Bitrot: OpenSSL 1.1.0 X509_STORE_CTX is opaque

Avoid direct access to member fields, use the accessors.

Bitrot: OpenSSL 1.1.0 DH structure is opaque

Backport DHE code refactoring from 3.0, but keep the default DH
size at 1024 for backwards-compatible behaviour with earlier stable
2.10 releases.

Bitrot: More OpenSSL 1.1.0 API constification

The accessor for ASN1_STRING has a new name and now returns const
data.  Deal with the fallout.

Disable reuse of ECDH ephemeral keys

Fix printf format warnings

Support Berkeley DB version 6

Bitrot: OpenSSL 1.1.0 requires explicit #include <openssl/dh.h>

Clang requires working NORETURN

Bitrot: auto-initialization of OpenSSL 1.1.0

The functions SSL_library_init(), SSL_load_error_strings() and
OpenSSL_add_ssl_algorithms() are deprecated in OpenSSL 1.1.0.

Instead the library auto-initializes.  Though it is possible to
call OPENSSL_init_crypto() and OPENSSL_init_ssl() for explicit
control over initialization, for now there is no apparent reason
to do so.  This may change, so explicit initialization might yet
become necessary.

Sanitize non-printables in X509_NAME_oneline output

Upcoming OpenSSL security levels disable "weak" crypto.

Bitrot:  OpenSSL 1.1.0-dev (aka the "master" branch) has new security
levels ranging from 0 to 5.

  * Level "0" is backwards compatible anything goes.

  * Level "1", the new default, is roughly 80-bit or greater security
    across the board (block ciphers, EDH parameters, EC curves, RSA
    bit lengths, ...).  It also disables anonymous ciphersuites,
    breaking "smtpd_tls_cert_file = none", and in is stronger than
    we want for opportunistic TLS.

  * The remaining levels are for now too strong even for mandatory
    authenticated TLS, they disable RC4, RSA keys shorter than 2048
    bits, and SSLv3.

Therefore, (subject to the presence of the feature detected via
macro recommended by Steve Henson), we revert the default security
level back to 0 in the application SSL context.  Users can if they
wish change this by appending ":@SECURITY=<n>" to the various tls
cipherlists.  TODO: we'll shold also add a main.cf parameter and
policy table overrides for this at some point, provided we can
figure out how to explain yet another "mumble_level" to the users.

When authentication is mandatory in either the SMTP client or in
the SMTP server (smtpd_tls_req_ccert = yes) we set the security
level to 1 to ensure adequately strong parameters.

When testing this, discovered that verification error reasons are
not logged in the SMTP server, cloned and tested corresponding code
from the client.

Sample logging (when client cert has wrong EKU):

    smtpd[63016]: certificate verification failed for localhost[127.0.0.1]: not designated for use as a client certificate
    smtpd[63016]: Untrusted TLS connection established from localhost[127.0.0.1]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
    smtpd[63016]: NOQUEUE: abort: TLS from localhost[127.0.0.1]: Client certificate not trusted

Bitrot: session_id constification in callbacks

Bitrot: use RSA_generate_key_ex with OpenSSL >= 1.0.0

Bitrot: OpenSSL 1.1.0 constification

Bitrot: OpenSSL 1.1.0-dev drops EXPORT ciphers and ephemeral RSA

Bitrot: 'SSLeay' function names purged from OpenSSL 1.1.0

Bitrot: SSLv2 dropped in OpenSSL 1.1.0

Bitrot: SSL_SESSION opaque in OpenSSL 1.1.0

Bitrot: CRYPTO_thread_id() deprecated in OpenSSL 1.0.0

Bitrot: libresolv needed in at least MacOS/X 10.7 and up

postfix-2.10.10

postfix-2.10.9

postfix-2.10.8

postfix-2.10.7

postfix-2.10.6

postfix-2.10.5

postfix-2.10.4

postfix-2.10.3

postfix-2.10.2

postfix-2.10.2-RC1

postfix-2.10.1

postfix-2.10.0

postfix-2.10.0-RC1

postfix-2.10-20130204

postfix-2.10-20130201

postfix-2.10-20130113

postfix-2.10-20130101

postfix-2.10-20121227

postfix-2.10-20121226

postfix-2.10-20121224

postfix-2.10-20121221

postfix-2.10-20121210

postfix-2.10-20121123

postfix-2.10-20121031

postfix-2.10-20121022

postfix-2.10-20121019

postfix-2.10-20121007

postfix-2.10-20120924

postfix-2.10-20120908

postfix-2.10-20120902

postfix-2.10-20120801

postfix-2.10-20120715

postfix-2.10-20120713

postfix-2.10-20120630

postfix-2.10-20120627

postfix-2.10-20120625

postfix-2.10-20120617

postfix-2.10-20120520

postfix-2.10-20120426

postfix-2.10-20120425

postfix-2.10-20120423

postfix-2.10-20120422

postfix-2.10-20120407

postfix-2.10-20120404

postfix-2.10-20120330

postfix-2.10-20120308

postfix-2.10-20120305

postfix-2.10-20120303

postfix-2.10-20120226

postfix-2.10-20120218

postfix-2.10-20120202

postfix-2.10-20120130

postfix-2.10-20120124

postfix-2.10-20120118

postfix-2.9-20120117

postfix-2.9-20120115

postfix-2.9-20120114

postfix-2.9-20120110

postfix-2.9-20120108

postfix-2.9-20120102

postfix-2.9-20111230

postfix-2.9-20111224

postfix-2.9-20111222

postfix-2.9-20111221

postfix-2.9-20111219

postfix-2.9-20111218

postfix-2.9-20111217

postfix-2.9-20111213

postfix-2.9-20111209

postfix-2.9-20111205

postfix-2.9-20111203

postfix-2.9-20111129

postfix-2.9-20111127

postfix-2.9-20111126

postfix-2.9-20111125

postfix-2.9-20111122

postfix-2.9-20111121

postfix-2.9-20111120

postfix-2.9-20111119

postfix-2.9-20111118