m4: dovecot.m4 - Add Control-flow protection support

m4: dovecot.m4 - Add Straight-Line Speculation (SLS) mitigation support

m4: dovecot.m4 - Add LTO support

lib-settings: Add comments to settings-history-core.txt

lib-settings: Update settings-history.py to skip comments from input_file

lib-settings: Update settings-history.py to parse both Pro and CE tag

imap: notify - Properly encode mailbox names in mUTF7

imap: imap-notify - Add client local variable in imap_notify_list()

imap: cmd-notify  - Add client local variable in imap_notify_box_send_status()

acl: acl_lookup_dict_rebuild() - Avoid excessive data stack growth

acl: Remove deprecated global ACL files

Use the acl { ... } settings instead. This removes acl_global_path setting.

lib-imap: imap-match - Properly adhere to grapheme cluster boundaries

lib: unichar - Add grapheme cluster scanner

lib: unicode - Implement text segmentation at grapheme cluster boundaries

lib: test-unicode-* - Use absolute source directory for composing UCD directory

Allows calling the unit tests outside the local source directory.

lib: unicode-data - Rename several word break bits for common use

lib: unicode-ucd-compile.py - Use write_tables_c_cpd() also for codepoint defaults

lib: unicode-ucd-compile.py - Split off write_tables_c_cpd()

lib: unicode-ucd-compile.py - Make framework for handling default code point data

imap: LIST - Handle invalid mUTF-7 mailbox names as never matching anything

lib-var-expand: Use allocfree pool for parser

For compability reasons, alloconly cannot be used here.

config: Update supported dovecot_config_versions

lib-imap: Fix linking dependency to lib-mail

lib-sasl: Fix linking dependencies

lib-dict: test-dict - Remove duplicate variables

lib-mail: test-message-decoder - Remove duplicate function

config: Fix panic when parsing invalid %{ variable program

For example:
login_greeting = %{

Fixes:
Panic: %{: syntax error, unexpected end of file, expecting CCBRACE or PIPE or NAME

lib-mail: Make message_part_is_attachment() part parameter const

lda: Use EX_TEMPFAIL (75) if configuration is invalid instead of 89

This is a v2.4 / v3.0 regession caused by a series of commits:
99080aeceea1da42f2da00e703bc6a69ddfd216d
ae7aea07b9e34c712909e7a44c682e968f4c55e5
f464063f63245a10f65eaab8720d5874f824c6b1

submisssion-login: Fix segfault occuring at proxy AUTH upon relay connection failure

Fixed by halting server input once proxy authentication succeeds. This prevents
race conditions between input from proxy server and command output, which causes
a segfault when the current server command is already cleared when more input
(beyond AUTH success) from the proxy server comes in.

submission-login: submission-proxy - Fix assert calls in submission_proxy_parse_line()

login-common: login-proxy - Add login_proxy_input_halt()

Halts input from proxy server early so that proxy_parse_input callback is not
called again.

lib-auth-client: Fix user iteration potentially listing empty usernames

Broken by 529e9d98cb637fc69bd5e8a3ed769b0031558c67

With earlier code one of ctx->username, finished or failed was guaranteed to
be set. With the new auth_master_request_wait() code this is no longer true.
It's unclear when exactly this happens or how to reproduce, but the fixed code
makes sure it doesn't, or at least assert-crashes if it still does.

lib-auth-client: Remove obsolete comment

auth: Fix user iteration when there were many users

The iteration stopped in the middle and an error was logged:
auth: Error: auth-worker: Aborted LIST request for *: Shutting down

Broken by f591498845fd7b5e11f1085b6e1f5e34dcc84767

lib-imap: seqset - Fail if seeing over 32bit sequence numbers

Previously they were wrapped to 32bit number.

imapc: Add support for SEARCH MIMEPART

Use it if the remote server advertises SEARCH=X-MIMEPART or SEARCH=MIMEPART.

login-common: Use login_binary.service_name for anvil lookups

This fixes mail_max_userip_connections to work with managesieve. It was
previously using "sieve" to do the lookup, while actually using
"managesieve" for registering itself to anvil. Now the lookup will also
use "managesieve".

login-common, *-login: Add login_binary.service_name

This will be used for anvil.

submission-login: Handle CLIENT_AUTH_RESULT_LIMIT_REACHED as temporary error

login-common, *-login: Add proxy_dest_connection_limit error_code to proxy_session_finished

If IMAP backend returns with [LIMIT] or POP3 backend returns with [IN-USE],
use this error code rather than the generic proxy_dest_auth_failed.
Error messages are also updated.

pop3-login: If mail_max_userip_connections is reached, reply to login with [IN-USE] prefix

The [IN-USE] indicates that the mailbox is locked for servers that allow
only a single POP3 client at a time. This is similar to rejecting login
due to too many concurrent logins.

login-common: If proxy fails, log the reason in the "Login aborted" log line

It was already logged separately in proxy's "Login failed" line, but having
the reason in the "Login aborted" line as well avoids having to match log
lines to find the reason.

imapc: Support SORT=DISPLAY extension

imapc: Use ESORT extension if it exists

imapc: Implement SORT optimization

lib-imap-client, imapc: Automatically register no-CAPABILITY values for imapc_features

Remove explicit no-metadata, no-qresync and no-imap4rev2 features, since
they're now automatically added.

no-acl was left for now, because it's used regardless of the advertised ACL
CAPABILITY. This should probably be changed.

lib-imap-client: Add and use imapc_capability_lookup()

lib-imap-client: Change imapc_features to be case-sensitive

Settings in general are case sensitive - there's no reason to make them case
insensitive.

lib-imap-client: Move imapc_capability* to imapc-settings.[ch]

imapc: Handle SEARCH NO replies by forwarding the error

This is how most of the other commands already work. It just wasn't done
for SEARCH.

imapc: Fix handling SEARCH failures

Previously if the remote SEARCH failed, the failure was simply ignored and
empty results returned.

imapc: Fix sending UID STORE commands

The uidset parameter always ended with a comma, which isn't valid IMAP
protocol.

lib-imap: Add imap_seq_set_ordered_parse()

lib-imap: imap_seq_set_*parse() - Return empty input string as an error

lib-imap: Add test-imap-seqset

lib: Reformat seq-set-builder.h

lib-login: Don't reset process title after successful login

The login_server_conn_unref() function was unconditionally calling
login_server_proctitle_refresh(), which would reset the process title
to "[idling]". This happened even after a successful login, overwriting
the process title set by the service (e.g., imap, pop3).

imapc: Add STATUS (DELETED)

imapc: imapc_server_unselect() - Use root separator for unselect-via-select

imapc: Handle the response to UNSELECT on the remote side

imapc: Extract imapc_server_unselect()

lib-imap-client: Track connection's selected mailbox

lib-imap-client: Propagate selected mailbox name to struct imapc_client_mailbox

lib-imap-client: imapc_connection_unselect() - Rename to imapc_connection_mailbox_closed()

imap: Add STATUS (DELETED)

lib: connection API - Add assert to make sure input is not NULL

Some code, such as http_client_connection_start_tunnel(), can explicitly set
input/output to NULL to detach from the connection. However, they shouldn't
do it with client_connect_succeeded=FALSE stage.

Improvement to 95512b697fdbdd16d4112c6eec45ec4f3792485c

lib-master: test-event-stats - Fix memory leak

Broken by 95512b697fdbdd16d4112c6eec45ec4f3792485c

doveadm: Flush print output after processing each user

Otherwise when processing many users, the print output wouldn't be flushed
until enough output had been written. If there wasn't much written, it
could have taken a long time to see anything printed.

global: Replace important iostream == NULL checks with iostream->closed

This are useful after the previous connection_disconnect() API change to
preserve the old behavior better.

More checks could have been done or NULL checks could have been removed, but
for now lets just do the minimum that is useful.

lib: connection API - Always have iostreams available

Set iostreams immediately when connection is initialized, and unset them
only at connection_deinit(). client_disconnect() only closes the iostreams.
This way it's safe to always access connection's iostreams without having to
check whether they are NULL.

This fixes at least a crash in auth process's pass_callback_finish()
where output is tried to be written to auth-master client connection,
which has already disconnected.

lib: connection API - Add client_connect_succeeded field

This is needed after the following change, since it's not possible to use
input/output != NULL check for it.

lib-program-client: test-program-client-local - Wait longer with valgrind

lib-program-client: test-program-client-unix - Finish ostream

lib-program-client: test-program-client - Do not require error handling

It's not important here.

CONTRIBUTING.md: First version

AGENTS.md: First version

configure: Fix LIBDOVECOTTEST_LIBS to LIBDOVECOT_TEST_LIBS

lib-dovecot: Make it possible to do semistatic libdovecot.so

This can be now done with setting
 - ZLIB_LIBS_STATIC to libz.a location
 - LIBPCRE_LIBS_STATIC to libpcre2-32.a location
 - SSL_LIBS to both libssl.a and libcrypto.a location

global: Add and use LIBDOVECOT_TEST_LIBS

doveadm: doveadm_blocking_connect() - Fix panic if handshake read() fails

Fixes:
Panic: output stream .../master is missing error handling

lib-var-expand: Fix unit test failure with some bison versions

Some versions start the error with "syntax error, unexpected $end".
Broken by fcedf9dfe8db1fa0952df47ddfc26d930188863a

master: Set anvil process's last_status_update immediately after config reload

pop3c: Fix potential hangs with SSL

io_add_istream() should be used when SSL iostreams.

pop3c: Show the exact state where client timed out

Many different states caused "Authentication timed out".

lib-http: Add HTTP_CLIENT_REQUEST_ERROR_PREREQUISITE_FAILED error code

This new internal error code can be used to signal that a prerequisite
for submitting the request failed.

auth: auth_cache_parse_key_and_fields() - Change to return error instead of i_fatal()

auth: Add and use userdb_set_cache_key() to set cache key

auth: Add and use passdb_set_cache_key() to set cache key

auth: ldap - Avoid repeating error messages if iteration fails due to invalid settings

auth: ldap - Fix crash if users are iterated, but userdb_ldap_iterate_fields is not set

auth: Don't initialize cache key if caching is disabled for the userdb

auth: userdb.preinit() - Add userdb_parameters parameter

auth: Don't initialize cache key if caching is disabled for the passdb

auth: passdb.preinit() - Add passdb_parameters parameter

auth: Fix auth caching to work with passdb_ldap_bind_userdn

passdb_ldap_bind_userdn wasn't part of the cache key, so:
 * If no %variables were given in ldap_base or passdb_ldap_filter, startup
   failed with "Cache key must contain at least one variable"
 * If the same %variables were part of ldap_base or passdb_ldap_filter,
   it worked correctly.
 * If different %variables were part of ldap_base or passdb_ldap_filter,
   cached lookups may have returned wrong results.

auth: ldap - Add debug log when bind started/finished

configure: Quote abs_top_builddir in TEST_CFLAGS sufficiently

build-aux/run-test.sh.in: Export DOVECONF_PATH if it's set

m4: Set DOVECONF_PATH

If dovecot is not installed, it points to dovecot build location.