version: Lock release version

NEWS: Add news for v2.4.0

NEWS: Fix formatting to match editorconfig

editorconfig: Use tabs with NEWS file

fts-flatcurve: Remove fts_flatcurve_max_term_size setting

Note: the tokenizer already truncates with its own logic,
The truncation here is to ensure xapian is protected even if
tokenizer logics would change in future.

fts-flatcurve: fts_flatcurve_xapian_uid_exists() - Do not return error if there was no actual error

fts-flatcurve: fts_backend_flatcurve_update_build_more() - Truncate in utf8-safe manner

fts-flatcurve: fts_backend_flatcurve_deinit() - Don't crash if init failed

When fts_backend_flatcurve_init() fails to find the user,
the fields are not initialized, with the exception of the event and
the preallocatd pool.

fts-flatcurve: Remove stray empty lines

lib-imap-client: Add support for channel binding

doveadm: doveadm-auth - Add support for channel binding in test and login commands

doveadm: doveadm-auth - Always allocate authtest input pool

lib-sasl: mech-scram - Implement SCRAM-SHA-1-PLUS and SCRAM-SHA-256-PLUS

auth: mech-scram - Implement SCRAM-SHA-1-PLUS and SCRAM-SHA-256-PLUS

lib-auth: auth-scram-client - Add support for channel binding

lib-auth: auth-scram-server - Add support for channel binding

lib-auth: auth-scram-client - Use settings struct

lib-auth: auth-scram-server - Use settings struct

lib-sasl: dsasl-client - Add support for channel binding

login-common: sasl-server - Add support for channel binding

login-common: sasl-server - Move all mechanism filtering to sasl_server_filter_mech()

Also improve documentation of the various filtering concerns.

lib-auth-client: auth-client - Add support for channel binding

Also support channel binding for mechanisms such as GS2-KRB5, which only
involve one round trip. None of those is supported yet though. This is
implemented using out-of-band round trips that can exchange data between
auth service and login service beyond the normal SASL exchange.

auth: Add support for channel binding

Also support channel binding for mechanisms such as GS2-KRB5, which only
involve one round trip. None of those is supported yet though. This is
implemented using out-of-band round trips that can exchange data between
auth service and login service beyond the normal SASL exchange.

lib-ssl-iostream: Add support for channel binding

lib-ssl-iostream: Add ssl_iostream_get_protocol_version()

auth: auth-mech-connection - Do not announce channel binding mechanisms for minor version < 3

Otherwise, old auth clients like Postfix that don't know about channel binding
would announce these mechanisms, while using them would always fail.

auth: auth-client-connection - Send handshakes past VERSION only after client VERSION is received

auth: auth-request-handler - Finish CONT reply in separate function

auth: mech - Add channel binding mechanism security flag

lib: buffer - Add buffer_clone/t_buffer_clone()

lib-auth: auth-scram-server - Always use str_equals_timing_almost_safe() instead of strcmp()

lib-auth: auth-scram-client - Always use str_equals_timing_almost_safe() instead of strcmp()

auth: mech-scram - Use local variables for struct auth_request

lib-auth-client: auth-client - Remove ATTR_NULL

lib-auth: Reformat auth-scram-client.h

.gitignore - Add doc/dovecot.conf

lib-settings: test-settings-parser - Avoid crashing on unit test failure

Also makes scan-build happy.

global: Add asserts to make scan-build happy

global: Remove/fix dead code

Found by scan-build

lib-var-expand: Fix getopt() return type

lib-var-expand: Fix checking if index() is missing index parameter

mail-lua: lua_call and lua_file var_expand filters - check for missing parameters

quota: Fix error handling on settings lookup failure

auth: userdb sql - Fail if iterate_query is not set

Otherwise we end up with panic.

lib-sql: driver-sqlite - Allocate row only if there are columns in result

global: Add initializer for event in var_expand_params where needed

This makes gcc happy in bullseye.

config: Sort named list filters so more specific ones always override less specific ones

imap: Add mail_utf8_extensions setting

Setting this to yes will enable UTF8=ACCEPT capability if
compiled with support.

lmtp,submission: Add mail_utf8_extensions setting

Setting this to yes will enable SMTPUTF8 support if compiled with it

m4: Check that LDAP is at least 2.4

configure: Remove ldap_start_tls_s() check - it should nowadays always exist

settings: If file has var-expand template in path, expand before opening it

config: Defer opening files with var-expand templates

config, lib-settings: Preparse expansion strings

lib-var-expand: Add ability to export and import programs

This adds functions for exporting and importing var-expand programs
into strings.

doc: Update dovecot.conf for new ssl settings

lib-storage: Minor improvement to pop3_uidl_format error message

fts: Silently ignore fts if fts_driver is empty

lib-storage: Fix memory leaks when storage create() fails

mdbox: Fix crash in storage destroy() with partially finished create()

lib-settings: Optimize getting values without %variables

lib-settings: Avoid unnecessary string duplications

lib-settings: Use settings_var_expand() for expanding default settings

lib-settings: Split off settings_var_expand()

auth: Fix linking when building ldap as plugin

lib-settings: Fix non-default settings when using SETTINGS_OVERRIDE_TYPE_2ND_DEFAULT

When processing SETTINGS_OVERRIDE_TYPE_2ND_DEFAULT settings,
setting_parser_info.default_settings were overriding settings from config
file.

lib-ssl-iostream: Fix client side setting references in error messages

lib-ssl-iostream: Change openssl_iostream_load_key() to be static

lib-ssl-iostream, global: Use ssl_server_ prefix for SSL server settings

lib-ssl-iostream: Change ssl_prefer_server_ciphers boolean to ssl_prefer_ciphers enum

auth: Remove ssl_prefer_server_ciphers from oauth2 client configuration

It wasn't actually doing anything.

auth: ldap - Fail clearly if filter string is empty

lib-dict-backend: ldap - Rename ldap_filter to dict_map_ldap_filter

auth: Add passdb_ and userdb_ prefixes to auth-specific ldap_* settings

config: Add config_parser_context.dump_defaults

This is used by Pigeonhole config plugin.

lib-ssl-iostream: Change ssl_cipher_list to empty by default for ssl_client

lib-ssl-iostream: Add ssl_client and ssl_server named filters

global: Use ssl_client/server_settings_get()

lib-ssl-iostream: Add ssl_client/server_settings_get()

lib-ssl-iostream: Allow empty ssl_cipher_list and ssl_min_protocol

If empty, the OpenSSL defaults are used.

lib-ssl-iostream: Minor error message improvements

dovecot-config: Add DOVECOT_LDAP_LIBS, LIBDOVECOT_LDAP[_DEPS], LIBDOVECOT_LDAP_INCLUDE

lib-ldap, auth: Change ldap_set_*() API to return error message

Instead of i_fatal()ing on error.

lib-ldap: Install ldap-utils.h

lib-sql: cassandra - Fail clearly if cassandra_hosts or cassandra_keyspace is empty

lib-compression: Remove legacy ostream_create() API

lib-compression: Convert unit tests to use create_ostream_auto() API

fs-compress: Remove support for legacy compress ostream_init() API

imap-login: Use create_ostream_auto() compression API

lib-sql: Remove sql_init_legacy*()

lib-settings: Remove legacy API

auth: Remove legacy userdb init and userdb_args setting

auth: Remove legacy passdb init and passdb_args setting

lib-sql: sqlpool - Remove support for legacy init

lib-sql: sqlite - Remove support for legacy init

lib-sql: pgsql - Remove support for legacy init

lib-sql: mysql - Remove support for legacy init

lib-sql: cassandra - Remove Remove support for legacy init

lib-sql: Remove sql-db-cache-legacy

lib-sql: Convert unit tests to use sql_init_auto()