global: Replace settings_get_size() with str_parse_get_size() in project

lib, lib-settings: Move string-parse functions for bool/size/interval into lib

Including the tests. Call the new functions from the existing
settings-functions. These will be removed in a later commit.

lib-storage: mail_search_args_simplify_drop_redundant_args() - Apply Absorptive law versus all terms, not just the 1st

doc: Use html and man pages from doc.dovecot.org

lmtp: Fix restoring global log prefix after session is finished

Broken by 069dfd657fd91a0e2a3a9307a0cf499d795f27f2

This change also slightly changes the lmtp log prefixes in some places.
It removes "conn $ip:$port [$idx]: rcpt $user:" from some of the log
messages (but that wasn't in all of the log messages anyway), but it now
always includes mail_log_prefix in these log messages, which previously
wasn't always set at that point yet.

lmtp: Add support for haproxy SSL flag

login-common: Check that ssl=required is not used with auth_allow_cleartext=yes

login-common: Clarify client error when login attempted without TLS

login-common: ssl=required now requires TLS also for non-TLS/localhost haproxy connections

login-common: ssl=required now requires TLS also for trusted connections

lib-storage: Rename mail_user_connection_data.ssl_secured to end_client_tls_secured

lib-login: Rename LOGIN_REQUEST_FLAG_CONN_SSL_SECURED to ..._FLAG_END_CLIENT_SECURED_TLS

lmtp: Forward end_client_tls_secured state through proxies

*-login: Forward end_client_tls_secured state through proxies

lib-smtp: Add XCLIENT CLIENT-TRANSPORT field

lib-login: Remove LOGIN_REQUEST_FLAG_CONN_SECURED

lib-storage: Remove unused mail_user_connection_data.secured

lib-storage: Remove mail_storage_service_input.conn_secured

This isn't actually used by anything, and it's rather ambiguous how it's
supposed to work through proxies.

login-common: Handle haproxy's TLS terminated connections same as if Dovecot did TLS termination

If haproxy is running on localhost, this is clearly the case. If haproxy
is not running on localhost, it's a bit more ambiguous. It is possible to
configure haproxy to do TLS termination and then use another TLS connection
towards Dovecot, but this is likely a not so common configuration. More
likely the intention is that if haproxy has done TLS termination, it should
be handle the same as if Dovecot had done it.

This commit doesn't actually change any behavior. It just makes the tls
variables work in a more consistent way.

login-common: Connections from haproxy are always considered secured

Similarly to non-haproxy connections from login_trusted_networks are
considered secured, connections from haproxy_trusted_networks should also be
considered secured.

lb-auth, auth: Change transport=trusted to transport=secured in event fields

Using "trusted" word here is wrong/confusing. Login process uses both
"trusted" and "secured" words in connections to mean different things.

login-common: Fix logging %{secured} and %{ssl_security} for haproxy TLS connections

It should have been logged as TLS (proxied), but this had never worked.
Instead, it was logged simply as "secured".

*-login: Don't advertise/allow STARTTLS if haproxy already terminated TLS

auth: Rename "secured" variable/enum to "conn_secured"

lib-auth: Rename AUTH_REQUEST_FLAG_TRANSPORT_SECURITY_TLS to AUTH_REQUEST_FLAG_CONN_SECURED_TLS

lib-auth: Rename AUTH_REQUEST_FLAG_SECURED to AUTH_REQUEST_FLAG_CONN_SECURED

login-common: Rename client.trusted to connection_trusted

login-common: Rename client.starttls to connection_used_starttls

login-common: Rename client.proxied_ssl to haproxy_terminated_tls

login-common: Rename client.tls to connection_tls_secured

login-common: Rename client.ssl_secured to end_client_tls_secured

Also note in the comment that this behavior is currently broken on a
proxying setup.

lib-master: Rename "proxy" connections to "haproxy"

We already have a Dovecot proxy, and naming haproxy connections simply as
"proxy" just causes confusion. If we end up supporting other types of
proxy protocols later on, we can try to figure out a better name.

login-common: Rename client.secured to connection_secured

lib: event-filter - Ensure 0 can be matched correctly in filters

Allow matching fields with > 0, priorly this would have always been
treated as string equality / wildcard match, instead we now want
to match it as number. Forgotten in 61cb32860f5237c5d928a7fed8a89f783c2f9b30

This fixes a signal 11 crash with equality comparison with a
non-wildcard value. Broken in aefe4941c14c6001a9d09fbc3122aca1417d00a8

lib: event-filter - Fix matching duration field

If duration field is used in event filter, it cannot be matched
here as no such field exists. We need to actually synthesize the
field here for matching.

lib-http: http-url - Make sure url->have_ssl is properly initialized in http_url_request_target_parse().

This fixes the problem that the HTTP server does not yield proper HTTPS urls for
incoming requests.

lib-oauth2: jwt - Allow missing 'typ' field

lib-oauth2: test-oauth2-jwt - Ensure we ignore 'none' algorithm

lib-storage: Tolerate but warn about unknown special_use labels

lib-ssl-iostream: Do not unref DH parameters too soon

SSL_CTX_set0_tmp_dh_pkey moves references to SSL_CTX which
frees the DH parameters itself.

Broken by 124c491aa688eec146c21718f0d98aec9ae03294

dsync: Skip autocreated mailboxes that haven't been created yet

imapc: Fix listing INBOX when INBOX is already the namespace prefix

This especially caused problems when using dsync with imapc, resulting in
"Remote lost mailbox GUID" errors.

lib-index/test-mail-index-transaction-update.c: Cleanup timezone instances

In 1a7b1f66fe the non-standard extern timezone was partially removed,
but some instances were left. Since the test is supposed to run with
TZ=UTC, and timezone would have been zero anyway, remove them all.

lib-dcrypt: Remove pointless else-if

lib-dcrypt: Initialize EVP_PKEY when loading JWK key

Satisfies static analysers

TODO: Remove mention on GnuTLS

m4: ssl.m4 - Drop unused checks

lib-crypto: Slightly reformat test-crypto.c

lib-dcrypt: Add OpenSSLv3 support

lib-dcrypt: test-crypto - Allow newline at end of PEM output

lib-dcrypt: test-crypto - Add missing x9.62 roundtrip test

lib-dcrypt: Rename dcrypt-openssl.c to dcrypt-openssl1.c

lib-dcrypt: Add asserts to key ID and Usage accessors

lib-dcrypt: Make error_r required

global: Call dcrypt always with error_r

lib-dcrytp: istream-decrypt - Report DER decoding issues

Fixes possibility of DER object decode error being reported
as truncation.

lib-dcrypt: Improve OpenSSL error handling

Will now try to get the error more thoroughly and handles out of memory
correctly.

lib-ssl-iostream: Fix compability with OpenSSL 3.0

lib-ssl-iostream: Do not attempt to load empty DH parameters

OpenSSL3 complains about empty DH parameters.

lib-ssl-iostream: Use EVP_PKEY to wrap DH parameters

Simplifies OpenSSL 3.0 compability

lib-ssl-iostream: Remove support for pre-1.0.2 OpenSSL

m4: Update ssl.m4

lib-ssl-iostream: Add test DH parameters

replicator: Fix crash when removing user from queue and debug logging is enabled

Broken by 4b5337667cea6dea3d684540ee79f26292f9b42d

replicator: Fix crash when importing user not listed by userdb iteration

Broken by 31545b4f38ea85615f0111a33d630a03d92d22ab

dsync: ns_mailbox_try_alloc() - Don't set errstr_r when mailbox wasn't found

It's unnecessary and confusing, since the callers can't really use it
anyway.

dsync: Revert logging a more detailed reason why mailbox was lost

This code can't actually work, because the mailbox allocation is attempted
in multiple namespaces. The error would just come from the last namespace,
which might not have been the correct one.

Reverts cdf981514af4eb8af5a459d8e68bed2cccd7f37c

dsync: Remove unnecessary DSYNC_MAILBOX_IMPORT_FLAG_DEBUG

The debug status comes from the parent event.

dsync: Remove unnecessary DSYNC_MAILBOX_TREES_SYNC_FLAG_DEBUG

The debug status comes from the parent event.

dsync: Use event_want_debug() rather than checking for debug flag

dsync: Remove unused DSYNC_MAILBOX_TREES_SYNC_FLAG_MASTER_BRAIN

dsync: Remove duplicate "brain" log prefix

Broken by 3ddb802f3e6faaac4fbeae1b33043bf0046138f4

maildir: If mailbox create fails, don't try to apply mailbox_update changes

This was especially causing problems with mailbox GUID mismatches in dsync.
The mismatch wasn't automatically fixed, because mailbox_create() incorrectly
kept updating the mailbox GUID for the already existing mailbox.

Fixes errors such as:
Remote lost mailbox GUID ... (maybe it was just deleted?)

dsync: Log a more detailed reason why mailbox was lost

Although usually the reason is just that it wasn't found.

doveadm-server: Log dsync's "desync" message with debug level

Previously this was logged only by the CLI doveadm tool as a warning.

replicator: Log dsync error code in debug message

lib-doveadm, doveadm: Change hardcoded exit code 2 to DOVEADM_EX_CHANGED

This also gives it a "CHANGED" error code in the doveadm protocol.

aggregator: Provide name for notify connection

aggregator: Add debug logging

replicator: Add debug logging

replicator: Add "replication" category to events

replication plugin: Use "replication: " log prefix for all log messages

Some of the messages were missing the prefix. Some were using
"replication(user): " as the prefix, which was unnecessary since the
mail_log_prefix already contains the username.

replication plugin: Add "replication" category to events

replicator: Add unit test to replicator-queue

replicator: Add replicator_queue_count() and replicator_queue_peek()

These will be useful for the following unit test.

replicator: Add "next sync secs" field to doveadm replicator status

replicator: Make sure to prevent request starvation

This synchronizes how priority queue is ordered vs what
replicator_queue_want_sync_now() returns. The mismatch might have caused
request starvation in some situations because they behaved differently.

Also this change makes sure that higher priority requests don't infinitely
block lower priority requests. Instead, they get a temporary boost time
(hardcoded 15-45 minutes). Afterwards lower priority requests are started
to be handled as well.

replicator: Don't update user's last_update if priority doesn't change

This didn't actually matter, since it was only used to check if importing
should update an existing user. However, importing is only run at startup
when all users have last_update=0 anyway.

The following changes bring new use cases for last_update.

replicator: Change replicator_queue_add_sync_callback() to take user struct

This is just to clean up the API to match the previous change.

replicator: Fix user placement in replication queue

Especially replicator queue importing and NOTIFY command could have
placed the user to wrong place in the queue, because they modified the
last sync timestamps afterwards.

Fixed by splitting replicator_queue_add() into get/update/add(), so all
the necessary changes can be done before replicator_queue_add() is used
to place the user into the queue.

quota: Drop rquota-pragmas.h

quota: quota-fs - Ignore boolean errors with rquota.h

quota: Fix rquota generation rules

lib-storage: mailbox_attribute_get*() - Fail early on with empty key lookup

This fixes using mail_attribute_dict with dict-sql.

stats: Replace i_<log>() with e_<log>()

replication: replicator - Replace i_<log>() with e_<log>()

replication: struct replicator_queue - Move to replicator-queue-private.h

replication: aggregator - Replace i_<log>() with e_<log>()

pop3: Replace i_<log>() with e_<log>()

pop3: struct client - Add event