lib-lda: Fix deliver_log_format variables with Sieve

With Sieve it was using src_mail for getting the values, which weren't
correct especially if Sieve had modified the mail.

lib-lda: Code cleanup - mail_deliver_open_mail() now uses uid parameter

lib-lda: Remove %{storage_id} setting for now.

It doesn't work with Sieve. The following patches add it back properly.

lib-lda: Redesign mail_deliver_context.var_expand_table cache

lib-lda: Avoid using mailbox_save_set_dest_mail()

lib-storage: Add mailbox_save_get_dest_mail()

This marks mailbox_save_set_dest_mail deprecated. It's not efficient to use
since it frees the already-created dest_mail.

lib-lda: Remove unused mail_deliver_get_log_var_expand_table()

virtual: Fix saving to a virtual mailbox to work again

Previous changes broke it.

plugins: Remove unnecessary mail_save_context.dest_mail==NULL checks

It can never be NULL after the previous change: "lib-storage: Always create
mail_save_context.dest_mail".

lib-storage: Remove unnecessary mail_save_context.dest_mail==NULL checks

It can never be NULL after the previous change: "lib-storage: Always create
mail_save_context.dest_mail".

The code removal in maildir_transaction_save_commit_pre() seemed
potentially dangerous, but I don't think such code path is possible
anymore. Also even if it is, it's probably fine since the mail_free()
is called even earlier than before (although that itself might have
been a problem).

This also removes last traces of code that made it possible to save mails to
mbox without assigning UID to the mail. The previous commit already caused
this, so this is just removing dead code.

lib-storage: Always create mail_save_context.dest_mail

This allows removing similar mail_alloc() from storage backends and plugins
that need it.

As a side effect, this changes mbox code to always assign UIDs to saved
mails. This shouldn't be much of a problem, since it happened practically
always already.

lib-storage: Fix mailbox list index hook usage

The previous method appeared to work, but not if the internal hooks were
used more than once.

dict-sql: Fix error handling in commit

sql_dict_prev_inc_flush() or sql_dict_prev_set_flush() might set ctx->error,
so they need to be done earlier.

lib-index: zero mmap_length after logging error

Logging that mmap(size=0) failed looks suspicious.

mail-crypt: Do not restrict access in unit test

This works around problem with docker

lib: Clarify *_strsplit_spaces() and add unit test

lib: Add pool_alloconly_create_clean()

This partially reverts 2a2beae3a4c1e75b3aeff996781503138e6f24bc

LAYOUT=index: Fix duplicate mailbox name renaming to actually work

LAYOUT=index: Rename mailbox_list_index_node.corrupted_parent to corrupted_ext

The code will be useful for other purposes also besides updating corrupted
parents.

driver-cassandra: Add support for speculative execution

lib-index: Add MAIL_INDEX_OPEN_FLAG_NO_DIRTY

This way mailbox format backends that don't need dirty flags can use them
for other purposes.

cassandra: Track query counts internally and include them in metrics

lib-compress: Fix missing .gz header error message

lib-compress: Fix assert-crash when .gz header size exceeds buffer max length

Instead treat the stream as corrupted and return EINVAL.

Fixes:
Panic: file istream.c: line 182 (i_stream_read): assertion failed: (_stream->skip != _stream->pos)

lib-http: http_client_request_add_header() - Add key/value asserts

These don't check that they're entirely correct as required by HTTP
specifications. They're mainly there as a quick check that if the caller
didn't validate the key/value in any way, we'll crash instead of creating
a potential security hole. (Because with line feeds the attacker could
add extra headers or even entirely new HTTP requests.)

lib-index: clear file->mmap_size only after logging it

Logging the error with size=0 loses information.

lib-index: don't reset ioloop_time on mmap error

The variables seems to have been in the wrong order.

quota: Log why quota_over_flag check is skipped if mail_debug=yes

quota: If quota_over_script is unset, skip the quota_over check.

quota: If quota_over_flag_value is unset, skip the quota_over check.

quota: Remove quota_over_flag_* from quota_root.

They are used only in one specific location and don't need to be stored
permanently.

global: Add asserts to make static analyzer happier.

pop3-login: Code cleanup - Make sure destroying client stops processing.

It would currently do it in any case, but this makes it clearer.

global: Ignore unnecessary return values.

mail-filter: Handle handshake write() failure

fts: Fix crash using fts_autoexpunge_exclude = \Special-use crash

It crashed whenever seeing a mailbox that didn't have any special-use flags.

doveadm mailbox metadata list: Fix listing all metadata.

It was listing only private attributes, because key_type=0 happens to be
MAIL_ATTRIBUTE_TYPE_PRIVATE and key was never NULL.

mail-crypt-acl: Fix error handling

Don't crash if mail_user creation failed.

doveadm mailbox cryptokey generate: Fix error handling

Don't crash if mail_user creation failed.

doveadm mailbox cryptokey generate: Fix memory leak

dest_user was set to NULL, but never freed.

lib-program-client: Clarify dot_input/dot_output NULL checks.

Helps to avoid static analyzer false positives about NULL pointer
dereference.

doveadm director map: Fix checking if host parameter is required

lib: Avoid unnecessary Coverity warnings in MALLOC_*()

There doesn't seem to be any other nice way of avoiding these without
separately marking every instance.

TODO: Remove some of the implemented features

pop3c: Increase timeout for PASS to 5 minutes.

sdbox: Fix assert-crash on mailbox create race

If another process created the mailbox at the same time, the mailbox_guid
wasn't set and opening the mailbox assert-crashed:

Panic: file mail-storage.c: line 1744 (mailbox_get_metadata): assertion failed: ((items & MAILBOX_METADATA_GUID) == 0 || !guid_128_is_empty(metadata_r->guid))

quota: Clarify quota_count() return value.

quota: Make sure quota_warning doesn't wrap "quota before" value.

This could happen in some race conditions (and with bugs).

quota: When executing quota_warning/over_flag script, log the reason why.

lib-storage: remove mail_storage_get_driver_settings

It has been marked obsolete.

lib: Check that output max size is non-zero when version specified

Otherwise we try to send version to non-existent output
stream.

fts-tika: Fixed HTTPS support by properly propagating SSL client settings from mail_user.

fts-solr: Fixed HTTPS support by properly propagating SSL client settings from mail_user.

lib-storage: Added mail_user_init_ssl_client_settings().

lib-ldap: Remove extra return

The ldap_connection_queue_request() function returns void. Trying to
"return" something from a void function caused compiling issues on
Solaris (Oracle Developer Studio 12.5).

fts-solr: Allow username/password for solr connction

Solr comes open to the world by default. For better
security, we protect our solr installs with a user
and password.  This change allows dovecot to connect
to these instances.

Example usage in a fts.conf (permissions 0600)
 fts_solr = url=http://nick:pass@127.0.0.1:8983/solr/dovecot/

indexer: Don't send more requests directly from worker status callback

This causes assert-crashes when workers disconnect while having multiple
requests:

indexer: Error: Indexer worker disconnected, discarding 2 requests for user@domain
indexer: Panic: file indexer.c: line 69 (queue_try_send_more): assertion failed: (worker_connection_is_connected(conn))

imap: Add imap_fetch_failure setting

This controls what happens when FETCH fails for some mails. The possible
values are:

disconnect-immediately: This is the original behavior. Whenever FETCH
fails for a mail, the FETCH is aborted and client is disconnected.

disconnect-after: The FETCH runs for all the requested mails, skipping
any mails that returned failures, but at the end the client is still
disconnected.

no-after: The FETCH runs for all the requested mails, skipping any mails
that returned failures. At the end tagged NO reply is returned. If the
client attempts to FETCH the same failed mail more than once, the client
is disconnected. This is to avoid clients from going into infinite loops
trying to FETCH a broken mail.

imap: Share mailbox closing code in SELECT/UNSELECT/CLOSE/LOGOUT/deinit

imap: Free search updates on CLOSE

imap: Don't send empty FETCH () on failure

It violates IMAP RFC. Send FETCH (UID n) instead.

lib-ssl-iostream: Fix memory leak in RSA_generate_key_ex() usage

auth: Handle delayed credentials identically in auth-workers

lib: Make sure NULL is defined to be ((void *)0)

This avoids us having to do explicit (void *)NULL casts in e.g.
io_add(..., NULL) context parameter.

lib-storage: Don't duplicate service user's settings into mail_user

The mail_storage_service_user.user_set isn't used afterwards, so it can be
directly used to avoid wasting memory.

lib-storage: Don't unnecessarily duplicate user's all setting strings

user->unexpanded_set and user->set have the same life-time, so they can
point to same strings.

lib-ssl-iostream: Remove libdovecot_openssl_common.la

Using such a library results in the same code being duplicated (in OSX) in
both libssl_iostream_openssl.so and libdcrypt_openssl.so.  This breaks the
idea of openssl_init_refcount, because each one will have their own one.

libdcrypt_openssl.so now links to libssl_iostream_openssl.so, which
shouldn't really be a problem, because lib-ssl-iostream is part of the core
libdovecot.so already. It would have been possible to also install
libdovecot_openssl_common.so and link it to both libssl_iostream_openssl.so
and libdcrypt_openssl.so, but that seems unnecessarily complicated.

lib-ssl-iostream: Remove empty $(ssl_sources) from Makefile

lib-dcrypt: Link unit tests with libssl_iostream.la

libssl_iostream_openssl.so requires this, and it doesn't get added from
anywhere automatically.

lib-dcrypt: Remove unnecessary -shared link flag

Not sure if this is harmful, but since no other plugin uses this it's not
needed either.

lib-dcrypt: Don't link liblib.la to libdcrypt_openssl.so

At best this does nothing, at worst (like with OSX) it duplicates the
entire liblib and creates split state between the two instances.

lib-dcrypt: If dcrypt can't be initialized, log also the reason.

This is very helpful when debugging linking issues.

lib-ssl-iostream: Detect whether to call ERR_remove_[thread_]state() via configure

lib-ssl-iostream: Call OBJ_cleanup() for all OpenSSL versions

Just to reduce the #if checks that uglify the code.

lib-ssl-iostream: Detect OPENSSL_cleanup() via configure

It's ugly to have both OpenSSL version number check and a special LibreSSL
check.

lib-ssl-iostream: Detect OpenSSL memory functions' parameters via configure

The version number check doesn't work correctly for LibreSSL.

lib-ssl-iostream: Use ASN1_STRING_get0_data() if it exists

This avoids deprecation warnings about ASN1_STRING_data() in OpenSSL v1.1.

lib-ssl-iostream: Use RSA_generate_key_ex() if it exists

This avoids deprecation warnings about RSA_generate_key() in OpenSSL v1.1.

dict-sql: Move USING TIMESTAMP to correct location for INSERTs

auth: Pass through passdb extra fields to auth-worker requests

auth: Code cleanup - Move userdb extra fields exporting to its own function

lib: Fix compiler warning with non-Linux

lib-storage: Expunging now uses GUID only if it's in cache.

Otherwise the GUID lookup may be expensive, which is especially bad when
deleting a large number of mails.

lib-storage: Fix autoexpunge locking to actually work correctly.

It wasn't actually skipping the autoexpunging if the lock already existed.
It autoexpunged anyway.

lib-storage: Put vsize in index only if it's not there

fts: Use mailbox_list_created hook

Otherwise the deinit hook might get lost and fts would not be deinitialized.

Reverts 11f12ca1c97583b551a4286fa6cd1ab33aa67680 which seems to have been unnecessary

Fixes indexer-worker signal 11 crash

lib-storage: Once hooks have run, set vlast to NULL to make sure it's not used

The functions can't be correctly overridden outside their own specific
hooks. It would work only if hook_build_update() is called afterwards and
currently there's no public API for that.

lib-storage: Add assert to make sure header parsing isn't recursed

lib-http: client: Fixed peer reconnection failure handling.

The addressed problem occurs in a very specific situation in which the original successful connection is dropped, yet a new connection fails.
It manifests as an assertion failure or panic:

Panic: file ioloop-epoll.c: line 189 (io_loop_handler_run_internal): assertion failed: (msecs >= 0)
Panic: BUG: No IOs or timeouts set. Not waiting for infinity.

The timing is very critical. However, this doesn't mean that the occurrence of this problem is very unlikely; it can happen frequently under high load.

lib-http: client: Respect the connection idle timeout, even when all queues have unlinked from a peer.

Otherwise, the DNS TTL timeout dictates the connection idle timeout in some situations.

dict: Fix error logging if TIMESTAMP parameters are wrong.

lib-master: Ignore t_readlink ENOENT error on updating instances list

The list may contain paths that don't exist anymore.

imap: Fix panic on FETCH X-MAILBOX in virtual mailbox when mail is expunged

lib: Fix -Wstrict-bool compiler warnings.

lib: Implicitly ignore memmove and memcpy return values in path-util

This is because dovecot code doesn't explicitly ignore the return values
of those functions elsewhere either.

lib-http: server: Fix premature connection destroy in http_server_connection_output().

Added a reference to the connection object while it is sending the remainder of a response's payload.
This is necessary, since http_server_response_send_more() can destroy the connection, for example when the request has a "Connection: close" header.
This will only occur for responses with a very large payload, because otherwise the payload is fully sent in in the initial pass.

lib-storage: When logging corrupted mail size, disable logging Message-ID for now

This was causing crashes in some situations. It was originally added to
figure out if there were problems with dovecot.index.cache containing
data for wrong messages. This was never found to happen, although now
thinking about it, the problem may have been
741287129c22cadc14c05584704685b31169dbce. So perhaps this code could be
removed permanently as well.

6b44fc75c0039d1006ce4d543544552449b8e229 also attempted to fix this, but it
wasn't enough. There was still some code path that lead to recursive header
parsing.

lib: path-util: Fixed assertion in path_normalize().

The invariant was using the wrong variable for comparison, causing it to trigger erraticly.

lib: Fix t_get_working_dir() to properly allocate memory in data stack.

lib-mail: Fix message_part_data_is_plain_7bit()

Content-Type parameters weren't handled exactly right.
Broken by recent changes.