Bitrot: More OpenSSL 1.1.0 API constification

The accessors for ASN1_STRING and X509 before/after dates have new
names and now return const data.  Deal with the fallout.

Bitrot: OpenSSL 1.1.0 DH structure is opaque

Backport DHE code refactoring from 3.0, but keep the default DH
size at 1024 for backwards-compatible behaviour with earlier stable
2.11 releases.

Bitrot: X509_STORE_CTX opaque in OpenSSL 1.1.0

Disable reuse of ECDH ephemeral keys

Fix printf format warnings

Support Berkeley DB version 6

Bitrot: OpenSSL 1.1.0 requires explicit #include <openssl/dh.h>

Clang requires working NORETURN

Bitrot: OpenSSL 1.1.0 and later (de)initialization is implicit

Bitrot: auto-initialization of OpenSSL 1.1.0

The functions SSL_library_init(), SSL_load_error_strings() and
OpenSSL_add_ssl_algorithms() are deprecated in OpenSSL 1.1.0.

Instead the library auto-initializes.  Though it is possible to
call OPENSSL_init_crypto() and OPENSSL_init_ssl() for explicit
control over initialization, for now there is no apparent reason
to do so.  This may change, so explicit initialization might yet
become necessary.

Sanitize non-printables in X509_NAME_oneline output

Upcoming OpenSSL security levels disable "weak" crypto.

Bitrot:  OpenSSL 1.1.0-dev (aka the "master" branch) has new security
levels ranging from 0 to 5.

  * Level "0" is backwards compatible anything goes.

  * Level "1", the new default, is roughly 80-bit or greater security
    across the board (block ciphers, EDH parameters, EC curves, RSA
    bit lengths, ...).  It also disables anonymous ciphersuites,
    breaking "smtpd_tls_cert_file = none", and in is stronger than
    we want for opportunistic TLS.

  * The remaining levels are for now too strong even for mandatory
    authenticated TLS, they disable RC4, RSA keys shorter than 2048
    bits, and SSLv3.

Therefore, (subject to the presence of the feature detected via
macro recommended by Steve Henson), we revert the default security
level back to 0 in the application SSL context.  Users can if they
wish change this by appending ":@SECURITY=<n>" to the various tls
cipherlists.  TODO: we'll shold also add a main.cf parameter and
policy table overrides for this at some point, provided we can
figure out how to explain yet another "mumble_level" to the users.

When authentication is mandatory in either the SMTP client or in
the SMTP server (smtpd_tls_req_ccert = yes) we set the security
level to 1 to ensure adequately strong parameters.

When testing this, discovered that verification error reasons are
not logged in the SMTP server, cloned and tested corresponding code
from the client.

Sample logging (when client cert has wrong EKU):

    smtpd[63016]: certificate verification failed for localhost[127.0.0.1]: not designated for use as a client certificate
    smtpd[63016]: Untrusted TLS connection established from localhost[127.0.0.1]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
    smtpd[63016]: NOQUEUE: abort: TLS from localhost[127.0.0.1]: Client certificate not trusted

Bitrot: session_id constification in callbacks

Bitrot: EVP_PKEY structure opaque in OpenSSL 1.1.0

EVP_PKEY finally joins X509 in OpenSSL 1.1.0-dev API cleanup march

Bitrot: OpenSSL 1.1.0 constification

Bitrot: OpenSSL 1.1.0-dev drops EXPORT ciphers and ephemeral RSA

Bitrot: 'SSLeay' function names purged from OpenSSL 1.1.0

Bitrot: X509 structure opaque in upcoming OpenSSL 1.1.0

Bitrot: SSLv2 dropped in OpenSSL 1.1.0

Bitrot: SSL_SESSION opaque in OpenSSL 1.1.0

postfix-2.11.8

postfix-2.11.7

postfix-2.11.6

postfix-2.11.5

postfix-2.11.4

postfix-2.11.3

postfix-2.11.2

postfix-2.11.1

postfix-2.11.0

postfix-2.11.0-RC2

postfix-2.11.0-RC1

postfix-2.11-20140104

postfix-2.11-20131228

postfix-2.11-20131221

postfix-2.11-20131220

postfix-2.11-20131218

postfix-2.11-20131217

postfix-2.11-20131126

postfix-2.11-20131122

postfix-2.11-20131121

postfix-2.11-20131120

postfix-2.11-20131119

postfix-2.11-20131118

postfix-2.11-20131117

postfix-2.11-20131114

postfix-2.11-20131105

postfix-2.11-20131104

postfix-2.11-20131103

postfix-2.11-20131102

postfix-2.11-20131101

postfix-2.11-20131031

postfix-2.11-20131001

postfix-2.11-20130929

postfix-2.11-20130928

postfix-2.11-20130927

postfix-2.11-20130825

postfix-2.11-20130818

postfix-2.11-20130710

postfix-2.11-20130709

postfix-2.11-20130623

postfix-2.11-20130616

postfix-2.11-20130613

postfix-2.11-20130608

postfix-2.11-20130607

Ignore posttls-finger binary

postfix-2.11-20130602

postfix-2.11-20130517

postfix-2.11-20130513

postfix-2.11-20130512

postfix-2.11-20130405

postfix-2.11-20130403

MacOSX needs libresolv at least since 10.8, probably much longer ago.

postfix-2.11-20130331

postfix-2.11-20130327

postfix-2.11-20130326

postfix-2.11-20130325

postfix-2.11-20130324

More .gitignore files.

postfix-2.11-20130319

postfix-2.11-20130318

postfix-2.11-20130317

postfix-2.11-20130316

postfix-2.11-20130315

github boilerplate

postfix-2.11-20130211

postfix-2.10-20130204

postfix-2.10-20130201

postfix-2.10-20130113

postfix-2.10-20130101

postfix-2.10-20121227

postfix-2.10-20121226

postfix-2.10-20121224

postfix-2.10-20121221

postfix-2.10-20121210

postfix-2.10-20121123

postfix-2.10-20121031

postfix-2.10-20121022

postfix-2.10-20121019

postfix-2.10-20121007

postfix-2.10-20120924