lib-ssl-iostream: protocol_versions[] - Drops support for ssl_min_protocol=SSLv3

lib-master: master_service_ssl_settings_check(): Raise warning when ssl_min_protocol contains ANY

lib-ssl-iostream: ssl_ctx_use_certificate_chain() - Remove stray whitespaces

dsync: Properly terminate escape_chars when escaping mailbox names

Broken by 596c5a52e7e554571285e90063712cb0d37b34eb

lib-test: test-subprocess - Free subprocess before forking

Otherwise it'll leak memory.

Broken in 34bdfdcbc7e3b374a219732329b6ce6d84a7666e

global: Remove unused macros

var-expand-crypt: var_expand_crypt_settings() - Use macro VAR_EXPAND_CRYPT_DEFAULT_ALGO

mail-crypt: Replace DCRYPT_FORMAT_DOVECOT with MAIL_CRYPT_KEY_ATTRIBUTE_FORMAT

auth: Use macro DB_LUA_CACHE_KEY

lib: Use GRBUF_MIN_SIZE for groups instead of PWBUF_MIN_SIZE

They both have the same value, so it didn't break anything.

mail-crypt: Remove stray spaces in mail-crypt-key.c

dsync: Fix hierarchical mailbox name parts individually

For example with filesystem-based mailbox formats it's not allowed to create
"box/../child" mailbox. With previous code dsync just gave up and created
the mailbox name based on its GUID. This is now improved to instead try to
insert '_' character after each hierarchy separator so the newly fixed
mailbox name is "box/_../child".

dsync: Escape and unescape mailbox names as needed

This should fix various issues with syncing local and remote mailbox names.
It especially avoids changing the escape character to alt_char.

dsync: Track whether escape character was added just for dsync

Will be used by the following commit

dsync: Add clarifying comment about mailbox_log_record.maibox_guid contents

dsync: Add escape_char to dsync-mailbox-tree

This will be used by the following changes.

lib-compression: Remove xz/lzma read support

This commit removes the read support that was left behind to allow for more
gradual migration from lzma/xz.

The code had bugs.  Additionally, there is no benefit in keeping it around.
bzip2 or zstd (at maximum compression level) are likely better choices for
archival.  For non-archival usecases, a light compression algorithm like
zstd (at low to medium compression level) or lz4 are better choices.

lib-lua: Add a minimal interface to lib-http

Adds the ability to
- Creating http clients
- Creating http requests
- Adding arbitrary headers and payload to the http request
- Submitting the request to remote server and getting the response

auth: password-scheme - Mark DES-CRYPT weak

auth: password-scheme - Mark MD4 as weak

auth: password-scheme - Mark MD5 schemes weak

For interop reasons, we cannot mark SCRAM-MD5 and DIGEST-MD5 weak
yet.

auth: password-scheme - Only allow weak schemes if enabled

auth: Add auth_allow_weak_schemes setting

auth: password-scheme - Add password_schemes_allow_weak()

Can be used to allow weak password schemes.

auth: password-scheme - Use named initializers

submission-login: Add workaround for SMTP backend that is not Dovecot.

Adds workaround called "exotic-backend".

version.in: Remove stray file

build-aux/git-version-gen: Allow .git to be any file

In submodule context this will not be a directory

acl: Treat missing global acl file as error

acl: Remove Global ACL directory feature

cassandra: Implement sql_db_vfuncs.statement_bind_double

cassandra: Add support for reading "double" value type

cassandra: Add enum cassandra_sql_arg_type

This allows adding other types more reliably.

dict-sql: Add "double" value type

lib-sql: Add sql_statement_bind_double()

lib: Add str_to_float() and str_to_double()

global: Use connection_client_connect_async()

lib: Add connection_client_connect_async()

imapc: imapc_connection_disconnect_full() - Only conditionally abort

Only abort commands if there are no reconnect commands. Otherwise these
still will be handled and the commands memory will be freed after handling
them.

Broken by 6d16e82fa2c352974558e1415d06f07d8962fe09

auth: auth-cache - Always use translated_username as cache key

This fixes auth cache when passdb/userdb changes the user field.

auth: Set translated_user to requested_login_user in master login

Fixes caching issues with master logins.

auth: Include cache hit/miss information in passdb/userdb lookup end events

lib: test-cpu-limit - Disable system CPU limit checks with valgrind

They run way too slowly.

imapc: imapc_connection_disconnect_full() - Prevent leaking cmd->pool

If the imapc connection was already disconnected when calling
imapc_connection_disconnect() it didn't clean up the commands and
especially the command pools.

auth: db-oauth2 - Fix off by one in oauth2 variable handling

Broken in 9b670175445a75987a713ff899d1a945255b0b5b

build-aux: run-test.sh.in - Capture exit codes before set -e ends the script

With set -e, the script ends on any nonzero exit code and that would
leave the valgrind output unchecked. Fix the exit code capture so
valgrind output is correctly shown.

imapc: imapc_transaction_save_rollback() - Fix NULL-check for ctx->src_mbox

Assert that unfinished context implies that ctx->src_mbox is non-NULL.
Also check for ctx->src_mbox being non-NULL before deinitializing it.

lib: test-seqset-builder - Add missing seqset_builder_deinit()

Fixes leaking memory when running tests.

lmtp: lmtp-proxy - Use port 24 as default for proxy.

LMTP has no officially registered default service port, but 24 is the de-facto
standard. When client connects through TCP, the local client port number is used
to setup the proxy connection as well. However, when the client connects through a
unix socket, there is no port number to use and a default is needed.

fts: Parse mail header before checking whether to index it

Fixes an issue where mime parts Content-type wasn't properly set,
causing binary mime parts to be fed to the indexes.

Broken in ddb85f3533842aa7c4e943c10bbd3dcb745c2eae

auth: passdb-sql - Add assert to help static analyzer

lib-oauth2: get_time_field() - Fix accepting JWT tokens containing decimal parts in NumericDate fields

lib-smtp: Adjust test timeouts based on valgrind runtime presence

lib-smtp: test_server_big_data_data_continue() - Remove stray whitespaces

imapc: imapc_mailbox_msgmap_update() - Set new_message_r

In case a message has not yet been keep the reply till syncing and do
not discard it right away.

imapc: Delay fetching state after untagged exists reply

imapc: imapc_copy() - Make sure capabilities are known before copying

imapc: Implement rollback for failed copies

imapc: imapc_save_copyuid() deduplicate code

imapc: Enable bulk copying if remote backend has UIDPLUS capability

imapc: Implement bulk copying for imapc

imapc: Extract imapc_copy_simple() from imapc_copy()

Keep the old one by one copying functionality as simple call. This will
be used if the remote backend does not have the UIDPLUS capability.

lib-storage: index_save_context_free() - Add assertion on non-NULL ctx->dest_mail

lib: Add seq-set-builder and tests for it

lib: json-parser - Fix detecting truncated JSON input

Based on patch by Dmitry Yakunin

dovecot.service.in: Add remote-fs.target to systemd service

man: doveadm-director - drop acute accent

Found by Lintian:

    This manual page uses the \' groff sequence. Usually, the intent to
    generate an apostrophe, but that sequence actually renders as a an acute
    accent.

    For an apostrophe or a single closing quote, use plain '. For single
    opening quote, i.e. a straight downward line ' like the one used in
    shell commands, use \(aq.

doc/mkcert.sh: Fix variables used for paths in error messages

The used variables are by default equal, but might get distinct by
distribution patches.

auth: passdb-sql - Clear passwords from memory after use

Based on patch by Miecio Za

global: Use consistently "time moved forward"

Based on patch by Tyson Williams

global: Fix spelling

Found via `codespell -q 3`

INSTALL.m4: Add note about autogen.sh

Based on patch by Fritz Zaucker

imap: Shorten test-imap-client-hibernate socket path length

README.m4: Add a link to the GSSAPI-in-SASL spec.

director: Fix crashes caused by changing host tag

Fixes:
Panic: file director.c: line 1175 (director_move_user): assertion failed: (user->host->tag == host->tag)
Panic: file director-request.c: line 303 (director_request_continue_real): assertion failed: (user->host->tag == mail_tag)

director: Prevent loops where directors keep changing host tags

config: old-set-parser - Remove stale FIXME

config: old-set-parser - Remove ssl-parameters.dat processing

dsync: Log reason why mailbox is synced with debug logging

dsync: If modseqs aren't permanent, assume HIGHESTMODSEQ=0

Otherwise the HIGHESTMODSEQ is just whatever happens to be in the in-memory
view of the index, which most likely isn't the true HIGHESTMODSEQ. Using 0
makes it clear that the HIGHESTMODSEQ isn't valid and can't be used.

lib-storage: Fix renaming mailbox hierarchies with FULLDIRNAME

If INDEX/INDEXPVT/INDEXCACHE/CONTROL were specified separately, they
weren't being renamed correctly. This mainly meant that if there was
a "foo/bar" folder, renaming "foo" to "foo2" wouldn't work correctly.

lib-storage: Split off path_get_parent_dir()

config: old-set-parser - Mark license_checksum obsolete

lib: Remove deprecated src_pos_r parameter from base64_decode()

The src_pos_r parameter in base64_decode() has been deprecated in commit
afa3db0a6f15e1b1038cb47f0632baa8f23d0f67 and is now removed - both from
the function as well as all it's calls.

submission-login: submission-proxy - Do not include initial response in AUTH command if it is too long.

submission-login: submission-proxy - Rename local variable in proxy_send_login().

lib-smtp: smtp-client - Move SMTP_BASE_LINE_LENGTH_LIMIT definition to smtp-common.h.

lib-smtp: smtp-client-connection - Rename SMTP_CLIENT_BASE_LINE_LENGTH_LIMIT to SMTP_BASE_LINE_LENGTH_LIMIT.

lib-smtp: smtp-client-connection - Fix typo in comment.

master: Fix logging errors when service listener creation fails

Only some of the errors were logged.

Broken by 6934b81afa05e25ac919a49a7fd30acf78ffa3dd

master: service_unix_listener_listen() - Don't ignore EISDIR/ENOENT errors on reload

The listener is likely important, so failure to be able to create it
shouldn't be ignored. These errors aren't expected to happen though.

anvil: Free all memory used by still connected processes at deinit

anvil: Split off connect_limit_process_free()

anvil: Use a maximum of 100 open admin-client connections while kicking users

anvil: Split off kick_user_iter_more()

anvil: Move add_conn_guid to struct anvil_cmd_kick

anvil: Move prev_pid to struct anvil_cmd_kick

anvil: Always use a new admin-connection for KICK-USER-SIGNAL commands

Otherwise the race condition prevention doesn't work. Also it may have
attempted to send the KICK-USER-SIGNAL command to admin-client connection,
which would respond with "Unknown command".

anvil: Improve error logging if KICK-USER command fails

The kick target-specific struct will be also useful in the next commit.

anvil: Make admin_client_unref(&NULL) no-op