Reuse the static space_stuff function for unstuffing.

Remove manual note about space-stuffing only once.

Stuffing is now performed each time.

Re-enable and cleanup format-flowed space stuffing.

Commit 04cb5bde tried to fix re-stuffing a postponed message more than
once, but unfortunately broke the normal case of composing a new
message.  So actually, space-stuffing has been turned off the past 7
years.

Move format=flowed parameter setting below the standard message
pre-processing block.  It shouldn't be performed for draft-files even
with $resume_draft_files set.  Moving out of the block makes that
clearer.

Create mutt_rfc3676_space_(un)stuff() functions, which check the
content type and stuff/unstuff apprpropriately.  Note that the
stuff/unstuff does not depend on $text_flowed, which is only in charge
of setting the format=flowed parameter.  This parameter can also come
from resumed/resent/draft messages and should still be respected.

Add unstuffing to mutt_prepare_template().  This is called by
postponed, resent, and draft files.  This will prevent double-stuffing
in those cases.

Unstuff/restuff around editing the message in the compose menu, to
keep everything transparent to the user.  I originally put the
stuffing *after* the compose menu, but previewing the messages in the
compose menu did not work properly in that case.  It's cleaner this
way too.

Change the stuff/unstuff functions to preserve the original
hdr->content->filename.  The "hack" previously used would interact
poorly with editable body files (mutt -i -E).  Fortunately space
stuffing was pretty much disabled except in unusual cases before.

Properly revert on an autocrypt postpone failure.

Merge branch 'stable'

Fix inotify configure test.

AC_CHECK_FUNCS executes "action-if-found" or "action-if-not-found" for
each function in the list.  If a system has some but not all of the
functions, both will end up being executed.

This caused a build failure on an older system with exactly that
situation.

Change to only define USE_INOTIFY if all functions exist.

de.po: proper translation for term collapse

The intention of the term "collapse" is something like opening and
closing an item. The initial translation which was added two decades
ago means something like "breaks by weakness", which does not fit in
the context of mutt.

Use a term which means literally "opening and closing an item, like a
book".

Signed-off-by: Olaf Hering <olaf@aepfle.de>

Clean up the autocrypt doc a bit more.

Update autocrypt keyring documentation.

Recommend setting $autocrypt_dir to your normal keyring directory if
you want to use your existing key.

Trying to copy it over leads to signature verification issues.  Even
if I reversed the order (which is much less clean), that would just
lead to missing key signature errors for Autocrypt messages instead.

Fix --with-sqlite3 test for autocrypt.

Since $with_sqlite3 can contain a path, we want to check if it is
"no", not that it isn't "yes".

Add $ssl_use_tlsv1_3 config variable, default set.

Add size display configuration variables.

Although it would be nice to "open this up" more, performance and
security/stability issues would arise.

Based on the thread in mutt-dev, I hope these vars will satisfy most
customization needs:
  $size_show_bytes
  $size_show_mb
  $size_show_fractions
  $size_units_on_left

Fix LibreSSL build.

Apparently LibreSSL doesn't implement SSL_has_pending(), even for
newer versions.

Update POTFILES.in.

The file was missing a few files with translation strings:
copy.c, imap/auth_oauth.c, and safe_asprintf.c.

Add checks for buffered OpenSSL or GnuTLS data when polling.

I don't believe this has had an actual effect, because Mutt doesn't
support renegotiation, and we are only polling immediately after
sending NOOP.

However, it looks like checking is technically the correct thing to do
to avoid polling waiting for data that is already buffered.

Mention base64 keydata being stored in the autocrypt database.

Move LIBAUTOCRYPT before MUTTLIBS to fix building issues.

Add autocrypt and sqlite3 to .gitlab-ci.yml.

Add L10N comment about autocrypt menu help line abbreviations.

Add a note about autocrypt first-run and macros.

Add autocrypt documentation about shared key and keyring strategies.

Minor autocrypt manual section updates.

Mention key selection during account creation and $autocrypt_reply for
controlling autocrypt mode setting during replies.

Enabled writing protected subject with autocrypt too.

Turn off macro processing during autocrypt initialization.

The muttrc can push events into the macro buffer, with the assumption
that mailbox will be opened next.  This will interfere with the
prompts uses during first run.  The only issue is that macros won't
work inside the folder browser, if invoked.

Allow nested setting of OPTIGNOREMACROEVENTS.

This will be needed for the first-run of autocrypt initialization.
The initialization involves a number of prompts, and can even use the
folder browser.  The browser could in turn connect to IMAP which might
invoke a certificate prompt, login prompt, etc.

Add $autocrypt_reply.

This allows turning off the force-autocrypt mode when replying to an
autocrypt email.

Automatically clear screen when popping the last menu.

This removes the need to manually clear the screen during pre-menu
operations, such as autocrypt first run initialization.

Add ability to create autocrypt account from an existing key.

This is useful when adding accounts, or for users who want to use an
existing key from the keyring during initial account creation.

Don't try to decrypt autocrypt messages if the option is off.

Manual typo fix.

Thanks to Petr Pisar for pointing out the error.

Add autocrypt README file

Add documentation for the autocrypt feature.

Add option to scan mailboxes during first run.

The scanner will disable the header cache, allowing scanning all
messages in the mailbox.

Add more translation string comments for autocrypt.

Basic autocrypt account menu.

Provide ability to create, delete, and toggle the prefer-encrypt and
enabled flag for an account.

Hook into the index via 'A' <autocrypt-acct-menu>.

Convert peer_update to just pass the peer object.

Unlike get and insert, there is no need for an addres parameter that
needs to be normalized, since the address is already in the peer
object.

Improve gen-map-doc work on multi-word maps.

Add account->enabled checks.

Add to ui recommendation, keylist generator, and autocrypt header
writing routines.

Add prefer-encrypt prompt during account creation.

Add AUTOCRYPT header to imap fetch list.

If $autocrypt is set, add the header to make IMAP behave the same as
other formats (parsing on initial mailbox opening).

This will also be useful if we perform an initial scan during account
creation, to make that work for IMAP too.

Add L10N translation message comments.

Add autocrypt source files to POTFILES.in

Print an error message if an autocrypt key can't be found.

Handle autocrypt message decryption.

Try autocrypt first for crypt_pgp_decrypt_mime() and
pgp_gpgme_encrypted_handler().

Propagate the autocrypt bit if successful.  This is used when replying
to an autocrypt message, to force a reply using autocrypt.

Slightly improve the gossip header key update.

Don't set an empty peer.gossip_keydata with a value that matches the
current peer.keydata.  This just wastes space.

Fix process_gossip_headers() to look at the right envelope.

Autocrypt outgoing emails.

Change crypt_get_keys() to query autocrypt.

When oppenc_mode is set, we still query the original keyring
regardless, because the compose menu can still run oppenc even if
autocrypt is on.

Since mutt_autocrypt_ui_recommendation() checks each key as part of
making the recommendation, add a keylist parameter and use that
function.

Add gpgme changes to use the autocrypt context for encryption.

Postpone work:
* Change mutt_protect() to have a postpone parameter.  Remove the
  manual toggling of the SIGN bit outside the call when postponing.

* Since autocrypt doesn't set the SIGN bit, this allows us to turn off
  signing inside mutt_protect() for both normal and autocrypt mode.

* Set the autocrypt postpone key in AutocryptDefaultKey.

Write autocrypt and gossip headers in outgoing emails.

Add autocrypt line to the compose menu.

Remove the hardcoded HDR_ATTACH offset calcuation, and add an explicit
enum for the "-- Attachments" line to make loops and padding array
sizes easier.

Add security and recommendataion fields on the line.

Add mutt_autocrypt_ui_recommendation, following the autocrypt spec
guidelines.

Add another HEADER security bit for autocrypt.

Change gossip header address comparison to use normalized addresses.

Change autocrypt_db normalization to return ADDRESS.

This makes reusing the code in autocrypt.c easier.

Add gossip header processing.

Convert to use sqllite3_prepare_v3().

The documentation suggests the SQLITE_PREPARE_PERSISTENT flag is
helpful for long-lived prepared statements, and Mutt is using.

Process autocrypt headers.

Create/update peer database accounts and gpg keys based on the headers.

Add autocrypt header parsing to mutt_parse_rfc822_line().

Convert parse_parameters() for autocrypt header usage:

  * change to use a BUFFER to accomodate large autocrypt keydata
    attribute values.

  * Autocrypt header parameters are not rfc2231 compliant.  Rather
    than rolling another very similar function, just change the
    existing one to allow space separation.

Add initial autocrypt account setup.

Generate gpg key and add account record to the database.

Factor out mutt_edit_address() in send.c.

For reuse by autocrypt for address prompts.

Start autocrypt gpgme.

Add a basic init function.

Bump up the required gpgme version to 1.8.0 if autocrypt is enabled.

Add database and schema initialization.

Add mutt_mkdir() library function supporting recursive mkdir.

Add autocrypt config vars.

Initial autoconf and makefile setup for autocrypt.

Add a comment to the OPTIGNOREMACROEVENTS km_dokey() change.

The option was added in commit 53900afa, and its actual purpose was
to separate out an "unget" event buffer from the "macro" buffer, to
solve a problem with certificate prompts.

The safest approach in a low-level function like km_dokey() was to
return an error if new macros were generated when the option is set.
However, this results in an unbuffered username/password prompt being
aborted.

Currently the only users of unbuffered input are the SSL certificate
prompts, which use menu->dialog mode (and thus mutt_getch() directly)
and username/password prompts.  So the only affected cases are
editor-menu prompts, and returning the pressed keys is likely less
surprising than aborting the prompt.

If other unbuffered menus are created in the future, we may want to
add a check for which menu mode is being used.

Change OPTIGNOREMACROEVENTS to actuallly ignore macros instead of throwing errors on macros

Merge branch 'stable'

Fix accidental fall-through for <quote-char> if aborted.

If <quote-char> was aborted, it was falling through to the
<transpose-chars> function.

This problem was introduced 19 years when the <transpose-chars> case
was moved below <quote-char>.  Previously it fell through to the
default case which beeped.

Added * option to unattachments command

The * option clears all previous attachments settings. A
list_free_generic method is added to muttlib to enable generic freeing
of specific LIST structures. free_attachments_data is used with
list_free_generic to clear four LISTs which manage allowed and excluded
inline and attached "attachments"

refs #1

Add builds.sr.ht CI manifests

For Alpine Linux (musl libc), Debian (glibc), and FreeBSD.

Fix a reference to HeaderCachePageSize.

Commit 4c728278 converted the config far to type DT_LNUM, but
embarrassingly I missed a usage.

Omit User-Agent: header by default

The User-Agent: header can be fun and interesting and useful for
debugging, but it also leaks quite a bit of information about the user
and their software stack.

This represents a potential security risk (attackers can target the
particular stack) and also an anonymity risk (a user trying to
preserve their anonymity by sending mail from a non-associated account
might reveal quite a lot of information if their choice of mail user
agent is exposed).

Users who want to configure `user_agent` to `yes` can still do so, but
it makes sense to have safer defaults.

Closes: #159

Merge branch 'stable'

Don't read or save history if $history_file isn't set.

Remove unnecessary "" checks for DT_STR and DT_PATH MuttVars.

MuttVars of those types are set via safe_strdup(), which returns NULL
if the original is "".  Thus Var implies *Var.

A good portion of the code relies on that axiom, but over the years
some (Var && *Var) checks have crept in, including from me.

This was partially because of the INITVAL("") that were in the code,
which implied (incorrectly) the initial value could be "".  Commit
2f91d43e removed those to make it more clear.

This commit removes the *Var checks to make it even clearer, and help
avoid them creeping back in again.

Convert $header_cache_pagesize to type DT_LNUM.

Prior to commit 4bc76c2f there was no LNUM type, and so the workaround
was to store it as a string, converting in the hcache_open_gdbm()
call.

This will not affect the user interface or config file, because DT_NUM
and DT_LNUM read in a string from the config file and convert to a
number.  Quotes are used for escaping style, not passed through to the
variable setter.

So essentially this simply moves the conversion to parse_set(), and
provides feedback for a non-numeric type immediately.

Convert Commands to use the union pointer_long_t too.

As with MuttVars, Commands was using an unsigned long to hold pointers
as well as enums.  Convert to use the same union type of MuttVars.

Adjust command functions data parameter type to the union.  Since
these are used outside init.c, relocate the union definition to
mutt.h.

Although the number of functions affected was long, most of them did
not need much adjustment.  Many of them made no use of the parameter.
Those that did were easily cast into an added "data" variable at the
top.

Fix the makedoc program to cope with the new MuttVars format.

Add '=' to token delimiter, to make the parsing more robust if
someone decides to add spaces between a designator and value.

Convert MuttVars.data and .init to use a union type.

They were using an "unsigned long" and casting to a pointer when
needed.  Obviously this has "worked" for a long time, but it's not
correct to assume a pointer can fit in unsigned long.

Replace with a union contain "void *p" and "long l".  Fortunately, the
only parts making direct use of MuttVars are in init.h and init.c, so
we just need to update those manipulation functions.

In general I don't like single letter variables, but brevity is worth
it in this case.

Detail the documentation of %l for index_format.

Add NULL checks to rfc1524_free_entry().

The existing code was fine, but make it robust like other free
functions in mutt, so the behavior isn't surprising.

Clean up mutt_print_attachment() cleanup.

Check if mutt_save_attachment() fails and abort the print in that
case.

Merge branch 'stable'

Make sure mailcap test %s is sanitized.

It's not clear to me if %s is allowed as part of a test field.
However since we are passing the attachment filename, we should
sanitize it first.

Remove mutt_rfc1524_expand_filename() return value and checks.

The return value was of dubious value.  It returned 0 only for the
case that a nametemplate was specified and it already matched the
supplied oldfile.

However, just because the nametemplate matched does not mean
attachment handling in send-mode should skip the mutt_adv_mktemp()
conversion, which includes a call to mutt_sanitize_filename().  We
didn't do so if *no* nametemplate was supplied.

Remove the return value from the function, and remove the checks and
"special handing" in attach.c calls.

Remove unnecessary strcmp for mutt_view_attachment().

mutt_rfc1524_expand_filename() runs the result through
mutt_adv_mktemp(), which will sanitize and relocate the filename under
$tmpdir.  The strcmp() is unneeded and distracting to the program
logic; none of the other routines perform or need this check.

Merge branch 'stable'

Fix compose and edit attachment symlink failure code.

In the case where safe_symlink() fail, mutt prompts to continue, but
did not properly reset the filename to be operated on.

Fix up mutt_view_attachment() to use the same flow as the others, to
allow for easier comparison.

Merge branch 'stable'

Fix send-mode printing when expand_filename() returns 1.

It will return this when a nametemplate entry already matched the
passed in filename.  So this bug required both a print entry and an
already matching nametemplate entry to trigger.

Remove NULL and 0 INITVAL declarataions.

The C standard says static storage duration variables will be
initialized to NULL/0.

Combine DT_STR and DT_PATH in mutt_set_default().

19 years ago, they briefly performed different things, but the
mutt_pretty_mailbox() has been commented out since then.

Remove UL "" initialization from init.h.

mutt_init() calls mutt_set_default() followed by
mutt_restore_default().  The mutt_restore_default() calls
mutt_str_replace(), which translates "" into 0.

Therefore assigning "" to the option->init field simply wastes space
and (incorrectly) implies the option->data will be non-NULL by default.

Merge branch 'stable'

automatic post-release commit for mutt-1.12.1

Update UPDATING file for 1.12.1 release.

Merge branch 'stable'

Add $fcc_before_send, defaulting unset.

When set, the message will be Fcc'ed the same as sent.  $fcc_clear and
$fcc_attach will be ignored.  This is because of the difficulty of
unwinding changes, notably Protected Headers, without potentially
breaking signatures.

Merge branch 'stable'

Improve $reverse_realname documentation.

Make it clear that, even if set, a missing realname part of the
matching address will be filled in by $realname.

Allow imap_cmd_finish() to both expunge and fetch new mail.

Since commit dd327606 changed check_status setting to use bit
operators, and imap_check_mailbox() can call imap_cmd_finish() twice,
there is no reason to delay the processing of new mail until a second
call.

imap_read_headers() deals with msn_end < msg_begin, so remove
the (count > idata->max_msn) check.  This will allow the reopen flag
to be reset if somehow it's not the case.

Merge branch 'stable'

Mention sources for ~p and ~P patterns.

The manual only mentioned alternates.  Add $from and local
account/hostname to the list.

The man page implied the only source was alternates.  Change to the
same wording as the manual.

Thanks to @rear1019 for pointing out the misleading man page.