Update autocrypt keyring documentation.

Recommend setting $autocrypt_dir to your normal keyring directory if
you want to use your existing key.

Trying to copy it over leads to signature verification issues.  Even
if I reversed the order (which is much less clean), that would just
lead to missing key signature errors for Autocrypt messages instead.

Fix --with-sqlite3 test for autocrypt.

Since $with_sqlite3 can contain a path, we want to check if it is
"no", not that it isn't "yes".

Add $ssl_use_tlsv1_3 config variable, default set.

Add size display configuration variables.

Although it would be nice to "open this up" more, performance and
security/stability issues would arise.

Based on the thread in mutt-dev, I hope these vars will satisfy most
customization needs:
  $size_show_bytes
  $size_show_mb
  $size_show_fractions
  $size_units_on_left

Fix LibreSSL build.

Apparently LibreSSL doesn't implement SSL_has_pending(), even for
newer versions.

Update POTFILES.in.

The file was missing a few files with translation strings:
copy.c, imap/auth_oauth.c, and safe_asprintf.c.

Add checks for buffered OpenSSL or GnuTLS data when polling.

I don't believe this has had an actual effect, because Mutt doesn't
support renegotiation, and we are only polling immediately after
sending NOOP.

However, it looks like checking is technically the correct thing to do
to avoid polling waiting for data that is already buffered.

Mention base64 keydata being stored in the autocrypt database.

Move LIBAUTOCRYPT before MUTTLIBS to fix building issues.

Add autocrypt and sqlite3 to .gitlab-ci.yml.

Add L10N comment about autocrypt menu help line abbreviations.

Add a note about autocrypt first-run and macros.

Add autocrypt documentation about shared key and keyring strategies.

Minor autocrypt manual section updates.

Mention key selection during account creation and $autocrypt_reply for
controlling autocrypt mode setting during replies.

Enabled writing protected subject with autocrypt too.

Turn off macro processing during autocrypt initialization.

The muttrc can push events into the macro buffer, with the assumption
that mailbox will be opened next.  This will interfere with the
prompts uses during first run.  The only issue is that macros won't
work inside the folder browser, if invoked.

Allow nested setting of OPTIGNOREMACROEVENTS.

This will be needed for the first-run of autocrypt initialization.
The initialization involves a number of prompts, and can even use the
folder browser.  The browser could in turn connect to IMAP which might
invoke a certificate prompt, login prompt, etc.

Add $autocrypt_reply.

This allows turning off the force-autocrypt mode when replying to an
autocrypt email.

Automatically clear screen when popping the last menu.

This removes the need to manually clear the screen during pre-menu
operations, such as autocrypt first run initialization.

Add ability to create autocrypt account from an existing key.

This is useful when adding accounts, or for users who want to use an
existing key from the keyring during initial account creation.

Don't try to decrypt autocrypt messages if the option is off.

Manual typo fix.

Thanks to Petr Pisar for pointing out the error.

Add autocrypt README file

Add documentation for the autocrypt feature.

Add option to scan mailboxes during first run.

The scanner will disable the header cache, allowing scanning all
messages in the mailbox.

Add more translation string comments for autocrypt.

Basic autocrypt account menu.

Provide ability to create, delete, and toggle the prefer-encrypt and
enabled flag for an account.

Hook into the index via 'A' <autocrypt-acct-menu>.

Convert peer_update to just pass the peer object.

Unlike get and insert, there is no need for an addres parameter that
needs to be normalized, since the address is already in the peer
object.

Improve gen-map-doc work on multi-word maps.

Add account->enabled checks.

Add to ui recommendation, keylist generator, and autocrypt header
writing routines.

Add prefer-encrypt prompt during account creation.

Add AUTOCRYPT header to imap fetch list.

If $autocrypt is set, add the header to make IMAP behave the same as
other formats (parsing on initial mailbox opening).

This will also be useful if we perform an initial scan during account
creation, to make that work for IMAP too.

Add L10N translation message comments.

Add autocrypt source files to POTFILES.in

Print an error message if an autocrypt key can't be found.

Handle autocrypt message decryption.

Try autocrypt first for crypt_pgp_decrypt_mime() and
pgp_gpgme_encrypted_handler().

Propagate the autocrypt bit if successful.  This is used when replying
to an autocrypt message, to force a reply using autocrypt.

Slightly improve the gossip header key update.

Don't set an empty peer.gossip_keydata with a value that matches the
current peer.keydata.  This just wastes space.

Fix process_gossip_headers() to look at the right envelope.

Autocrypt outgoing emails.

Change crypt_get_keys() to query autocrypt.

When oppenc_mode is set, we still query the original keyring
regardless, because the compose menu can still run oppenc even if
autocrypt is on.

Since mutt_autocrypt_ui_recommendation() checks each key as part of
making the recommendation, add a keylist parameter and use that
function.

Add gpgme changes to use the autocrypt context for encryption.

Postpone work:
* Change mutt_protect() to have a postpone parameter.  Remove the
  manual toggling of the SIGN bit outside the call when postponing.

* Since autocrypt doesn't set the SIGN bit, this allows us to turn off
  signing inside mutt_protect() for both normal and autocrypt mode.

* Set the autocrypt postpone key in AutocryptDefaultKey.

Write autocrypt and gossip headers in outgoing emails.

Add autocrypt line to the compose menu.

Remove the hardcoded HDR_ATTACH offset calcuation, and add an explicit
enum for the "-- Attachments" line to make loops and padding array
sizes easier.

Add security and recommendataion fields on the line.

Add mutt_autocrypt_ui_recommendation, following the autocrypt spec
guidelines.

Add another HEADER security bit for autocrypt.

Change gossip header address comparison to use normalized addresses.

Change autocrypt_db normalization to return ADDRESS.

This makes reusing the code in autocrypt.c easier.

Add gossip header processing.

Convert to use sqllite3_prepare_v3().

The documentation suggests the SQLITE_PREPARE_PERSISTENT flag is
helpful for long-lived prepared statements, and Mutt is using.

Process autocrypt headers.

Create/update peer database accounts and gpg keys based on the headers.

Add autocrypt header parsing to mutt_parse_rfc822_line().

Convert parse_parameters() for autocrypt header usage:

  * change to use a BUFFER to accomodate large autocrypt keydata
    attribute values.

  * Autocrypt header parameters are not rfc2231 compliant.  Rather
    than rolling another very similar function, just change the
    existing one to allow space separation.

Add initial autocrypt account setup.

Generate gpg key and add account record to the database.

Factor out mutt_edit_address() in send.c.

For reuse by autocrypt for address prompts.

Start autocrypt gpgme.

Add a basic init function.

Bump up the required gpgme version to 1.8.0 if autocrypt is enabled.

Add database and schema initialization.

Add mutt_mkdir() library function supporting recursive mkdir.

Add autocrypt config vars.

Initial autoconf and makefile setup for autocrypt.

Add a comment to the OPTIGNOREMACROEVENTS km_dokey() change.

The option was added in commit 53900afa, and its actual purpose was
to separate out an "unget" event buffer from the "macro" buffer, to
solve a problem with certificate prompts.

The safest approach in a low-level function like km_dokey() was to
return an error if new macros were generated when the option is set.
However, this results in an unbuffered username/password prompt being
aborted.

Currently the only users of unbuffered input are the SSL certificate
prompts, which use menu->dialog mode (and thus mutt_getch() directly)
and username/password prompts.  So the only affected cases are
editor-menu prompts, and returning the pressed keys is likely less
surprising than aborting the prompt.

If other unbuffered menus are created in the future, we may want to
add a check for which menu mode is being used.

Change OPTIGNOREMACROEVENTS to actuallly ignore macros instead of throwing errors on macros

Merge branch 'stable'

Fix accidental fall-through for <quote-char> if aborted.

If <quote-char> was aborted, it was falling through to the
<transpose-chars> function.

This problem was introduced 19 years when the <transpose-chars> case
was moved below <quote-char>.  Previously it fell through to the
default case which beeped.

Added * option to unattachments command

The * option clears all previous attachments settings. A
list_free_generic method is added to muttlib to enable generic freeing
of specific LIST structures. free_attachments_data is used with
list_free_generic to clear four LISTs which manage allowed and excluded
inline and attached "attachments"

refs #1

Add builds.sr.ht CI manifests

For Alpine Linux (musl libc), Debian (glibc), and FreeBSD.

Fix a reference to HeaderCachePageSize.

Commit 4c728278 converted the config far to type DT_LNUM, but
embarrassingly I missed a usage.

Omit User-Agent: header by default

The User-Agent: header can be fun and interesting and useful for
debugging, but it also leaks quite a bit of information about the user
and their software stack.

This represents a potential security risk (attackers can target the
particular stack) and also an anonymity risk (a user trying to
preserve their anonymity by sending mail from a non-associated account
might reveal quite a lot of information if their choice of mail user
agent is exposed).

Users who want to configure `user_agent` to `yes` can still do so, but
it makes sense to have safer defaults.

Closes: #159

Merge branch 'stable'

Don't read or save history if $history_file isn't set.

Remove unnecessary "" checks for DT_STR and DT_PATH MuttVars.

MuttVars of those types are set via safe_strdup(), which returns NULL
if the original is "".  Thus Var implies *Var.

A good portion of the code relies on that axiom, but over the years
some (Var && *Var) checks have crept in, including from me.

This was partially because of the INITVAL("") that were in the code,
which implied (incorrectly) the initial value could be "".  Commit
2f91d43e removed those to make it more clear.

This commit removes the *Var checks to make it even clearer, and help
avoid them creeping back in again.

Convert $header_cache_pagesize to type DT_LNUM.

Prior to commit 4bc76c2f there was no LNUM type, and so the workaround
was to store it as a string, converting in the hcache_open_gdbm()
call.

This will not affect the user interface or config file, because DT_NUM
and DT_LNUM read in a string from the config file and convert to a
number.  Quotes are used for escaping style, not passed through to the
variable setter.

So essentially this simply moves the conversion to parse_set(), and
provides feedback for a non-numeric type immediately.

Convert Commands to use the union pointer_long_t too.

As with MuttVars, Commands was using an unsigned long to hold pointers
as well as enums.  Convert to use the same union type of MuttVars.

Adjust command functions data parameter type to the union.  Since
these are used outside init.c, relocate the union definition to
mutt.h.

Although the number of functions affected was long, most of them did
not need much adjustment.  Many of them made no use of the parameter.
Those that did were easily cast into an added "data" variable at the
top.

Fix the makedoc program to cope with the new MuttVars format.

Add '=' to token delimiter, to make the parsing more robust if
someone decides to add spaces between a designator and value.

Convert MuttVars.data and .init to use a union type.

They were using an "unsigned long" and casting to a pointer when
needed.  Obviously this has "worked" for a long time, but it's not
correct to assume a pointer can fit in unsigned long.

Replace with a union contain "void *p" and "long l".  Fortunately, the
only parts making direct use of MuttVars are in init.h and init.c, so
we just need to update those manipulation functions.

In general I don't like single letter variables, but brevity is worth
it in this case.

Detail the documentation of %l for index_format.

Add NULL checks to rfc1524_free_entry().

The existing code was fine, but make it robust like other free
functions in mutt, so the behavior isn't surprising.

Clean up mutt_print_attachment() cleanup.

Check if mutt_save_attachment() fails and abort the print in that
case.

Merge branch 'stable'

Make sure mailcap test %s is sanitized.

It's not clear to me if %s is allowed as part of a test field.
However since we are passing the attachment filename, we should
sanitize it first.

Remove mutt_rfc1524_expand_filename() return value and checks.

The return value was of dubious value.  It returned 0 only for the
case that a nametemplate was specified and it already matched the
supplied oldfile.

However, just because the nametemplate matched does not mean
attachment handling in send-mode should skip the mutt_adv_mktemp()
conversion, which includes a call to mutt_sanitize_filename().  We
didn't do so if *no* nametemplate was supplied.

Remove the return value from the function, and remove the checks and
"special handing" in attach.c calls.

Remove unnecessary strcmp for mutt_view_attachment().

mutt_rfc1524_expand_filename() runs the result through
mutt_adv_mktemp(), which will sanitize and relocate the filename under
$tmpdir.  The strcmp() is unneeded and distracting to the program
logic; none of the other routines perform or need this check.

Merge branch 'stable'

Fix compose and edit attachment symlink failure code.

In the case where safe_symlink() fail, mutt prompts to continue, but
did not properly reset the filename to be operated on.

Fix up mutt_view_attachment() to use the same flow as the others, to
allow for easier comparison.

Merge branch 'stable'

Fix send-mode printing when expand_filename() returns 1.

It will return this when a nametemplate entry already matched the
passed in filename.  So this bug required both a print entry and an
already matching nametemplate entry to trigger.

Remove NULL and 0 INITVAL declarataions.

The C standard says static storage duration variables will be
initialized to NULL/0.

Combine DT_STR and DT_PATH in mutt_set_default().

19 years ago, they briefly performed different things, but the
mutt_pretty_mailbox() has been commented out since then.

Remove UL "" initialization from init.h.

mutt_init() calls mutt_set_default() followed by
mutt_restore_default().  The mutt_restore_default() calls
mutt_str_replace(), which translates "" into 0.

Therefore assigning "" to the option->init field simply wastes space
and (incorrectly) implies the option->data will be non-NULL by default.

Merge branch 'stable'

automatic post-release commit for mutt-1.12.1

Update UPDATING file for 1.12.1 release.

Merge branch 'stable'

Add $fcc_before_send, defaulting unset.

When set, the message will be Fcc'ed the same as sent.  $fcc_clear and
$fcc_attach will be ignored.  This is because of the difficulty of
unwinding changes, notably Protected Headers, without potentially
breaking signatures.

Merge branch 'stable'

Improve $reverse_realname documentation.

Make it clear that, even if set, a missing realname part of the
matching address will be filled in by $realname.

Allow imap_cmd_finish() to both expunge and fetch new mail.

Since commit dd327606 changed check_status setting to use bit
operators, and imap_check_mailbox() can call imap_cmd_finish() twice,
there is no reason to delay the processing of new mail until a second
call.

imap_read_headers() deals with msn_end < msg_begin, so remove
the (count > idata->max_msn) check.  This will allow the reopen flag
to be reset if somehow it's not the case.

Merge branch 'stable'

Mention sources for ~p and ~P patterns.

The manual only mentioned alternates.  Add $from and local
account/hostname to the list.

The man page implied the only source was alternates.  Change to the
same wording as the manual.

Thanks to @rear1019 for pointing out the misleading man page.

Merge branch 'stable'

Improve imap_append_message() error message handling.

If the rc is IMAP_CMD_BAD, then either idata->buf is stale or an error
message has already been printed (in cmd_handle_untagged()).

Use imap_next_word() to skip over the next two words instead of
directly skipping over SEQLEN, in case the buffer is in a different
format.  We don't want to jump over the end of string.

Skip the mutt_error() if there is nothing to print.

Merge branch 'stable'

Enable the idata->check_status using bit operations.

Commit e3f66d7e fixed dropped new mail notications, removing the
unsetting of idata->reopen IMAP_NEWMAIL_PENDING in imap_cmd_finish()
when an EXPUNGE was processed.

However, imap_cmd_finish() can be called twice by
imap_check_mailbox().  First as part of the imap_exec(), and manually
again just below.

Now that the IMAP_NEWMAIL_PENDING still exists, a second call could
overwrite idata->check_status if both reopen flags were set.

This unfortunately affects update_index(), which behaves differently
for MUTT_REOPENED.

I need to change the return value of mx_check_mailbox() in master to
preserve all the bits, so the index can both notify of new mail and
update_index() properly.

For stable, the best fix is to use bit operators to enable the
check_status flags in imap_cmd_finish() (and cmd_parse_fetch for
flags), and keep the imap_check_mailbox() priority of setting its
return value (it prioritizes IMAP_EXCHANGE_PENDING).

Merge branch 'stable'

Improve robustness of imap_append_message().

First, check the imap_cmd_step() return value instead of looking at
idata->buf for "OK".  If the connection bombed and imap_cmd_step()
returned IMAP_CMD_BAD, the value of idata->buf is stale.

If the server returned "+ OK" for the command continuation request
response, the call to imap_code(idata->buf) would even end up
returning true, despite that the append failed!  (See #110, although
at the time of commit I can only hypothesize this is what is
happening.)

Second, check the status of the writes.  flush_buffer() was not
passing the rc from mutt_socket_write_n(), which was further making
the above disaster scenerio possible.

Check for GNU Make to allow version.h FORCE target.

If we're using GNU Make, the FORCE target allows automatically
updating the version number after each commit.

See commit 22c6df82

Merge branch 'stable'