Add a test case about the previous commit

mlmmj-process: clean up queue file on do_all_the_voodoo_here failure

When do_all_the_voodoo_here() fails, the partially written queue file
is left behind. Add unlink() to match the cleanup done in the earlier
rawmailfd open failure path.

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

test: add test case about the keep queued resend file on failure

mlmmj-send: keep queued resend file on failure

Avoid deleting the queued recipients file when resending a failed mail if
sending fails again (e.g., fdopen/connect errors), preventing message loss.

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

test: add 2 new tests convering the previous commit

requeuemail: fix single-recipient send failure losing address

When send_mail() fails for the only (or last) recipient, the address
gets popped into the 'addr' parameter, leaving 'addrs' empty. The
early return was checking only if addrs was empty, ignoring addr.

Effect: when sending to a single recipient fails, that recipient is
not saved to the requeue file and is lost entirely. The return value
of 0 (false) propagates back as "success", causing the caller to
delete the queue file as if sending succeeded.

Fix by only returning early when there is nothing to save (both addrs
empty AND addr NULL). This ensures failed recipients are properly
requeued for retry.

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

listcontrol: replace __attribute__((fallthrough)) with comment

The __attribute__((fallthrough)) statement was added in GCC 7. Older
versions treat it as an empty declaration and emit a warning. Use a
/* fallthrough */ comment instead, which GCC (-Wimplicit-fallthrough)
and Clang both recognise as an intentional fallthrough annotation.

Signed-off-by: Konstantin Ryabitsev <konstantin@linuxfoundation.org>
Assisted-by: claude-opus-4-6

Rename __unused macro to MLMMJ_UNUSED

Identifiers with double-underscore prefixes are reserved for the C
implementation. Older glibc headers (bits/stat.h) use __unused as a
struct field name, so the mlmmj macro expansion produces invalid syntax
when that header is included transitively via fcntl.h.

Rename to MLMMJ_UNUSED to avoid the conflict and stay out of the
reserved namespace.

Signed-off-by: Konstantin Ryabitsev <konstantin@linuxfoundation.org>
Assisted-by: claude-opus-4-6

Add a test case about the NULL deref in case of double call to
list+owner

mlmmj-process: fix NULL deref in owner mail reprocessing path

When mail is addressed to listname+owner, mlmmj-process calls
do_all_the_voodoo_here() a second time to strip envelope headers
before forwarding to the list owner. This second call reuses the
same allheaders list that was already populated by the first call.

Inside do_all_the_voodoo_here(), scan_headers() appends the new
mail's headers to the passed-in allhdrs list, while allunfoldeds
is a fresh local list containing only the headers from the current
scan. The main loop then iterates all entries in allhdrs (which now
includes headers from both calls) while popping from allunfoldeds
(which only has entries from the second scan). Once the unfolded
entries are exhausted, tll_pop_front() on the empty list dereferences
NULL and crashes.

Fix this by passing a separate local strlist to the second call so
that allhdrs and allunfoldeds stay in sync.

Signed-off-by: Konstantin Ryabitsev <konstantin@linuxfoundation.org>
Assisted-by: claude-opus-4-6

Release 1.7.0

tests: enable glibc malloc corruption detection

Set MALLOC_CHECK_=3 in test environment to detect memory corruption
issues like double-free and buffer overflows. When detected, glibc
will print a diagnostic and abort the program.

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

listcontrol: fix double-free in CTRL_RELEASE error path

moderatefilename is already freed before the autosubscribe block:

free(moderatefilename);
bool autosubscribe = statctrl(ml->ctrlfd, "autosubscribe");
if (autosubscribe) {
...
if (mfd == -1) {
free(sendfilename);
free(moderatefilename);  // double-free
return (-1);
}

Remove the second free.

Fixes: ac7f7646 ("autosubscribe: new feature")
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

fix locking bug in log_oper() and run_digests()

The condition
if (fd < 0 && !lock(fd, true))
makes no sense: it will try to lock a negative fd which
of course does nothing.

What is meant is
if (fd < 0 || !lock(fd, true))
if fd is not negative, lock it.

Fixes: 2af27b24 ("locking: use a more portable mechanism")
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

fix locking logic

The condition
if (fd == -1 && !lock(fd, true))
does not make sense: if fd is -1 it will try to lock the fd.
Of course locking -1 does nothing.

What is meant is
if (fd == -1 || !lock(fd, true))
in other words if fd is valid, lock it.

Affected locations:
- src/mlmmj.c: unsubscribe() - writing subscriber .new files
- src/subscriberfuncs.c: subscribe_type() - appending to subscriber files
- src/incindexfile.c: incindexfile() - updating list index

Without this fix, these operations proceed without file locking, which
can at least theoretically cause data corruption if multiple processes
operate on the same files concurrently.

Fixes: 2af27b24 ("locking: use a more portable mechanism")
Fixes: f9da8d13 ("mlmmj-sub: move all subcription code into a reusable function")
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

mlmmj-process: address TODO to free parsed headers

Add free_parsed_hdrs() helper to free readhdrs and all strlist
variables (fromemails, toemails, ccemails, etc.) before exit.

This is a cosmetic fix since mlmmj-process is a short-lived
executable that exits immediately after processing, so the OS
reclaims all memory anyway. However, it improves code hygiene
and removes the XXX comment.

Fixes: 4059b78 ("do_all_the_voodo_here introducton plus a massive cleanup")

subscriberfuncs: fix memory leak in autosubscribe_sender

The readhdrs structure allocated by scan_headers() was never freed,
causing a memory leak on every call to autosubscribe_sender(). Add
free_mailhdrs() calls to all return paths.

Fixes: ac7f764 ("autosubscribe: new feature")

mlmmj: move free_mailhdrs() to mlmmj.c and fix leak in prepstdreply

Move free_mailhdrs() from subscriberfuncs.c to mlmmj.c (next to
save_hdr_if_needed) and declare it in mlmmj.h so it can be shared.

Also fix memory leak in get_msgid_line() which calls scan_headers()
but never freed the allocated readhdrs memory.

Fixes: 2550bb1 ("probe: send message-id is possibel in probe emails")

tests: fix charset in maxmailsize test expectations

Change charset=utf8 to charset=utf-8 to match the listtexts change
from commit 2045851.

Fixes: 2045851 ("fix East Asian script garbled characters")

tests: fix charset in moderation_reject_invalid test expectation

Change charset=utf8 to charset=utf-8 to match the listtexts change
from commit 2045851.

Fixes: 2045851 ("fix East Asian script garbled characters")

tests: fix charset in moderation_notmetoo test expectation

Change charset=utf8 to charset=utf-8 to match the listtexts change
from commit 2045851.

Fixes: 2045851 ("fix East Asian script garbled characters")

tests: fix charset in moderation_notifymod test expectation

Change charset=utf8 to charset=utf-8 to match the listtexts change
from commit 2045851.

Fixes: 2045851 ("fix East Asian script garbled characters")

tests: fix charset in moderation test expectation

Change charset=utf8 to charset=utf-8 to match the listtexts change
from commit 2045851.

Fixes: 2045851 ("fix East Asian script garbled characters")

tests: fix charset in simple test expectation

Change charset=utf8 to charset=utf-8 to match the listtexts change
from commit 2045851.

Fixes: 2045851 ("fix East Asian script garbled characters")

fix East Asian script garbled characters

the text files use `charset=utf8`,
 but according to the RFC3629,RFC2046,RFC6532, the correct way to write it is `charset=utf-8`.

moderation: remove dead part of the message

selfmoderate: adapt the text send to the user

rename modemailsender to selfmoderate

autosubscribe: new feature

when a mailing list moderated for non subscribed people, if a moderator
accept the email of the sender automatically register the send in the
list of "nomail" subscribers.

move and rename getinfo into an understandable name

Use a generic function instead of findit

mlmmj-send: small style improvements

listcontrol: style improvements

mlmmj-process: more style improvements

mlmmj-process: small style changes

implement modemailsender test

Implement a new moderation_modemailsender test.
It is identical to moderation_modemailsender, but
sets modemailsender and verifies that the moderation email
goes to the sender.

refactor moderation test

add a subfunction that will allow adding more tests without duplication

add modemailsender option for sender moderation

Some people make their lists subscriber-only for the only reason
that they want senders to confirm they can receive email.
For example, this is a weak form of anti-spam (senders which can not
receive mail and reply to it are filtered out).

However, this annoys one-time contributors which really just want to
post a random mail here and there.

To address this, add a new modemailsender option for sending moderation
emails back to senders instead of moderators. They can now then confirm
it themselves - less work for moderators!

Specifically, when the control/modemailsender file is present,
moderation emails are sent to the original sender instead of moderators.
Only affects moderated lists.

Fix typo to correctly detect disabled nomail subscriptions

- emphasize headers with markdown modifier

delheaders: improve documentation

Fixes: #68

add more patterns to delheaders  unit tests

add more unit tests to delheaders feature

update license

Release 1.6.0

customheaders: remove blank prefix and skip empty lines

Remove all the blanks prefixing any lines and skip empty lines when
adding custom headers as it can break email parsers

Fixes: #17

Changelog: document $bouncenumbers$ new expansion

probe: send message-id is possibel in probe emails

When sending the probe emails, tries to add the message-id in the
message, to help users figuring finding the wrong email

Fixes: #8

refactoring: isolate the code scanning the header

Isolate the code scanning the header of a mail into its own function
for it to be reusable

cleanup: remove extra semicolon

customheaders allow substitution on variable $posteraddr$

 - fix build issues on Linux/Hurd 386
 - unit test tests/mlmmj:smtp was incorrect because write_dot send 2 lines

Update changelog

Release 1.5.2

test: restore usage of top_srcdir which was actually setup in kyua.conf

Add a test of the presence of the variable, it fails if the kyua.conf
path is not provided to the kyua call

portability: fix socket size initialisation (fixes tests on alpine)

test: fix setting up listtext symlinks

Note top_srcdir is not a valide atf-c variable, no idea why it worked
most of the time

portability: fix socket size initialisation (fixes tests on alpine)

fakesmtp: (portability) fix run on alpine

mlmmj-bounce:basics_6 can only be run as non root

32bit fix touch argument to remain on an always valid range

- rewrite some tests involving time_t so he will perform better on 32 bits platform

Releae 1.5.1

Fix tests when there is an actual mailserver running on the host

- fgetc return a int not a char , and that was not portable on arm 64

- fix issue with struct ml , not be initialized , test mod_get_addr_type failed

Release 1.5.0

rfc2047: add tests for us-ascii

decode_qp: add Q format support and reuse the function

decode rfc2047's Q format using the strgen's decode_qp this reduces code
duplication

unistr: add tests for unistr_header_to_utf8

unistr: remove declaration of removed unistr_dump

unistr: remove unused functions

Add option to copy From: to Reply-To:

The replyto boolean causes the original From: header to be copied
to Reply-To:, so that emails can be accepted from senders that
enforce DMARC policies.

Changelog: add a missing change

Changelog: add the 2 last changes

bounce: fix recording twice bounces

While here simplify bounce code

foot filter: remove documentation

foot_filter: remove

this is too naive and cannot cope with the complexity of emails.
Either mails are restricted to be plain/text and control/footer is
enough or preprocess with ah external program the email, this work
does not belong directly to mlmmj and I don't intend into maintaining
this code.

Fixes: #23

subscribefunc: ensure we have an address to (un)subscribe

analysis: mark a couple of function as noreturn

This helps code analysis tools.

mlmmj-process: plug memory leak

access: document the dash-extension

access: granular access rejection

if a qualifier was passed to the deny action, this qualifier is then
used as an extension when looking for the template of deny message to
send to the user.

deny-post-access-<qualifier>

Fixes: #7

access: accept -<qualifier> after actions

access: modify the function to make it build the message to log

this allows better testability and make sure we only log in one place.

access: move code handling access into a separate to make it testable

while here, add very basic unit tests

document removal of pymime

pymime: remove

This script is obsolete: depends on python 2 and hasn't been updated
upstream for years

receivestrip: delete blank lines

receive-strip: replace extract_boundary with unit tested parse_content_type

mlmmj: add a parser to extract content-type's mime and boundary

message formatting: remove all deprecated variables

listtexts: stop using deprecated $confaddr$

Use $confimaddr$ instead

fix build on linux

release: 1.4.7

strgen: xlocale.h is required to build on macOS

mlmmj-process: fix duplicate queued moderation notification email

release: 1.4.6

test: fix a test regarding RFC 5321

Fix another regression in RFC 5321