooting the advertised limit by four bits.

base.m4: Add an `auth=...' note to the Received header if we're relaying.

I'd previously resisted doing this, because the full `AUTH=...' notes
I'm passing around look a lot like email addresses and this might
subvert attempts to use extension addresses or the odin forwarder.  But
it seems a shame to lose this information.

Compromise: report the sender, as a bare user-name, only if the
domain-part is us.  This will, at worst, repeat the user name from the
sending MTA, which told us what it was either as the origin for a local
sender, or the authenticated user name from SMTP authentication or
identd (for submission to localhost).

base.m4: Quote the `auth=...' name, in case it has bad characters.

As a matter of local policy, user names don't in fact contain bad
characters, but it seems good to be careful anyway.

base.m4: Pass on authenticated sender properly in `smtp_local'.

  * Use the new `$acl_m_user' variable to identify the sender, if it's
    set; otherwise use the existing authenticated-sender.

  * Force setting `AUTH=...' to the next hop even though we haven't
    explicitly authenticated.  (Actually, we have, using a TLS client
    certificate, but that doesn't seem to count for pushing `AUTH=...'.)

auth.m4: Report the message's authenticated sender at `DATA' time.

This leaves a handy dropping in the log file which allows us to
associate message queue ids with authenticated users.

base.m4, auth.m4: Track a per-message authenticated user.

If we're relaying mail, and believing `AUTH=...' notes on `MAIL' lines,
then (a) we might be given several messages during a session, and (b)
they will in general have different `AUTH=...' notes, or none at all.
If we want to report the authenticated sender of a message, then, it's
important to track this information separately for each message.

Therefore, introduce `$acl_m_user', as a per-message counterpart to
`$acl_c_user'.  It gets set the same as `$acl_c_user' for non-SMTP
messages (where there can only be one) and after we've just checked a
submitter, in `mail_auth_check'; but it also gets set from
`$authenticated_sender' in the `mailauth' ACL.

auth.m4: Fix whitespace bogosity in `mailauth' ACL.

divmap.m4, spam.m4: Rename `data-spam' diversion to `data-hooks'.

spam.m4, user-spam.m4: Log details about spam rejections for users.

  * When we notice a delivery to a user during recipient verification,
    take a note of the user's name in the `user' field of the
    address_data.

  * In the `rcpt_spam' ACL, pick the user name out of the address_data
    and remember it and the corresponding recipient address (in a rather
    unpleasantly escaped form) along with the others in the variable
    `$acl_m_spam_users'.

  * Finally, in `data_spam', if we end up rejecting the message, log a
    message with the condensed SpamAssassin report, and the user names
    and matching recipient addresses.

This leaves, in the rejectlog, enough information for a service to tell
which rejection reports apply to a calling user, and tell them about the
message.  We should be able to pick the sender address and the headers
from the usual rejection report, but we don't want to leak the other
envelope recipient addresses.  (The user would have seen the /header/
recipients had we not rejected the message as being spam; but the
envelope may contain Bcc recipients or other interesting secrets.)

spam.m4: Hoist the spam-report formatting to before the rejection.

We're going to want this report either way.

spam.m4: Capture extracting a field from `$address_data' in a macro.

This makes things a little easier to read anyway, and we're going to be
doing this more soon.

satellite.m4: Fix newlines around the `alias' router options.

Makefile: Set config options from mode-specific make variables.

Use this to set `sysdomains' for the `srv' mode; now we don't need
`nosysdomains.m4' any more.

defs.m4: Fix `generated' warnings.

  * Refer to the correct sources.  Somehow they managed to be different
    between the top and tail warnings.

  * Mention which server mode the file was generated for.

Updates for CVE-2016-1531.

  * Leave the environment clear, but do this explicitly because
    otherwise Exim moans constantly.  I think that we don't need
    environment variables propagated from anywhere, so this is OK.

  * Use absolute paths when checking configuration files during the
    build.

user-spam.m4: Look up spam limit for lots of recipient.

If the envelope recipient has been changed by forwarding or aliasing
then look up a spam limit using all of the recipient addresses
available to us at the time.

This is particularly important for users of forwarding services such
as that provided by `odin.gg'.

spam.m4, user-spam.m4 (COMPATIBILITY): Don't split out prefix/suffix.

Don't pass the local-part prefix and suffix as separate items to the
spam-limit lookups.  This doesn't affect the plain file lookup, but it
does change the userv interface, which nobody is currently using.

base.m4: Slacken off local submission processing some more.

We're already allowing arbitrary envelope senders.  Now don't clobber
the `Sender' header.

lists.m4: Jaguar has a proper certificate now.

Add warning headers directly.

This means we have to stop renaming them.  But if we don't do this then
we can't test the headers in the spam filter.

defs.m4: Remove spurious initial space.

config.m4: Allow relaying by chiark over the VPN.

exchange.m4: Rename X-Distorted-... headers in messages from outside.

They're quite possibly misleading.  I don't think there's much harm
which can be done by adding extra X-Distorted-Warning headers, but
certainly we don't want anyone confusing things by adding their own
X-Distorted-SpamAssassin-... headers.  (That won't affect the server's
assessment of spamminess in any obvious way, but the purpose of the
header is to give user filters something to act on, so it's important
that they use the true header rather than the wrong one.)

Delay ACL header edits until transport time.

Don't use the `add_header' ACL control any more.  Instead, just
accumulate the desired header additions and removals in variables, and
apply them at transport time.

This way, the headers we see in the message are the unmodified ones, as
the message was originally given to us.  We can therefore apply header
/removals/ (which aren't allowed in ACLs, so have to be delayed to
routing/transport time) coherently, without the risk of clobbering
the headers we've added ourselves.

defs.m4: RENAME_HEADERS_ADD doesn't need separators.

Indeed, everything works much better if we agree to terminate header
lines with a newline rather than separate them.

Add config variable for the ...-Distorted-... token in headers.

defs.m4, local.m4: Abstract out machinery for header-renaming lists.

We're going to be renaming some more headers soon...

spam.m4: Rename X-SpamAssassin-* headers to X-Distorted-SpamAssassin-*.

This makes them less confusing because other mailservers attach their
own SpamAssassin reports.

base.m4: Only get picky about HELO hostnames from external servers.

base.m4: Allow arbitrary claimed envelope and header senders.

Give up on checking claimed sender addresses.

I'm told that it's more hassle than its worth.  I can track down
forgeries sufficiently well by staring at Received headers and staring
at logs.

Allow satellite hosts to do alias processing.

  * Do smarthost relaying after alias processing, by adding a new
    diversion for it, rather than reusing the `routers/remote'
    diversion.

  * Move alias processing to `base.m4', and include a new diversion for
    additional options.

  * Have `satellite.m4' attach a `domains' condition to the alias
    processing, so that we only do this for more-or-less local
    addresses.

lists.m4: Carve out the administratively anomalous hosts from +allnets.

Now jaguar and richmond can send us mail without a complete disaster
ensuing.

local.m4: Rename headers with special significance to Dovecot.

defs.m4: New macros for inserting separators into lists.

defs.m4: Fix commentary, and add missing descriptions.

Makefile: Include satellite rewrite rule in service-host configurations.

Locally-directed mail will need to go to the main hub, and we'll have to
trim off the local hostname to make that happen.

exchange.m4, lists.m4: Standard routing for `service=no' domains.

Domains listed in `domains.conf' with `service = false' or similar get
the standard routing arrangements, and aren't subject to virtual-host
processing.

Makefile: New configuration flavour for service-only mailservers.

base.m4: Exim wants `::0' rather than `::' as the magic IPv6 wildcard.

config.m4, exchange.m4, lists.m4: Allow optout from serving main domain.

This is useful for hosts which provide external mail service for
special subdomains, but don't provide service for local users.

Makefile, spam.m4, user-spam.m4: Put user limit config in its own file.

base.m4, config.m4: Define `trusted_users'.

Merge branch 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config

* 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config:
  README: Add a bunch of technical documentation.

README: Add a bunch of technical documentation.

Merge branch 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config

* 'master' of git.distorted.org.uk:~mdw/publish/public-git/exim-config:
  base.m4: New `senders' entry in `domains.conf'.
  base.m4: Missing subsection name.
  spam.m4: No, we can't check domains in the DATA ACL.
  spam.m4: Allow virtual domains to opt out of spam checking.

base.m4: Use certlists including the issuer, rather than bare certificates.

These work better with DANE TLSA records, coming soon.  (Maybe.)

base.m4: New `senders' entry in `domains.conf'.

This is a get-out-of-gaol card for sending domains too badly
misconfigured to manage a valid DNS A or MX record.

base.m4: Missing subsection name.

spam.m4: No, we can't check domains in the DATA ACL.

Whoops.  We've been deferring for a while.  This is quite bad.

spam.m4: Allow virtual domains to opt out of spam checking.

base.m4: `helo.conf' entries are `;'-separated.

vhost.m4: Configurable spam limit in virtual hosts.

spam.m4: Refactor routers with macros.

Split the big router into two separate ones.  Arrange that routers don't
set a spam limit if there's already one set (so the first one wins!).

config.m4, spam.m4: Hack in configurable Userv options.

Mainly useful so that you can say `--spoof-user Debian-exim' when
testing.