2d2db1b101ac537beab5a95446da05f8ab6add40
[exim.git] / src / src / transports / smtp.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2022 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-only */
9
10 #include "../exim.h"
11 #include "smtp.h"
12
13 #if defined(SUPPORT_DANE) && defined(DISABLE_TLS)
14 # error TLS is required for DANE
15 #endif
16
17
18 /* Options specific to the smtp transport. This transport also supports LMTP
19 over TCP/IP. The options must be in alphabetic order (note that "_" comes
20 before the lower case letters). Some live in the transport_instance block so as
21 to be publicly visible; these are flagged with opt_public. */
22
23 #define LOFF(field) OPT_OFF(smtp_transport_options_block, field)
24
25 optionlist smtp_transport_options[] = {
26   { "*expand_multi_domain",             opt_stringptr | opt_hidden | opt_public,
27       OPT_OFF(transport_instance, expand_multi_domain) },
28   { "*expand_retry_include_ip_address", opt_stringptr | opt_hidden,
29       LOFF(expand_retry_include_ip_address) },
30
31   { "address_retry_include_sender", opt_bool,
32       LOFF(address_retry_include_sender) },
33   { "allow_localhost",      opt_bool,      LOFF(allow_localhost) },
34 #ifdef EXPERIMENTAL_ARC
35   { "arc_sign", opt_stringptr,             LOFF(arc_sign) },
36 #endif
37   { "authenticated_sender", opt_stringptr, LOFF(authenticated_sender) },
38   { "authenticated_sender_force", opt_bool, LOFF(authenticated_sender_force) },
39   { "command_timeout",      opt_time,      LOFF(command_timeout) },
40   { "connect_timeout",      opt_time,      LOFF(connect_timeout) },
41   { "connection_max_messages", opt_int | opt_public,
42       OPT_OFF(transport_instance, connection_max_messages) },
43 # ifdef SUPPORT_DANE
44   { "dane_require_tls_ciphers", opt_stringptr, LOFF(dane_require_tls_ciphers) },
45 # endif
46   { "data_timeout",         opt_time,      LOFF(data_timeout) },
47   { "delay_after_cutoff",   opt_bool,      LOFF(delay_after_cutoff) },
48 #ifndef DISABLE_DKIM
49   { "dkim_canon", opt_stringptr,           LOFF(dkim.dkim_canon) },
50   { "dkim_domain", opt_stringptr,          LOFF(dkim.dkim_domain) },
51   { "dkim_hash", opt_stringptr,            LOFF(dkim.dkim_hash) },
52   { "dkim_identity", opt_stringptr,        LOFF(dkim.dkim_identity) },
53   { "dkim_private_key", opt_stringptr,     LOFF(dkim.dkim_private_key) },
54   { "dkim_selector", opt_stringptr,        LOFF(dkim.dkim_selector) },
55   { "dkim_sign_headers", opt_stringptr,    LOFF(dkim.dkim_sign_headers) },
56   { "dkim_strict", opt_stringptr,          LOFF(dkim.dkim_strict) },
57   { "dkim_timestamps", opt_stringptr,      LOFF(dkim.dkim_timestamps) },
58 #endif
59   { "dns_qualify_single",   opt_bool,      LOFF(dns_qualify_single) },
60   { "dns_search_parents",   opt_bool,      LOFF(dns_search_parents) },
61   { "dnssec_request_domains", opt_stringptr, LOFF(dnssec.request) },
62   { "dnssec_require_domains", opt_stringptr, LOFF(dnssec.require) },
63   { "dscp",                 opt_stringptr, LOFF(dscp) },
64   { "fallback_hosts",       opt_stringptr, LOFF(fallback_hosts) },
65   { "final_timeout",        opt_time,      LOFF(final_timeout) },
66   { "gethostbyname",        opt_bool,      LOFF(gethostbyname) },
67   { "helo_data",            opt_stringptr, LOFF(helo_data) },
68 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
69   { "host_name_extract",    opt_stringptr, LOFF(host_name_extract) },
70 # endif
71   { "hosts",                opt_stringptr, LOFF(hosts) },
72   { "hosts_avoid_esmtp",    opt_stringptr, LOFF(hosts_avoid_esmtp) },
73   { "hosts_avoid_pipelining", opt_stringptr, LOFF(hosts_avoid_pipelining) },
74 #ifndef DISABLE_TLS
75   { "hosts_avoid_tls",      opt_stringptr, LOFF(hosts_avoid_tls) },
76 #endif
77   { "hosts_max_try",        opt_int,       LOFF(hosts_max_try) },
78   { "hosts_max_try_hardlimit", opt_int,    LOFF(hosts_max_try_hardlimit) },
79 #ifndef DISABLE_TLS
80   { "hosts_nopass_tls",     opt_stringptr, LOFF(hosts_nopass_tls) },
81   { "hosts_noproxy_tls",    opt_stringptr, LOFF(hosts_noproxy_tls) },
82 #endif
83   { "hosts_override",       opt_bool,      LOFF(hosts_override) },
84 #ifndef DISABLE_PIPE_CONNECT
85   { "hosts_pipe_connect",   opt_stringptr, LOFF(hosts_pipe_connect) },
86 #endif
87   { "hosts_randomize",      opt_bool,      LOFF(hosts_randomize) },
88 #if !defined(DISABLE_TLS) && !defined(DISABLE_OCSP)
89   { "hosts_request_ocsp",   opt_stringptr, LOFF(hosts_request_ocsp) },
90 #endif
91   { "hosts_require_alpn",   opt_stringptr, LOFF(hosts_require_alpn) },
92   { "hosts_require_auth",   opt_stringptr, LOFF(hosts_require_auth) },
93 #ifndef DISABLE_TLS
94 # ifdef SUPPORT_DANE
95   { "hosts_require_dane",   opt_stringptr, LOFF(hosts_require_dane) },
96 # endif
97 # ifndef DISABLE_OCSP
98   { "hosts_require_ocsp",   opt_stringptr, LOFF(hosts_require_ocsp) },
99 # endif
100   { "hosts_require_tls",    opt_stringptr, LOFF(hosts_require_tls) },
101 #endif
102   { "hosts_try_auth",       opt_stringptr, LOFF(hosts_try_auth) },
103   { "hosts_try_chunking",   opt_stringptr, LOFF(hosts_try_chunking) },
104 #ifdef SUPPORT_DANE
105   { "hosts_try_dane",       opt_stringptr, LOFF(hosts_try_dane) },
106 #endif
107   { "hosts_try_fastopen",   opt_stringptr, LOFF(hosts_try_fastopen) },
108 #ifndef DISABLE_PRDR
109   { "hosts_try_prdr",       opt_stringptr, LOFF(hosts_try_prdr) },
110 #endif
111 #ifndef DISABLE_TLS
112   { "hosts_verify_avoid_tls", opt_stringptr, LOFF(hosts_verify_avoid_tls) },
113 #endif
114   { "interface",            opt_stringptr, LOFF(interface) },
115   { "keepalive",            opt_bool,      LOFF(keepalive) },
116   { "lmtp_ignore_quota",    opt_bool,      LOFF(lmtp_ignore_quota) },
117   { "max_rcpt",             opt_int | opt_public,
118       OPT_OFF(transport_instance, max_addresses) },
119   { "message_linelength_limit", opt_int,   LOFF(message_linelength_limit) },
120   { "multi_domain",         opt_expand_bool | opt_public,
121       OPT_OFF(transport_instance, multi_domain) },
122   { "port",                 opt_stringptr, LOFF(port) },
123   { "protocol",             opt_stringptr, LOFF(protocol) },
124   { "retry_include_ip_address", opt_expand_bool, LOFF(retry_include_ip_address) },
125   { "serialize_hosts",      opt_stringptr, LOFF(serialize_hosts) },
126   { "size_addition",        opt_int,       LOFF(size_addition) },
127 #ifdef SUPPORT_SOCKS
128   { "socks_proxy",          opt_stringptr, LOFF(socks_proxy) },
129 #endif
130 #ifndef DISABLE_TLS
131   { "tls_alpn",             opt_stringptr, LOFF(tls_alpn) },
132   { "tls_certificate",      opt_stringptr, LOFF(tls_certificate) },
133   { "tls_crl",              opt_stringptr, LOFF(tls_crl) },
134   { "tls_dh_min_bits",      opt_int,       LOFF(tls_dh_min_bits) },
135   { "tls_privatekey",       opt_stringptr, LOFF(tls_privatekey) },
136   { "tls_require_ciphers",  opt_stringptr, LOFF(tls_require_ciphers) },
137 # ifndef DISABLE_TLS_RESUME
138   { "tls_resumption_hosts", opt_stringptr, LOFF(tls_resumption_hosts) },
139 # endif
140   { "tls_sni",              opt_stringptr, LOFF(tls_sni) },
141   { "tls_tempfail_tryclear", opt_bool, LOFF(tls_tempfail_tryclear) },
142   { "tls_try_verify_hosts", opt_stringptr, LOFF(tls_try_verify_hosts) },
143   { "tls_verify_cert_hostnames", opt_stringptr, LOFF(tls_verify_cert_hostnames)},
144   { "tls_verify_certificates", opt_stringptr, LOFF(tls_verify_certificates) },
145   { "tls_verify_hosts",     opt_stringptr, LOFF(tls_verify_hosts) },
146 #endif
147 #ifdef SUPPORT_I18N
148   { "utf8_downconvert",     opt_stringptr, LOFF(utf8_downconvert) },
149 #endif
150 };
151
152 /* Size of the options list. An extern variable has to be used so that its
153 address can appear in the tables drtables.c. */
154
155 int smtp_transport_options_count = nelem(smtp_transport_options);
156
157
158 #ifdef MACRO_PREDEF
159
160 /* Dummy values */
161 smtp_transport_options_block smtp_transport_option_defaults = {0};
162 void smtp_transport_init(transport_instance *tblock) {}
163 BOOL smtp_transport_entry(transport_instance *tblock, address_item *addr) {return FALSE;}
164 void smtp_transport_closedown(transport_instance *tblock) {}
165
166 #else   /*!MACRO_PREDEF*/
167
168
169 /* Default private options block for the smtp transport. */
170
171 smtp_transport_options_block smtp_transport_option_defaults = {
172   /* All non-mentioned elements 0/NULL/FALSE */
173   .helo_data =                  US"$primary_hostname",
174   .protocol =                   US"smtp",
175   .hosts_try_chunking =         US"*",
176 #ifdef SUPPORT_DANE
177   .hosts_try_dane =             US"*",
178 #endif
179   .hosts_try_fastopen =         US"*",
180 #ifndef DISABLE_PRDR
181   .hosts_try_prdr =             US"*",
182 #endif
183 #ifndef DISABLE_OCSP
184   .hosts_request_ocsp =         US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
185 #endif
186   .command_timeout =            5*60,
187   .connect_timeout =            5*60,
188   .data_timeout =               5*60,
189   .final_timeout =              10*60,
190   .size_addition =              1024,
191   .hosts_max_try =              5,
192   .hosts_max_try_hardlimit =    50,
193   .message_linelength_limit =   998,
194   .address_retry_include_sender = TRUE,
195   .dns_qualify_single =         TRUE,
196   .dnssec = { .request= US"*", .require=NULL },
197   .delay_after_cutoff =         TRUE,
198   .keepalive =                  TRUE,
199   .retry_include_ip_address =   TRUE,
200 #ifndef DISABLE_TLS
201   .tls_verify_certificates =    US"system",
202   .tls_dh_min_bits =            EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
203   .tls_tempfail_tryclear =      TRUE,
204   .tls_try_verify_hosts =       US"*",
205   .tls_verify_cert_hostnames =  US"*",
206 # ifndef DISABLE_TLS_RESUME
207   .host_name_extract =          US"${if and {{match{$host}{.outlook.com\\$}} {match{$item}{\\N^250-([\\w.]+)\\s\\N}}} {$1}}",
208 # endif
209 #endif
210 #ifdef SUPPORT_I18N
211   .utf8_downconvert =           US"-1",
212 #endif
213 #ifndef DISABLE_DKIM
214  .dkim =
215    { .dkim_hash =               US"sha256", },
216 #endif
217 };
218
219 /* some DSN flags for use later */
220
221 static int     rf_list[] = {rf_notify_never, rf_notify_success,
222                             rf_notify_failure, rf_notify_delay };
223
224 static uschar *rf_names[] = { US"NEVER", US"SUCCESS", US"FAILURE", US"DELAY" };
225
226
227
228 /* Local statics */
229
230 static uschar *smtp_command;            /* Points to last cmd for error messages */
231 static uschar *mail_command;            /* Points to MAIL cmd for error messages */
232 static uschar *data_command = US"";     /* Points to DATA cmd for error messages */
233 static BOOL    update_waiting;          /* TRUE to update the "wait" database */
234
235 /*XXX move to smtp_context */
236 static BOOL    pipelining_active;       /* current transaction is in pipe mode */
237
238
239 static unsigned ehlo_response(uschar * buf, unsigned checks);
240
241
242 /******************************************************************************/
243
244 void
245 smtp_deliver_init(void)
246 {
247 struct list
248   {
249   const pcre2_code **   re;
250   const uschar *        string;
251   } list[] =
252   {
253     { &regex_AUTH,              AUTHS_REGEX },
254     { &regex_CHUNKING,          US"\\n250[\\s\\-]CHUNKING(\\s|\\n|$)" },
255     { &regex_DSN,               US"\\n250[\\s\\-]DSN(\\s|\\n|$)" },
256     { &regex_IGNOREQUOTA,       US"\\n250[\\s\\-]IGNOREQUOTA(\\s|\\n|$)" },
257     { &regex_PIPELINING,        US"\\n250[\\s\\-]PIPELINING(\\s|\\n|$)" },
258     { &regex_SIZE,              US"\\n250[\\s\\-]SIZE(\\s|\\n|$)" },
259
260 #ifndef DISABLE_TLS
261     { &regex_STARTTLS,          US"\\n250[\\s\\-]STARTTLS(\\s|\\n|$)" },
262 #endif
263 #ifndef DISABLE_PRDR
264     { &regex_PRDR,              US"\\n250[\\s\\-]PRDR(\\s|\\n|$)" },
265 #endif
266 #ifdef SUPPORT_I18N
267     { &regex_UTF8,              US"\\n250[\\s\\-]SMTPUTF8(\\s|\\n|$)" },
268 #endif
269 #ifndef DISABLE_PIPE_CONNECT
270     { &regex_EARLY_PIPE,        US"\\n250[\\s\\-]" EARLY_PIPE_FEATURE_NAME "(\\s|\\n|$)" },
271 #endif
272 #ifdef EXPERIMENTAL_ESMTP_LIMITS
273     { &regex_LIMITS,            US"\\n250[\\s\\-]LIMITS\\s" },
274 #endif
275   };
276
277 for (struct list * l = list; l < list + nelem(list); l++)
278   if (!*l->re)
279     *l->re = regex_must_compile(l->string, MCS_NOFLAGS, TRUE);
280 }
281
282
283 /*************************************************
284 *             Setup entry point                  *
285 *************************************************/
286
287 /* This function is called when the transport is about to be used,
288 but before running it in a sub-process. It is used for two things:
289
290   (1) To set the fallback host list in addresses, when delivering.
291   (2) To pass back the interface, port, protocol, and other options, for use
292       during callout verification.
293
294 Arguments:
295   tblock    pointer to the transport instance block
296   addrlist  list of addresses about to be transported
297   tf        if not NULL, pointer to block in which to return options
298   uid       the uid that will be set (not used)
299   gid       the gid that will be set (not used)
300   errmsg    place for error message (not used)
301
302 Returns:  OK always (FAIL, DEFER not used)
303 */
304
305 static int
306 smtp_transport_setup(transport_instance *tblock, address_item *addrlist,
307   transport_feedback *tf, uid_t uid, gid_t gid, uschar **errmsg)
308 {
309 smtp_transport_options_block *ob = SOB tblock->options_block;
310
311 /* Pass back options if required. This interface is getting very messy. */
312
313 if (tf)
314   {
315   tf->interface = ob->interface;
316   tf->port = ob->port;
317   tf->protocol = ob->protocol;
318   tf->hosts = ob->hosts;
319   tf->hosts_override = ob->hosts_override;
320   tf->hosts_randomize = ob->hosts_randomize;
321   tf->gethostbyname = ob->gethostbyname;
322   tf->qualify_single = ob->dns_qualify_single;
323   tf->search_parents = ob->dns_search_parents;
324   tf->helo_data = ob->helo_data;
325   }
326
327 /* Set the fallback host list for all the addresses that don't have fallback
328 host lists, provided that the local host wasn't present in the original host
329 list. */
330
331 if (!testflag(addrlist, af_local_host_removed))
332   for (; addrlist; addrlist = addrlist->next)
333     if (!addrlist->fallback_hosts) addrlist->fallback_hosts = ob->fallback_hostlist;
334
335 return OK;
336 }
337
338
339
340 /*************************************************
341 *          Initialization entry point            *
342 *************************************************/
343
344 /* Called for each instance, after its options have been read, to
345 enable consistency checks to be done, or anything else that needs
346 to be set up.
347
348 Argument:   pointer to the transport instance block
349 Returns:    nothing
350 */
351
352 void
353 smtp_transport_init(transport_instance *tblock)
354 {
355 smtp_transport_options_block *ob = SOB tblock->options_block;
356 int old_pool = store_pool;
357
358 /* Retry_use_local_part defaults FALSE if unset */
359
360 if (tblock->retry_use_local_part == TRUE_UNSET)
361   tblock->retry_use_local_part = FALSE;
362
363 /* Set the default port according to the protocol */
364
365 if (!ob->port)
366   ob->port = strcmpic(ob->protocol, US"lmtp") == 0
367   ? US"lmtp"
368   : strcmpic(ob->protocol, US"smtps") == 0
369   ? US"smtps" : US"smtp";
370
371 /* Set up the setup entry point, to be called before subprocesses for this
372 transport. */
373
374 tblock->setup = smtp_transport_setup;
375
376 /* Complain if any of the timeouts are zero. */
377
378 if (ob->command_timeout <= 0 || ob->data_timeout <= 0 ||
379     ob->final_timeout <= 0)
380   log_write(0, LOG_PANIC_DIE|LOG_CONFIG,
381     "command, data, or final timeout value is zero for %s transport",
382       tblock->name);
383
384 /* If hosts_override is set and there are local hosts, set the global
385 flag that stops verify from showing router hosts. */
386
387 if (ob->hosts_override && ob->hosts) tblock->overrides_hosts = TRUE;
388
389 /* If there are any fallback hosts listed, build a chain of host items
390 for them, but do not do any lookups at this time. */
391
392 store_pool = POOL_PERM;
393 host_build_hostlist(&ob->fallback_hostlist, ob->fallback_hosts, FALSE);
394 store_pool = old_pool;
395 }
396
397
398
399
400
401 /*************************************************
402 *   Set delivery info into all active addresses  *
403 *************************************************/
404
405 /* Only addresses whose status is >= PENDING are relevant. A lesser
406 status means that an address is not currently being processed.
407
408 Arguments:
409   addrlist       points to a chain of addresses
410   errno_value    to put in each address's errno field
411   msg            to put in each address's message field
412   rc             to put in each address's transport_return field
413   pass_message   if TRUE, set the "pass message" flag in the address
414   host           if set, mark addrs as having used this host
415   smtp_greeting  from peer
416   helo_response  from peer
417   start          points to timestamp of delivery start
418
419 If errno_value has the special value ERRNO_CONNECTTIMEOUT, ETIMEDOUT is put in
420 the errno field, and RTEF_CTOUT is ORed into the more_errno field, to indicate
421 this particular type of timeout.
422
423 Returns:       nothing
424 */
425
426 static void
427 set_errno(address_item *addrlist, int errno_value, uschar *msg, int rc,
428   BOOL pass_message, host_item * host,
429 #ifdef EXPERIMENTAL_DSN_INFO
430   const uschar * smtp_greeting, const uschar * helo_response,
431 #endif
432   struct timeval * start
433   )
434 {
435 int orvalue = 0;
436 struct timeval deliver_time;
437
438 if (errno_value == ERRNO_CONNECTTIMEOUT)
439   {
440   errno_value = ETIMEDOUT;
441   orvalue = RTEF_CTOUT;
442   }
443 timesince(&deliver_time, start);
444
445 for (address_item * addr = addrlist; addr; addr = addr->next)
446   if (addr->transport_return >= PENDING)
447     {
448     addr->basic_errno = errno_value;
449     addr->more_errno |= orvalue;
450     addr->delivery_time = deliver_time;
451     if (msg)
452       {
453       addr->message = msg;
454       if (pass_message) setflag(addr, af_pass_message);
455       }
456     addr->transport_return = rc;
457     if (host)
458       {
459       addr->host_used = host;
460 #ifdef EXPERIMENTAL_DSN_INFO
461       if (smtp_greeting)
462         {uschar * s = Ustrchr(smtp_greeting, '\n'); if (s) *s = '\0';}
463       addr->smtp_greeting = smtp_greeting;
464
465       if (helo_response)
466         {uschar * s = Ustrchr(helo_response, '\n'); if (s) *s = '\0';}
467       addr->helo_response = helo_response;
468 #endif
469       }
470     }
471 }
472
473 static void
474 set_errno_nohost(address_item * addrlist, int errno_value, uschar * msg, int rc,
475   BOOL pass_message, struct timeval * start)
476 {
477 set_errno(addrlist, errno_value, msg, rc, pass_message, NULL,
478 #ifdef EXPERIMENTAL_DSN_INFO
479           NULL, NULL,
480 #endif
481           start);
482 }
483
484
485 /*************************************************
486 *          Check an SMTP response                *
487 *************************************************/
488
489 /* This function is given an errno code and the SMTP response buffer
490 to analyse, together with the host identification for generating messages. It
491 sets an appropriate message and puts the first digit of the response code into
492 the yield variable. If no response was actually read, a suitable digit is
493 chosen.
494
495 Arguments:
496   host           the current host, to get its name for messages
497   errno_value    pointer to the errno value
498   more_errno     from the top address for use with ERRNO_FILTER_FAIL
499   buffer         the SMTP response buffer
500   yield          where to put a one-digit SMTP response code
501   message        where to put an error message
502   pass_message   set TRUE if message is an SMTP response
503
504 Returns:         TRUE if an SMTP "QUIT" command should be sent, else FALSE
505 */
506
507 static BOOL
508 check_response(host_item *host, int *errno_value, int more_errno,
509   uschar *buffer, int *yield, uschar **message, BOOL *pass_message)
510 {
511 uschar * pl = pipelining_active ? US"pipelined " : US"";
512 const uschar * s;
513
514 *yield = '4';    /* Default setting is to give a temporary error */
515
516 switch(*errno_value)
517   {
518   case ETIMEDOUT:               /* Handle response timeout */
519     *message = US string_sprintf("SMTP timeout after %s%s",
520         pl, smtp_command);
521     if (transport_count > 0)
522       *message = US string_sprintf("%s (%d bytes written)", *message,
523         transport_count);
524     return FALSE;
525
526   case ERRNO_SMTPFORMAT:        /* Handle malformed SMTP response */
527     s = string_printing(buffer);
528     while (isspace(*s)) s++;
529     *message = *s == 0
530       ? string_sprintf("Malformed SMTP reply (an empty line) "
531           "in response to %s%s", pl, smtp_command)
532       : string_sprintf("Malformed SMTP reply in response to %s%s: %s",
533           pl, smtp_command, s);
534     return FALSE;
535
536   case ERRNO_TLSFAILURE:        /* Handle bad first read; can happen with
537                                 GnuTLS and TLS1.3 */
538     *message = US"bad first read from TLS conn";
539     return TRUE;
540
541   case ERRNO_FILTER_FAIL:       /* Handle a failed filter process error;
542                           can't send QUIT as we mustn't end the DATA. */
543     *message = string_sprintf("transport filter process failed (%d)%s",
544       more_errno,
545       more_errno == EX_EXECFAILED ? ": unable to execute command" : "");
546     return FALSE;
547
548   case ERRNO_CHHEADER_FAIL:     /* Handle a failed add_headers expansion;
549                             can't send QUIT as we mustn't end the DATA. */
550     *message =
551       string_sprintf("failed to expand headers_add or headers_remove: %s",
552         expand_string_message);
553     return FALSE;
554
555   case ERRNO_WRITEINCOMPLETE:   /* failure to write a complete data block */
556     *message = US"failed to write a data block";
557     return FALSE;
558
559 #ifdef SUPPORT_I18N
560   case ERRNO_UTF8_FWD: /* no advertised SMTPUTF8, for international message */
561     *message = US"utf8 support required but not offered for forwarding";
562     DEBUG(D_deliver|D_transport) debug_printf("%s\n", *message);
563     return TRUE;
564 #endif
565   }
566
567 /* Handle error responses from the remote mailer. */
568
569 if (buffer[0] != 0)
570   {
571   *message = string_sprintf("SMTP error from remote mail server after %s%s: "
572     "%s", pl, smtp_command, s = string_printing(buffer));
573   *pass_message = TRUE;
574   *yield = buffer[0];
575   return TRUE;
576   }
577
578 /* No data was read. If there is no errno, this must be the EOF (i.e.
579 connection closed) case, which causes deferral. An explicit connection reset
580 error has the same effect. Otherwise, put the host's identity in the message,
581 leaving the errno value to be interpreted as well. In all cases, we have to
582 assume the connection is now dead. */
583
584 if (*errno_value == 0 || *errno_value == ECONNRESET)
585   {
586   *errno_value = ERRNO_SMTPCLOSED;
587   *message = US string_sprintf("Remote host closed connection "
588     "in response to %s%s", pl, smtp_command);
589   }
590 else
591   *message = US string_sprintf("%s [%s]", host->name, host->address);
592
593 return FALSE;
594 }
595
596
597
598 /*************************************************
599 *          Write error message to logs           *
600 *************************************************/
601
602 /* This writes to the main log and to the message log.
603
604 Arguments:
605   host     the current host
606   detail  the current message (addr_item->message)
607   basic_errno the errno (addr_item->basic_errno)
608
609 Returns:   nothing
610 */
611
612 static void
613 write_logs(const host_item *host, const uschar *suffix, int basic_errno)
614 {
615 gstring * message = LOGGING(outgoing_port)
616   ? string_fmt_append(NULL, "H=%s [%s]:%d", host->name, host->address,
617                     host->port == PORT_NONE ? 25 : host->port)
618   : string_fmt_append(NULL, "H=%s [%s]", host->name, host->address);
619
620 if (suffix)
621   {
622   message = string_fmt_append(message, ": %s", suffix);
623   if (basic_errno > 0)
624     message = string_fmt_append(message, ": %s", strerror(basic_errno));
625   }
626 else
627   message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
628
629 log_write(0, LOG_MAIN, "%s", string_from_gstring(message));
630 deliver_msglog("%s %s\n", tod_stamp(tod_log), message->s);
631 }
632
633 static void
634 msglog_line(host_item * host, uschar * message)
635 {
636 deliver_msglog("%s H=%s [%s] %s\n", tod_stamp(tod_log),
637   host->name, host->address, message);
638 }
639
640
641
642 #ifndef DISABLE_EVENT
643 /*************************************************
644 *   Post-defer action                            *
645 *************************************************/
646
647 /* This expands an arbitrary per-transport string.
648    It might, for example, be used to write to the database log.
649
650 Arguments:
651   addr                  the address item containing error information
652   host                  the current host
653   evstr                 the event
654
655 Returns:   nothing
656 */
657
658 static void
659 deferred_event_raise(address_item * addr, host_item * host, uschar * evstr)
660 {
661 uschar * action = addr->transport->event_action;
662 const uschar * save_domain;
663 uschar * save_local;
664
665 if (!action)
666   return;
667
668 save_domain = deliver_domain;
669 save_local = deliver_localpart;
670
671 /*XXX would ip & port already be set up? */
672 deliver_host_address = string_copy(host->address);
673 deliver_host_port =    host->port == PORT_NONE ? 25 : host->port;
674 event_defer_errno =    addr->basic_errno;
675
676 router_name =    addr->router->name;
677 transport_name = addr->transport->name;
678 deliver_domain = addr->domain;
679 deliver_localpart = addr->local_part;
680
681 (void) event_raise(action, evstr,
682     addr->message
683       ? addr->basic_errno > 0
684         ? string_sprintf("%s: %s", addr->message, strerror(addr->basic_errno))
685         : string_copy(addr->message)
686       : addr->basic_errno > 0
687         ? string_copy(US strerror(addr->basic_errno))
688         : NULL,
689       NULL);
690
691 deliver_localpart = save_local;
692 deliver_domain =    save_domain;
693 router_name = transport_name = NULL;
694 }
695 #endif
696
697 /*************************************************
698 *           Reap SMTP specific responses         *
699 *************************************************/
700 static int
701 smtp_discard_responses(smtp_context * sx, smtp_transport_options_block * ob,
702   int count)
703 {
704 uschar flushbuffer[4096];
705
706 while (count-- > 0)
707   {
708   if (!smtp_read_response(sx, flushbuffer, sizeof(flushbuffer),
709              '2', ob->command_timeout)
710       && (errno != 0 || flushbuffer[0] == 0))
711     break;
712   }
713 return count;
714 }
715
716
717 /* Return boolean success */
718
719 static BOOL
720 smtp_reap_banner(smtp_context * sx)
721 {
722 BOOL good_response;
723 #if defined(__linux__) && defined(TCP_QUICKACK)
724   {     /* Hack to get QUICKACK disabled; has to be right after 3whs, and has to on->off */
725   int sock = sx->cctx.sock;
726   struct pollfd p = {.fd = sock, .events = POLLOUT};
727   if (poll(&p, 1, 1000) >= 0)   /* retval test solely for compiler quitening */
728     {
729     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &on, sizeof(on));
730     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &off, sizeof(off));
731     }
732   }
733 #endif
734 good_response = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
735   '2', (SOB sx->conn_args.ob)->command_timeout);
736 #ifdef EXPERIMENTAL_DSN_INFO
737 sx->smtp_greeting = string_copy(sx->buffer);
738 #endif
739 return good_response;
740 }
741
742 static BOOL
743 smtp_reap_ehlo(smtp_context * sx)
744 {
745 if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
746        (SOB sx->conn_args.ob)->command_timeout))
747   {
748   if (errno != 0 || sx->buffer[0] == 0 || sx->lmtp)
749     {
750 #ifdef EXPERIMENTAL_DSN_INFO
751     sx->helo_response = string_copy(sx->buffer);
752 #endif
753     return FALSE;
754     }
755   sx->esmtp = FALSE;
756   }
757 #ifdef EXPERIMENTAL_DSN_INFO
758 sx->helo_response = string_copy(sx->buffer);
759 #endif
760 #ifndef DISABLE_EVENT
761 (void) event_raise(sx->conn_args.tblock->event_action,
762   US"smtp:ehlo", sx->buffer, NULL);
763 #endif
764 return TRUE;
765 }
766
767
768 /* Grab a string differentiating server behind a loadbalancer, for TLS
769 resumption when such servers do not share a session-cache */
770
771 static void
772 ehlo_response_lbserver(smtp_context * sx, smtp_transport_options_block * ob)
773 {
774 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
775 const uschar * s;
776 uschar * save_item = iterate_item;
777
778 if (sx->conn_args.have_lbserver)
779   return;
780 iterate_item = sx->buffer;
781 s = expand_cstring(ob->host_name_extract);
782 iterate_item = save_item;
783 sx->conn_args.host_lbserver = s && !*s ? NULL : s;
784 sx->conn_args.have_lbserver = TRUE;
785 #endif
786 }
787
788
789
790 /******************************************************************************/
791
792 #ifdef EXPERIMENTAL_ESMTP_LIMITS
793 /* If TLS, or TLS not offered, called with the EHLO response in the buffer.
794 Check it for a LIMITS keyword and parse values into the smtp context structure.
795
796 We don't bother with peers that we won't talk TLS to, even though they can,
797 just ignore their LIMITS advice (if any) and treat them as if they do not.
798 This saves us dealing with a duplicate set of values. */
799
800 static void
801 ehlo_response_limits_read(smtp_context * sx)
802 {
803 uschar * match;
804
805 /* matches up to just after the first space after the keyword */
806
807 if (regex_match(regex_LIMITS, sx->buffer, -1, &match))
808   for (const uschar * s = sx->buffer + Ustrlen(match); *s; )
809     {
810     while (isspace(*s)) s++;
811     if (*s == '\n') break;
812
813     if (strncmpic(s, US"MAILMAX=", 8) == 0)
814       {
815       sx->peer_limit_mail = atoi(CS (s += 8));
816       while (isdigit(*s)) s++;
817       }
818     else if (strncmpic(s, US"RCPTMAX=", 8) == 0)
819       {
820       sx->peer_limit_rcpt = atoi(CS (s += 8));
821       while (isdigit(*s)) s++;
822       }
823     else if (strncmpic(s, US"RCPTDOMAINMAX=", 14) == 0)
824       {
825       sx->peer_limit_rcptdom = atoi(CS (s += 14));
826       while (isdigit(*s)) s++;
827       }
828     else
829       while (*s && !isspace(*s)) s++;
830     }
831 }
832
833 /* Apply given values to the current connection */
834 static void
835 ehlo_limits_apply(smtp_context * sx,
836   unsigned limit_mail, unsigned limit_rcpt, unsigned limit_rcptdom)
837 {
838 if (limit_mail && limit_mail < sx->max_mail) sx->max_mail = limit_mail;
839 if (limit_rcpt && limit_rcpt < sx->max_rcpt) sx->max_rcpt = limit_rcpt;
840 if (limit_rcptdom)
841   {
842   DEBUG(D_transport) debug_printf("will treat as !multi_domain\n");
843   sx->single_rcpt_domain = TRUE;
844   }
845 }
846
847 /* Apply values from EHLO-resp to the current connection */
848 static void
849 ehlo_response_limits_apply(smtp_context * sx)
850 {
851 ehlo_limits_apply(sx, sx->peer_limit_mail, sx->peer_limit_rcpt,
852   sx->peer_limit_rcptdom);
853 }
854
855 /* Apply values read from cache to the current connection */
856 static void
857 ehlo_cache_limits_apply(smtp_context * sx)
858 {
859 # ifndef DISABLE_PIPE_CONNECT
860 ehlo_limits_apply(sx, sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
861   sx->ehlo_resp.limit_rcptdom);
862 # endif
863 }
864 #endif  /*EXPERIMENTAL_ESMTP_LIMITS*/
865
866 /******************************************************************************/
867
868 #ifndef DISABLE_PIPE_CONNECT
869 static uschar *
870 ehlo_cache_key(const smtp_context * sx)
871 {
872 host_item * host = sx->conn_args.host;
873 return Ustrchr(host->address, ':')
874   ? string_sprintf("[%s]:%d.EHLO", host->address,
875     host->port == PORT_NONE ? sx->port : host->port)
876   : string_sprintf("%s:%d.EHLO", host->address,
877     host->port == PORT_NONE ? sx->port : host->port);
878 }
879
880 /* Cache EHLO-response info for use by early-pipe.
881 Called
882 - During a normal flow on EHLO response (either cleartext or under TLS),
883   when we are willing to do PIPECONNECT and it is offered
884 - During an early-pipe flow on receiving the actual EHLO response and noting
885   disparity versus the cached info used, when PIPECONNECT is still being offered
886
887 We assume that suitable values have been set in the sx.ehlo_resp structure for
888 features and auths; we handle the copy of limits. */
889
890 static void
891 write_ehlo_cache_entry(smtp_context * sx)
892 {
893 open_db dbblock, * dbm_file;
894
895 # ifdef EXPERIMENTAL_ESMTP_LIMITS
896 sx->ehlo_resp.limit_mail = sx->peer_limit_mail;
897 sx->ehlo_resp.limit_rcpt = sx->peer_limit_rcpt;
898 sx->ehlo_resp.limit_rcptdom = sx->peer_limit_rcptdom;
899 # endif
900
901 if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
902   {
903   uschar * ehlo_resp_key = ehlo_cache_key(sx);
904   dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
905
906   HDEBUG(D_transport)
907 # ifdef EXPERIMENTAL_ESMTP_LIMITS
908     if (sx->ehlo_resp.limit_mail || sx->ehlo_resp.limit_rcpt || sx->ehlo_resp.limit_rcptdom)
909       debug_printf("writing clr %04x/%04x cry %04x/%04x lim %05d/%05d/%05d\n",
910         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
911         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths,
912         sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
913         sx->ehlo_resp.limit_rcptdom);
914     else
915 # endif
916       debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
917         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
918         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
919
920   dbfn_write(dbm_file, ehlo_resp_key, &er, (int)sizeof(er));
921   dbfn_close(dbm_file);
922   }
923 }
924
925 static void
926 invalidate_ehlo_cache_entry(smtp_context * sx)
927 {
928 open_db dbblock, * dbm_file;
929
930 if (  sx->early_pipe_active
931    && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
932   {
933   uschar * ehlo_resp_key = ehlo_cache_key(sx);
934   dbfn_delete(dbm_file, ehlo_resp_key);
935   dbfn_close(dbm_file);
936   }
937 }
938
939 static BOOL
940 read_ehlo_cache_entry(smtp_context * sx)
941 {
942 open_db dbblock;
943 open_db * dbm_file;
944
945 if (!(dbm_file = dbfn_open(US"misc", O_RDONLY, &dbblock, FALSE, TRUE)))
946   { DEBUG(D_transport) debug_printf("ehlo-cache: no misc DB\n"); }
947 else
948   {
949   uschar * ehlo_resp_key = ehlo_cache_key(sx);
950   dbdata_ehlo_resp * er;
951
952   if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
953     { DEBUG(D_transport) debug_printf("no ehlo-resp record\n"); }
954   else if (time(NULL) - er->time_stamp > retry_data_expire)
955     {
956     DEBUG(D_transport) debug_printf("ehlo-resp record too old\n");
957     dbfn_close(dbm_file);
958     if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
959       dbfn_delete(dbm_file, ehlo_resp_key);
960     }
961   else
962     {
963     DEBUG(D_transport)
964 # ifdef EXPERIMENTAL_ESMTP_LIMITS
965       if (er->data.limit_mail || er->data.limit_rcpt || er->data.limit_rcptdom)
966         debug_printf("EHLO response bits from cache:"
967           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x lim %05d/%05d/%05d\n",
968           er->data.cleartext_features, er->data.cleartext_auths,
969           er->data.crypted_features, er->data.crypted_auths,
970           er->data.limit_mail, er->data.limit_rcpt, er->data.limit_rcptdom);
971       else
972 # endif
973         debug_printf("EHLO response bits from cache:"
974           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x\n",
975           er->data.cleartext_features, er->data.cleartext_auths,
976           er->data.crypted_features, er->data.crypted_auths);
977
978     sx->ehlo_resp = er->data;
979 # ifdef EXPERIMENTAL_ESMTP_LIMITS
980     ehlo_cache_limits_apply(sx);
981 # endif
982     dbfn_close(dbm_file);
983     return TRUE;
984     }
985   dbfn_close(dbm_file);
986   }
987 return FALSE;
988 }
989
990
991
992 /* Return an auths bitmap for the set of AUTH methods offered by the server
993 which match our authenticators. */
994
995 static unsigned short
996 study_ehlo_auths(smtp_context * sx)
997 {
998 uschar * names;
999 auth_instance * au;
1000 uschar authnum;
1001 unsigned short authbits = 0;
1002
1003 if (!sx->esmtp) return 0;
1004 if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1005 if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
1006 expand_nmax = -1;                                               /* reset */
1007 names = string_copyn(expand_nstring[1], expand_nlength[1]);
1008
1009 for (au = auths, authnum = 0; au; au = au->next, authnum++) if (au->client)
1010   {
1011   const uschar * list = names;
1012   uschar * s;
1013   for (int sep = ' '; s = string_nextinlist(&list, &sep, NULL, 0); )
1014     if (strcmpic(au->public_name, s) == 0)
1015       { authbits |= BIT(authnum); break; }
1016   }
1017
1018 DEBUG(D_transport)
1019   debug_printf("server offers %s AUTH, methods '%s', bitmap 0x%04x\n",
1020     tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
1021
1022 if (tls_out.active.sock >= 0)
1023   sx->ehlo_resp.crypted_auths = authbits;
1024 else
1025   sx->ehlo_resp.cleartext_auths = authbits;
1026 return authbits;
1027 }
1028
1029
1030
1031
1032 /* Wait for and check responses for early-pipelining.
1033
1034 Called from the lower-level smtp_read_response() function
1035 used for general code that assume synchronisation, if context
1036 flags indicate outstanding early-pipelining commands.  Also
1037 called fom sync_responses() which handles pipelined commands.
1038
1039 Arguments:
1040  sx     smtp connection context
1041  countp number of outstanding responses, adjusted on return
1042
1043 Return:
1044  OK     all well
1045  DEFER  error on first read of TLS'd conn
1046  FAIL   SMTP error in response
1047 */
1048 int
1049 smtp_reap_early_pipe(smtp_context * sx, int * countp)
1050 {
1051 BOOL pending_BANNER = sx->pending_BANNER;
1052 BOOL pending_EHLO = sx->pending_EHLO;
1053 int rc = FAIL;
1054
1055 sx->pending_BANNER = FALSE;     /* clear early to avoid recursion */
1056 sx->pending_EHLO = FALSE;
1057
1058 if (pending_BANNER)
1059   {
1060   DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
1061   (*countp)--;
1062   if (!smtp_reap_banner(sx))
1063     {
1064     DEBUG(D_transport) debug_printf("bad banner\n");
1065     if (tls_out.active.sock >= 0) rc = DEFER;
1066     goto fail;
1067     }
1068   /*XXX EXPERIMENTAL_ESMTP_LIMITS ? */
1069   ehlo_response_lbserver(sx, sx->conn_args.ob);
1070   }
1071
1072 if (pending_EHLO)
1073   {
1074   unsigned peer_offered;
1075   unsigned short authbits = 0, * ap;
1076
1077   DEBUG(D_transport) debug_printf("%s expect ehlo\n", __FUNCTION__);
1078   (*countp)--;
1079   if (!smtp_reap_ehlo(sx))
1080     {
1081     DEBUG(D_transport) debug_printf("bad response for EHLO\n");
1082     if (tls_out.active.sock >= 0) rc = DEFER;
1083     goto fail;
1084     }
1085
1086   /* Compare the actual EHLO response extensions and AUTH methods to the cached
1087   value we assumed; on difference, dump or rewrite the cache and arrange for a
1088   retry. */
1089
1090   ap = tls_out.active.sock < 0
1091       ? &sx->ehlo_resp.cleartext_auths : &sx->ehlo_resp.crypted_auths;
1092
1093   peer_offered = ehlo_response(sx->buffer,
1094           (tls_out.active.sock < 0 ?  OPTION_TLS : 0)
1095         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
1096         | OPTION_UTF8 | OPTION_EARLY_PIPE
1097         );
1098 # ifdef EXPERIMENTAL_ESMTP_LIMITS
1099   if (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1100     ehlo_response_limits_read(sx);
1101 # endif
1102   if (  peer_offered != sx->peer_offered
1103      || (authbits = study_ehlo_auths(sx)) != *ap)
1104     {
1105     HDEBUG(D_transport)
1106       debug_printf("EHLO %s extensions changed, 0x%04x/0x%04x -> 0x%04x/0x%04x\n",
1107                     tls_out.active.sock < 0 ? "cleartext" : "crypted",
1108                     sx->peer_offered, *ap, peer_offered, authbits);
1109     if (peer_offered & OPTION_EARLY_PIPE)
1110       {
1111       *(tls_out.active.sock < 0
1112         ? &sx->ehlo_resp.cleartext_features : &sx->ehlo_resp.crypted_features) =
1113           peer_offered;
1114       *ap = authbits;
1115       write_ehlo_cache_entry(sx);
1116       }
1117     else
1118       invalidate_ehlo_cache_entry(sx);
1119
1120     return OK;          /* just carry on */
1121     }
1122 # ifdef EXPERIMENTAL_ESMTP_LIMITS
1123     /* If we are handling LIMITS, compare the actual EHLO LIMITS values with the
1124     cached values and invalidate cache if different.  OK to carry on with
1125     connect since values are advisory. */
1126     {
1127     if (  (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1128        && (  sx->peer_limit_mail != sx->ehlo_resp.limit_mail
1129           || sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt
1130           || sx->peer_limit_rcptdom != sx->ehlo_resp.limit_rcptdom
1131        )  )
1132       {
1133       HDEBUG(D_transport)
1134         {
1135         debug_printf("EHLO LIMITS changed:");
1136         if (sx->peer_limit_mail != sx->ehlo_resp.limit_mail)
1137           debug_printf(" MAILMAX %u -> %u\n", sx->ehlo_resp.limit_mail, sx->peer_limit_mail);
1138         else if (sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt)
1139           debug_printf(" RCPTMAX %u -> %u\n", sx->ehlo_resp.limit_rcpt, sx->peer_limit_rcpt);
1140         else
1141           debug_printf(" RCPTDOMAINMAX %u -> %u\n", sx->ehlo_resp.limit_rcptdom, sx->peer_limit_rcptdom);
1142         }
1143       invalidate_ehlo_cache_entry(sx);
1144       }
1145     }
1146 # endif
1147   }
1148 return OK;
1149
1150 fail:
1151   invalidate_ehlo_cache_entry(sx);
1152   (void) smtp_discard_responses(sx, sx->conn_args.ob, *countp);
1153   return rc;
1154 }
1155 #endif  /*!DISABLE_PIPE_CONNECT*/
1156
1157
1158 /*************************************************
1159 *           Synchronize SMTP responses           *
1160 *************************************************/
1161
1162 /* This function is called from smtp_deliver() to receive SMTP responses from
1163 the server, and match them up with the commands to which they relate. When
1164 PIPELINING is not in use, this function is called after every command, and is
1165 therefore somewhat over-engineered, but it is simpler to use a single scheme
1166 that works both with and without PIPELINING instead of having two separate sets
1167 of code.
1168
1169 The set of commands that are buffered up with pipelining may start with MAIL
1170 and may end with DATA; in between are RCPT commands that correspond to the
1171 addresses whose status is PENDING_DEFER. All other commands (STARTTLS, AUTH,
1172 etc.) are never buffered.
1173
1174 Errors after MAIL or DATA abort the whole process leaving the response in the
1175 buffer. After MAIL, pending responses are flushed, and the original command is
1176 re-instated in big_buffer for error messages. For RCPT commands, the remote is
1177 permitted to reject some recipient addresses while accepting others. However
1178 certain errors clearly abort the whole process. Set the value in
1179 transport_return to PENDING_OK if the address is accepted. If there is a
1180 subsequent general error, it will get reset accordingly. If not, it will get
1181 converted to OK at the end.
1182
1183 Arguments:
1184   sx                smtp connection context
1185   count             the number of responses to read
1186   pending_DATA      0 if last command sent was not DATA
1187                    +1 if previously had a good recipient
1188                    -1 if not previously had a good recipient
1189
1190 Returns:      3 if at least one address had 2xx and one had 5xx
1191               2 if at least one address had 5xx but none had 2xx
1192               1 if at least one host had a 2xx response, but none had 5xx
1193               0 no address had 2xx or 5xx but no errors (all 4xx, or just DATA)
1194              -1 timeout while reading RCPT response
1195              -2 I/O or other non-response error for RCPT
1196              -3 DATA or MAIL failed - errno and buffer set
1197              -4 banner or EHLO failed (early-pipelining)
1198              -5 banner or EHLO failed (early-pipelining, TLS)
1199 */
1200
1201 static int
1202 sync_responses(smtp_context * sx, int count, int pending_DATA)
1203 {
1204 address_item * addr = sx->sync_addr;
1205 smtp_transport_options_block * ob = sx->conn_args.ob;
1206 int yield = 0;
1207
1208 #ifndef DISABLE_PIPE_CONNECT
1209 int rc;
1210 if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
1211   return rc == FAIL ? -4 : -5;
1212 #endif
1213
1214 /* Handle the response for a MAIL command. On error, reinstate the original
1215 command in big_buffer for error message use, and flush any further pending
1216 responses before returning, except after I/O errors and timeouts. */
1217
1218 if (sx->pending_MAIL)
1219   {
1220   DEBUG(D_transport) debug_printf("%s expect mail\n", __FUNCTION__);
1221   count--;
1222   sx->pending_MAIL = sx->RCPT_452 = FALSE;
1223   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1224                           '2', ob->command_timeout))
1225     {
1226     DEBUG(D_transport) debug_printf("bad response for MAIL\n");
1227     Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
1228     if (errno == ERRNO_TLSFAILURE)
1229       return -5;
1230     if (errno == 0 && sx->buffer[0] != 0)
1231       {
1232       int save_errno = 0;
1233       if (sx->buffer[0] == '4')
1234         {
1235         save_errno = ERRNO_MAIL4XX;
1236         addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1237         }
1238       count = smtp_discard_responses(sx, ob, count);
1239       errno = save_errno;
1240       }
1241
1242     if (pending_DATA) count--;  /* Number of RCPT responses to come */
1243     while (count-- > 0)         /* Mark any pending addrs with the host used */
1244       {
1245       while (addr->transport_return != PENDING_DEFER) addr = addr->next;
1246       addr->host_used = sx->conn_args.host;
1247       addr = addr->next;
1248       }
1249     return -3;
1250     }
1251   }
1252
1253 if (pending_DATA) count--;  /* Number of RCPT responses to come */
1254
1255 /* Read and handle the required number of RCPT responses, matching each one up
1256 with an address by scanning for the next address whose status is PENDING_DEFER.
1257 */
1258
1259 while (count-- > 0)
1260   {
1261   while (addr->transport_return != PENDING_DEFER)
1262     if (!(addr = addr->next))
1263       return -2;
1264
1265   /* The address was accepted */
1266   addr->host_used = sx->conn_args.host;
1267
1268   DEBUG(D_transport) debug_printf("%s expect rcpt for %s\n", __FUNCTION__, addr->address);
1269   if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1270                           '2', ob->command_timeout))
1271     {
1272     yield |= 1;
1273     addr->transport_return = PENDING_OK;
1274
1275     /* If af_dr_retry_exists is set, there was a routing delay on this address;
1276     ensure that any address-specific retry record is expunged. We do this both
1277     for the basic key and for the version that also includes the sender. */
1278
1279     if (testflag(addr, af_dr_retry_exists))
1280       {
1281       uschar *altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
1282         sender_address);
1283       retry_add_item(addr, altkey, rf_delete);
1284       retry_add_item(addr, addr->address_retry_key, rf_delete);
1285       }
1286     }
1287
1288   /* Error on first TLS read */
1289
1290   else if (errno == ERRNO_TLSFAILURE)
1291     return -5;
1292
1293   /* Timeout while reading the response */
1294
1295   else if (errno == ETIMEDOUT)
1296     {
1297     uschar *message = string_sprintf("SMTP timeout after RCPT TO:<%s>",
1298                 transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1299     set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE, &sx->delivery_start);
1300     retry_add_item(addr, addr->address_retry_key, 0);
1301     update_waiting = FALSE;
1302     return -1;
1303     }
1304
1305   /* Handle other errors in obtaining an SMTP response by returning -1. This
1306   will cause all the addresses to be deferred. Restore the SMTP command in
1307   big_buffer for which we are checking the response, so the error message
1308   makes sense. */
1309
1310   else if (errno != 0 || sx->buffer[0] == 0)
1311     {
1312     gstring gs = { .size = big_buffer_size, .ptr = 0, .s = big_buffer }, * g = &gs;
1313
1314     /* Use taint-unchecked routines for writing into big_buffer, trusting
1315     that we'll never expand it. */
1316
1317     g = string_fmt_append_f(g, SVFMT_TAINT_NOCHK, "RCPT TO:<%s>",
1318       transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1319     string_from_gstring(g);
1320     return -2;
1321     }
1322
1323   /* Handle SMTP permanent and temporary response codes. */
1324
1325   else
1326     {
1327     addr->message =
1328       string_sprintf("SMTP error from remote mail server after RCPT TO:<%s>: "
1329         "%s", transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes),
1330         string_printing(sx->buffer));
1331     setflag(addr, af_pass_message);
1332     if (!sx->verify)
1333       msglog_line(sx->conn_args.host, addr->message);
1334
1335     /* The response was 5xx */
1336
1337     if (sx->buffer[0] == '5')
1338       {
1339       addr->transport_return = FAIL;
1340       yield |= 2;
1341       }
1342
1343     /* The response was 4xx */
1344
1345     else
1346       {
1347       addr->transport_return = DEFER;
1348       addr->basic_errno = ERRNO_RCPT4XX;
1349       addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1350
1351       if (!sx->verify)
1352         {
1353 #ifndef DISABLE_EVENT
1354         event_defer_errno = addr->more_errno;
1355         msg_event_raise(US"msg:rcpt:host:defer", addr);
1356 #endif
1357         /* If a 452 and we've had at least one 2xx or 5xx, set next_addr to the
1358         start point for another MAIL command. */
1359
1360         if (addr->more_errno >> 8 == 52  &&  yield & 3)
1361           {
1362           if (!sx->RCPT_452)            /* initialised at MAIL-ack above */
1363             {
1364             DEBUG(D_transport)
1365               debug_printf("%s: seen first 452 too-many-rcpts\n", __FUNCTION__);
1366             sx->RCPT_452 = TRUE;
1367             sx->next_addr = addr;
1368             }
1369           addr->transport_return = PENDING_DEFER;
1370           addr->basic_errno = 0;
1371           }
1372         else
1373           {
1374           /* Log temporary errors if there are more hosts to be tried.
1375           If not, log this last one in the == line. */
1376
1377           if (sx->conn_args.host->next)
1378             if (LOGGING(outgoing_port))
1379               log_write(0, LOG_MAIN, "H=%s [%s]:%d %s", sx->conn_args.host->name,
1380                 sx->conn_args.host->address,
1381                 sx->port == PORT_NONE ? 25 : sx->port, addr->message);
1382             else
1383               log_write(0, LOG_MAIN, "H=%s [%s]: %s", sx->conn_args.host->name,
1384                 sx->conn_args.host->address, addr->message);
1385
1386 #ifndef DISABLE_EVENT
1387           else
1388             msg_event_raise(US"msg:rcpt:defer", addr);
1389 #endif
1390
1391           /* Do not put this message on the list of those waiting for specific
1392           hosts, as otherwise it is likely to be tried too often. */
1393
1394           update_waiting = FALSE;
1395
1396           /* Add a retry item for the address so that it doesn't get tried again
1397           too soon. If address_retry_include_sender is true, add the sender address
1398           to the retry key. */
1399
1400           retry_add_item(addr,
1401             ob->address_retry_include_sender
1402               ? string_sprintf("%s:<%s>", addr->address_retry_key, sender_address)
1403               : addr->address_retry_key,
1404             0);
1405           }
1406         }
1407       }
1408     }
1409   if (count && !(addr = addr->next))
1410     return -2;
1411   }       /* Loop for next RCPT response */
1412
1413 /* Update where to start at for the next block of responses, unless we
1414 have already handled all the addresses. */
1415
1416 if (addr) sx->sync_addr = addr->next;
1417
1418 /* Handle a response to DATA. If we have not had any good recipients, either
1419 previously or in this block, the response is ignored. */
1420
1421 if (pending_DATA != 0)
1422   {
1423   DEBUG(D_transport) debug_printf("%s expect data\n", __FUNCTION__);
1424   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1425                         '3', ob->command_timeout))
1426     {
1427     int code;
1428     uschar *msg;
1429     BOOL pass_message;
1430
1431     if (errno == ERRNO_TLSFAILURE)      /* Error on first TLS read */
1432       return -5;
1433
1434     if (pending_DATA > 0 || (yield & 1) != 0)
1435       {
1436       if (errno == 0 && sx->buffer[0] == '4')
1437         {
1438         errno = ERRNO_DATA4XX;
1439         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1440         }
1441       return -3;
1442       }
1443     (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
1444     DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
1445       "is in use and there were no good recipients\n", msg);
1446     }
1447   }
1448
1449 /* All responses read and handled; MAIL (if present) received 2xx and DATA (if
1450 present) received 3xx. If any RCPTs were handled and yielded anything other
1451 than 4xx, yield will be set non-zero. */
1452
1453 return yield;
1454 }
1455
1456
1457
1458
1459
1460 /* Try an authenticator's client entry */
1461
1462 static int
1463 try_authenticator(smtp_context * sx, auth_instance * au)
1464 {
1465 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1466 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1467 int rc;
1468
1469 /* Set up globals for error messages */
1470
1471 authenticator_name = au->name;
1472 driver_srcfile = au->srcfile;
1473 driver_srcline = au->srcline;
1474
1475 sx->outblock.authenticating = TRUE;
1476 rc = (au->info->clientcode)(au, sx, ob->command_timeout,
1477                             sx->buffer, sizeof(sx->buffer));
1478 sx->outblock.authenticating = FALSE;
1479 driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
1480 DEBUG(D_transport) debug_printf("%s authenticator yielded %s\n", au->name, rc_names[rc]);
1481
1482 /* A temporary authentication failure must hold up delivery to
1483 this host. After a permanent authentication failure, we carry on
1484 to try other authentication methods. If all fail hard, try to
1485 deliver the message unauthenticated unless require_auth was set. */
1486
1487 switch(rc)
1488   {
1489   case OK:
1490     f.smtp_authenticated = TRUE;   /* stops the outer loop */
1491     client_authenticator = au->name;
1492     if (au->set_client_id)
1493       client_authenticated_id = expand_string(au->set_client_id);
1494     break;
1495
1496   /* Failure after writing a command */
1497
1498   case FAIL_SEND:
1499     return FAIL_SEND;
1500
1501   /* Failure after reading a response */
1502
1503   case FAIL:
1504     {
1505     uschar * logmsg = NULL;
1506
1507     if (errno != 0 || sx->buffer[0] != '5') return FAIL;
1508 #ifndef DISABLE_EVENT
1509      {
1510       uschar * save_name = sender_host_authenticated;
1511       sender_host_authenticated = au->name;
1512       if ((logmsg = event_raise(sx->conn_args.tblock->event_action, US"auth:fail",
1513                                 sx->buffer, NULL)))
1514         log_write(0, LOG_MAIN, "%s", logmsg);
1515       sender_host_authenticated = save_name;
1516      }
1517 #endif
1518     if (!logmsg)
1519       log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
1520         au->name, host->name, host->address, sx->buffer);
1521     break;
1522     }
1523
1524   /* Failure by some other means. In effect, the authenticator
1525   decided it wasn't prepared to handle this case. Typically this
1526   is the result of "fail" in an expansion string. Do we need to
1527   log anything here? Feb 2006: a message is now put in the buffer
1528   if logging is required. */
1529
1530   case CANCELLED:
1531     if (*sx->buffer != 0)
1532       log_write(0, LOG_MAIN, "%s authenticator cancelled "
1533         "authentication H=%s [%s] %s", au->name, host->name,
1534         host->address, sx->buffer);
1535     break;
1536
1537   /* Internal problem, message in buffer. */
1538
1539   case ERROR:
1540     set_errno_nohost(sx->addrlist, ERRNO_AUTHPROB, string_copy(sx->buffer),
1541               DEFER, FALSE, &sx->delivery_start);
1542     return ERROR;
1543   }
1544 return OK;
1545 }
1546
1547
1548
1549
1550 /* Do the client side of smtp-level authentication.
1551
1552 Arguments:
1553   sx            smtp connection context
1554
1555 sx->buffer should have the EHLO response from server (gets overwritten)
1556
1557 Returns:
1558   OK                    Success, or failed (but not required): global "smtp_authenticated" set
1559   DEFER                 Failed authentication (and was required)
1560   ERROR                 Internal problem
1561
1562   FAIL_SEND             Failed communications - transmit
1563   FAIL                  - response
1564 */
1565
1566 static int
1567 smtp_auth(smtp_context * sx)
1568 {
1569 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1570 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1571 int require_auth = verify_check_given_host(CUSS &ob->hosts_require_auth, host);
1572 #ifndef DISABLE_PIPE_CONNECT
1573 unsigned short authbits = tls_out.active.sock >= 0
1574       ? sx->ehlo_resp.crypted_auths : sx->ehlo_resp.cleartext_auths;
1575 #endif
1576 uschar * fail_reason = US"server did not advertise AUTH support";
1577
1578 f.smtp_authenticated = FALSE;
1579 client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
1580
1581 if (!regex_AUTH)
1582   regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1583
1584 /* Is the server offering AUTH? */
1585
1586 if (  sx->esmtp
1587    &&
1588 #ifndef DISABLE_PIPE_CONNECT
1589       sx->early_pipe_active ? authbits
1590       :
1591 #endif
1592         regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)
1593    )
1594   {
1595   uschar * names = NULL;
1596   expand_nmax = -1;                          /* reset */
1597
1598 #ifndef DISABLE_PIPE_CONNECT
1599   if (!sx->early_pipe_active)
1600 #endif
1601     names = string_copyn(expand_nstring[1], expand_nlength[1]);
1602
1603   /* Must not do this check until after we have saved the result of the
1604   regex match above as the check could be another RE. */
1605
1606   if (  require_auth == OK
1607      || verify_check_given_host(CUSS &ob->hosts_try_auth, host) == OK)
1608     {
1609     DEBUG(D_transport) debug_printf("scanning authentication mechanisms\n");
1610     fail_reason = US"no common mechanisms were found";
1611
1612 #ifndef DISABLE_PIPE_CONNECT
1613     if (sx->early_pipe_active)
1614       {
1615       /* Scan our authenticators (which support use by a client and were offered
1616       by the server (checked at cache-write time)), not suppressed by
1617       client_condition.  If one is found, attempt to authenticate by calling its
1618       client function.  We are limited to supporting up to 16 authenticator
1619       public-names by the number of bits in a short. */
1620
1621       auth_instance * au;
1622       uschar bitnum;
1623       int rc;
1624
1625       for (bitnum = 0, au = auths;
1626            !f.smtp_authenticated && au && bitnum < 16;
1627            bitnum++, au = au->next) if (authbits & BIT(bitnum))
1628         {
1629         if (  au->client_condition
1630            && !expand_check_condition(au->client_condition, au->name,
1631                    US"client authenticator"))
1632           {
1633           DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1634             au->name, "client_condition is false");
1635           continue;
1636           }
1637
1638         /* Found data for a listed mechanism. Call its client entry. Set
1639         a flag in the outblock so that data is overwritten after sending so
1640         that reflections don't show it. */
1641
1642         fail_reason = US"authentication attempt(s) failed";
1643
1644         if ((rc = try_authenticator(sx, au)) != OK)
1645           return rc;
1646         }
1647       }
1648     else
1649 #endif
1650
1651     /* Scan the configured authenticators looking for one which is configured
1652     for use as a client, which is not suppressed by client_condition, and
1653     whose name matches an authentication mechanism supported by the server.
1654     If one is found, attempt to authenticate by calling its client function.
1655     */
1656
1657     for (auth_instance * au = auths; !f.smtp_authenticated && au; au = au->next)
1658       {
1659       uschar *p = names;
1660
1661       if (  !au->client
1662          || (   au->client_condition
1663             &&  !expand_check_condition(au->client_condition, au->name,
1664                    US"client authenticator")))
1665         {
1666         DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1667           au->name,
1668           (au->client)? "client_condition is false" :
1669                         "not configured as a client");
1670         continue;
1671         }
1672
1673       /* Loop to scan supported server mechanisms */
1674
1675       while (*p)
1676         {
1677         int len = Ustrlen(au->public_name);
1678         int rc;
1679
1680         while (isspace(*p)) p++;
1681
1682         if (strncmpic(au->public_name, p, len) != 0 ||
1683             (p[len] != 0 && !isspace(p[len])))
1684           {
1685           while (*p != 0 && !isspace(*p)) p++;
1686           continue;
1687           }
1688
1689         /* Found data for a listed mechanism. Call its client entry. Set
1690         a flag in the outblock so that data is overwritten after sending so
1691         that reflections don't show it. */
1692
1693         fail_reason = US"authentication attempt(s) failed";
1694
1695         if ((rc = try_authenticator(sx, au)) != OK)
1696           return rc;
1697
1698         break;  /* If not authenticated, try next authenticator */
1699         }       /* Loop for scanning supported server mechanisms */
1700       }         /* Loop for further authenticators */
1701     }
1702   }
1703
1704 /* If we haven't authenticated, but are required to, give up. */
1705
1706 if (require_auth == OK && !f.smtp_authenticated)
1707   {
1708 #ifndef DISABLE_PIPE_CONNECT
1709   invalidate_ehlo_cache_entry(sx);
1710 #endif
1711   set_errno_nohost(sx->addrlist, ERRNO_AUTHFAIL,
1712     string_sprintf("authentication required but %s", fail_reason), DEFER,
1713     FALSE, &sx->delivery_start);
1714   return DEFER;
1715   }
1716
1717 return OK;
1718 }
1719
1720
1721 /* Construct AUTH appendix string for MAIL TO */
1722 /*
1723 Arguments
1724   sx            context for smtp connection
1725   p             point in sx->buffer to build string
1726   addrlist      chain of potential addresses to deliver
1727
1728 Globals         f.smtp_authenticated
1729                 client_authenticated_sender
1730 Return  True on error, otherwise buffer has (possibly empty) terminated string
1731 */
1732
1733 static BOOL
1734 smtp_mail_auth_str(smtp_context * sx, uschar * p, address_item * addrlist)
1735 {
1736 smtp_transport_options_block * ob = sx->conn_args.ob;
1737 uschar * local_authenticated_sender = authenticated_sender;
1738
1739 #ifdef notdef
1740   debug_printf("smtp_mail_auth_str: as<%s> os<%s> SA<%s>\n",
1741     authenticated_sender, ob->authenticated_sender, f.smtp_authenticated?"Y":"N");
1742 #endif
1743
1744 if (ob->authenticated_sender)
1745   {
1746   uschar * new = expand_string(ob->authenticated_sender);
1747   if (!new)
1748     {
1749     if (!f.expand_string_forcedfail)
1750       {
1751       uschar *message = string_sprintf("failed to expand "
1752         "authenticated_sender: %s", expand_string_message);
1753       set_errno_nohost(addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
1754       return TRUE;
1755       }
1756     }
1757   else if (*new)
1758     local_authenticated_sender = new;
1759   }
1760
1761 /* Add the authenticated sender address if present */
1762
1763 if (  (f.smtp_authenticated || ob->authenticated_sender_force)
1764    && local_authenticated_sender)
1765   {
1766   string_format_nt(p, sizeof(sx->buffer) - (p-sx->buffer), " AUTH=%s",
1767     auth_xtextencode(local_authenticated_sender,
1768       Ustrlen(local_authenticated_sender)));
1769   client_authenticated_sender = string_copy(local_authenticated_sender);
1770   }
1771 else
1772   *p = 0;
1773
1774 return FALSE;
1775 }
1776
1777
1778
1779 typedef struct smtp_compare_s
1780 {
1781     uschar *                    current_sender_address;
1782     struct transport_instance * tblock;
1783 } smtp_compare_t;
1784
1785
1786 /* Create a unique string that identifies this message, it is based on
1787 sender_address, helo_data and tls_certificate if enabled.
1788 */
1789
1790 static uschar *
1791 smtp_local_identity(uschar * sender, struct transport_instance * tblock)
1792 {
1793 address_item * addr1;
1794 uschar * if1 = US"";
1795 uschar * helo1 = US"";
1796 #ifndef DISABLE_TLS
1797 uschar * tlsc1 = US"";
1798 #endif
1799 uschar * save_sender_address = sender_address;
1800 uschar * local_identity = NULL;
1801 smtp_transport_options_block * ob = SOB tblock->options_block;
1802
1803 sender_address = sender;
1804
1805 addr1 = deliver_make_addr (sender, TRUE);
1806 deliver_set_expansions(addr1);
1807
1808 if (ob->interface)
1809   if1 = expand_string(ob->interface);
1810
1811 if (ob->helo_data)
1812   helo1 = expand_string(ob->helo_data);
1813
1814 #ifndef DISABLE_TLS
1815 if (ob->tls_certificate)
1816   tlsc1 = expand_string(ob->tls_certificate);
1817 local_identity = string_sprintf ("%s^%s^%s", if1, helo1, tlsc1);
1818 #else
1819 local_identity = string_sprintf ("%s^%s", if1, helo1);
1820 #endif
1821
1822 deliver_set_expansions(NULL);
1823 sender_address = save_sender_address;
1824
1825 return local_identity;
1826 }
1827
1828
1829
1830 /* This routine is a callback that is called from transport_check_waiting.
1831 This function will evaluate the incoming message versus the previous
1832 message.  If the incoming message is using a different local identity then
1833 we will veto this new message.  */
1834
1835 static BOOL
1836 smtp_are_same_identities(uschar * message_id, smtp_compare_t * s_compare)
1837 {
1838 uschar * message_local_identity,
1839        * current_local_identity,
1840        * new_sender_address;
1841
1842 current_local_identity =
1843   smtp_local_identity(s_compare->current_sender_address, s_compare->tblock);
1844
1845 if (!(new_sender_address = spool_sender_from_msgid(message_id)))
1846   return FALSE;
1847
1848
1849 message_local_identity =
1850   smtp_local_identity(new_sender_address, s_compare->tblock);
1851
1852 return Ustrcmp(current_local_identity, message_local_identity) == 0;
1853 }
1854
1855
1856
1857 static unsigned
1858 ehlo_response(uschar * buf, unsigned checks)
1859 {
1860 PCRE2_SIZE bsize = Ustrlen(buf);
1861 pcre2_match_data * md = pcre2_match_data_create(1, pcre_gen_ctx);
1862
1863 /* debug_printf("%s: check for 0x%04x\n", __FUNCTION__, checks); */
1864
1865 #ifndef DISABLE_TLS
1866 if (  checks & OPTION_TLS
1867    && pcre2_match(regex_STARTTLS,
1868                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1869 #endif
1870   checks &= ~OPTION_TLS;
1871
1872 if (  checks & OPTION_IGNQ
1873    && pcre2_match(regex_IGNOREQUOTA,
1874                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1875   checks &= ~OPTION_IGNQ;
1876
1877 if (  checks & OPTION_CHUNKING
1878    && pcre2_match(regex_CHUNKING,
1879                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1880   checks &= ~OPTION_CHUNKING;
1881
1882 #ifndef DISABLE_PRDR
1883 if (  checks & OPTION_PRDR
1884    && pcre2_match(regex_PRDR,
1885                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1886 #endif
1887   checks &= ~OPTION_PRDR;
1888
1889 #ifdef SUPPORT_I18N
1890 if (  checks & OPTION_UTF8
1891    && pcre2_match(regex_UTF8,
1892                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1893 #endif
1894   checks &= ~OPTION_UTF8;
1895
1896 if (  checks & OPTION_DSN
1897    && pcre2_match(regex_DSN,
1898                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1899   checks &= ~OPTION_DSN;
1900
1901 if (  checks & OPTION_PIPE
1902    && pcre2_match(regex_PIPELINING,
1903                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1904   checks &= ~OPTION_PIPE;
1905
1906 if (  checks & OPTION_SIZE
1907    && pcre2_match(regex_SIZE,
1908                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1909   checks &= ~OPTION_SIZE;
1910
1911 #ifndef DISABLE_PIPE_CONNECT
1912 if (  checks & OPTION_EARLY_PIPE
1913    && pcre2_match(regex_EARLY_PIPE,
1914                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1915 #endif
1916   checks &= ~OPTION_EARLY_PIPE;
1917
1918 /* pcre2_match_data_free(md);   gen ctx needs no free */
1919 /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
1920 return checks;
1921 }
1922
1923
1924
1925 /* Callback for emitting a BDAT data chunk header.
1926
1927 If given a nonzero size, first flush any buffered SMTP commands
1928 then emit the command.
1929
1930 Reap previous SMTP command responses if requested, and always reap
1931 the response from a previous BDAT command.
1932
1933 Args:
1934  tctx           transport context
1935  chunk_size     value for SMTP BDAT command
1936  flags
1937    tc_chunk_last        add LAST option to SMTP BDAT command
1938    tc_reap_prev         reap response to previous SMTP commands
1939
1940 Returns:
1941   OK or ERROR
1942   DEFER                 TLS error on first read (EHLO-resp); errno set
1943 */
1944
1945 static int
1946 smtp_chunk_cmd_callback(transport_ctx * tctx, unsigned chunk_size,
1947   unsigned flags)
1948 {
1949 smtp_transport_options_block * ob = SOB tctx->tblock->options_block;
1950 smtp_context * sx = tctx->smtp_context;
1951 int cmd_count = 0;
1952 int prev_cmd_count;
1953
1954 /* Write SMTP chunk header command.  If not reaping responses, note that
1955 there may be more writes (like, the chunk data) done soon. */
1956
1957 if (chunk_size > 0)
1958   {
1959 #ifndef DISABLE_PIPE_CONNECT
1960   BOOL new_conn = !!(sx->outblock.conn_args);
1961 #endif
1962   if((cmd_count = smtp_write_command(sx,
1963               flags & tc_reap_prev ? SCMD_FLUSH : SCMD_MORE,
1964               "BDAT %u%s\r\n", chunk_size, flags & tc_chunk_last ? " LAST" : "")
1965      ) < 0) return ERROR;
1966   if (flags & tc_chunk_last)
1967     data_command = string_copy(big_buffer);  /* Save for later error message */
1968 #ifndef DISABLE_PIPE_CONNECT
1969   /* That command write could have been the one that made the connection.
1970   Copy the fd from the client conn ctx (smtp transport specific) to the
1971   generic transport ctx. */
1972
1973   if (new_conn)
1974     tctx->u.fd = sx->outblock.cctx->sock;
1975 #endif
1976   }
1977
1978 prev_cmd_count = cmd_count += sx->cmd_count;
1979
1980 /* Reap responses for any previous, but not one we just emitted */
1981
1982 if (chunk_size > 0)
1983   prev_cmd_count--;
1984 if (sx->pending_BDAT)
1985   prev_cmd_count--;
1986
1987 if (flags & tc_reap_prev  &&  prev_cmd_count > 0)
1988   {
1989   DEBUG(D_transport) debug_printf("look for %d responses"
1990     " for previous pipelined cmds\n", prev_cmd_count);
1991
1992   switch(sync_responses(sx, prev_cmd_count, 0))
1993     {
1994     case 1:                             /* 2xx (only) => OK */
1995     case 3: sx->good_RCPT = TRUE;       /* 2xx & 5xx => OK & progress made */
1996     case 2: sx->completed_addr = TRUE;  /* 5xx (only) => progress made */
1997     case 0: break;                      /* No 2xx or 5xx, but no probs */
1998
1999     case -5: errno = ERRNO_TLSFAILURE;
2000              return DEFER;
2001 #ifndef DISABLE_PIPE_CONNECT
2002     case -4:                            /* non-2xx for pipelined banner or EHLO */
2003 #endif
2004     case -1:                            /* Timeout on RCPT */
2005     default: return ERROR;              /* I/O error, or any MAIL/DATA error */
2006     }
2007   cmd_count = 1;
2008   if (!sx->pending_BDAT)
2009     pipelining_active = FALSE;
2010   }
2011
2012 /* Reap response for an outstanding BDAT */
2013
2014 if (sx->pending_BDAT)
2015   {
2016   DEBUG(D_transport) debug_printf("look for one response for BDAT\n");
2017
2018   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
2019        ob->command_timeout))
2020     {
2021     if (errno == 0 && sx->buffer[0] == '4')
2022       {
2023       errno = ERRNO_DATA4XX;    /*XXX does this actually get used? */
2024       sx->addrlist->more_errno |=
2025         ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
2026       }
2027     return ERROR;
2028     }
2029   cmd_count--;
2030   sx->pending_BDAT = FALSE;
2031   pipelining_active = FALSE;
2032   }
2033 else if (chunk_size > 0)
2034   sx->pending_BDAT = TRUE;
2035
2036
2037 sx->cmd_count = cmd_count;
2038 return OK;
2039 }
2040
2041
2042
2043 #ifdef SUPPORT_DANE
2044 static int
2045 check_force_dane_conn(smtp_context * sx, smtp_transport_options_block * ob)
2046 {
2047 int rc;
2048 if(  sx->dane_required
2049   || verify_check_given_host(CUSS &ob->hosts_try_dane, sx->conn_args.host) == OK
2050   )
2051   switch (rc = tlsa_lookup(sx->conn_args.host, &sx->conn_args.tlsa_dnsa, sx->dane_required))
2052     {
2053     case OK:            sx->conn_args.dane = TRUE;
2054                         ob->tls_tempfail_tryclear = FALSE;      /* force TLS */
2055                         ob->tls_sni = sx->conn_args.host->name; /* force SNI */
2056                         break;
2057     case FAIL_FORCED:   break;
2058     default:            set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2059                             string_sprintf("DANE error: tlsa lookup %s",
2060                               rc_to_string(rc)),
2061                             rc, FALSE, &sx->delivery_start);
2062 # ifndef DISABLE_EVENT
2063                         (void) event_raise(sx->conn_args.tblock->event_action,
2064                           US"dane:fail", sx->dane_required
2065                             ?  US"dane-required" : US"dnssec-invalid",
2066                           NULL);
2067 # endif
2068                         return rc;
2069     }
2070 return OK;
2071 }
2072 #endif
2073
2074
2075 /*************************************************
2076 *       Make connection for given message        *
2077 *************************************************/
2078
2079 /*
2080 Arguments:
2081   sx              connection context
2082   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
2083                     a second attempt after TLS initialization fails
2084
2085 Returns:          OK    - the connection was made and the delivery attempted;
2086                           fd is set in the conn context, tls_out set up.
2087                   DEFER - the connection could not be made, or something failed
2088                           while setting up the SMTP session, or there was a
2089                           non-message-specific error, such as a timeout.
2090                   ERROR - helo_data or add_headers or authenticated_sender is
2091                           specified for this transport, and the string failed
2092                           to expand
2093 */
2094 int
2095 smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
2096 {
2097 smtp_transport_options_block * ob = sx->conn_args.tblock->options_block;
2098 BOOL pass_message = FALSE;
2099 uschar * message = NULL;
2100 int yield = OK;
2101 #ifndef DISABLE_TLS
2102 uschar * tls_errstr;
2103 #endif
2104
2105 /* Many lines of clearing individual elements of *sx that used to
2106 be here have been replaced by a full memset to zero (de41aff051).
2107 There are two callers, this file and verify.c .  Now we only set
2108 up nonzero elements. */
2109
2110 sx->conn_args.ob = ob;
2111
2112 sx->lmtp = strcmpic(ob->protocol, US"lmtp") == 0;
2113 sx->smtps = strcmpic(ob->protocol, US"smtps") == 0;
2114 sx->send_rset = TRUE;
2115 sx->send_quit = TRUE;
2116 sx->setting_up = TRUE;
2117 sx->esmtp = TRUE;
2118 sx->dsn_all_lasthop = TRUE;
2119 #ifdef SUPPORT_DANE
2120 sx->dane_required =
2121   verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
2122 #endif
2123
2124 if ((sx->max_mail = sx->conn_args.tblock->connection_max_messages) == 0) sx->max_mail = 999999;
2125 if ((sx->max_rcpt = sx->conn_args.tblock->max_addresses) == 0)           sx->max_rcpt = 999999;
2126 sx->igquotstr = US"";
2127 if (!sx->helo_data) sx->helo_data = ob->helo_data;
2128
2129 smtp_command = US"initial connection";
2130
2131 /* Set up the buffer for reading SMTP response packets. */
2132
2133 sx->inblock.buffer = sx->inbuffer;
2134 sx->inblock.buffersize = sizeof(sx->inbuffer);
2135 sx->inblock.ptr = sx->inbuffer;
2136 sx->inblock.ptrend = sx->inbuffer;
2137
2138 /* Set up the buffer for holding SMTP commands while pipelining */
2139
2140 sx->outblock.buffer = sx->outbuffer;
2141 sx->outblock.buffersize = sizeof(sx->outbuffer);
2142 sx->outblock.ptr = sx->outbuffer;
2143
2144 /* Reset the parameters of a TLS session. */
2145
2146 tls_out.bits = 0;
2147 tls_out.cipher = NULL;  /* the one we may use for this transport */
2148 tls_out.ourcert = NULL;
2149 tls_out.peercert = NULL;
2150 tls_out.peerdn = NULL;
2151 #ifdef USE_OPENSSL
2152 tls_out.sni = NULL;
2153 #endif
2154 tls_out.ocsp = OCSP_NOT_REQ;
2155 #ifndef DISABLE_TLS_RESUME
2156 tls_out.resumption = 0;
2157 #endif
2158 tls_out.ver = NULL;
2159
2160 /* Flip the legacy TLS-related variables over to the outbound set in case
2161 they're used in the context of the transport.  Don't bother resetting
2162 afterward (when being used by a transport) as we're in a subprocess.
2163 For verify, unflipped once the callout is dealt with */
2164
2165 tls_modify_variables(&tls_out);
2166
2167 #ifdef DISABLE_TLS
2168 if (sx->smtps)
2169   {
2170   set_errno_nohost(sx->addrlist, ERRNO_TLSFAILURE, US"TLS support not available",
2171             DEFER, FALSE, &sx->delivery_start);
2172   return ERROR;
2173   }
2174 #else
2175
2176 /* If we have a proxied TLS connection, check usability for this message */
2177
2178 if (continue_hostname && continue_proxy_cipher)
2179   {
2180   int rc;
2181   const uschar * sni = US"";
2182
2183 # ifdef SUPPORT_DANE
2184   /* Check if the message will be DANE-verified; if so force TLS and its SNI */
2185
2186   tls_out.dane_verified = FALSE;
2187   smtp_port_for_connect(sx->conn_args.host, sx->port);
2188   if (  sx->conn_args.host->dnssec == DS_YES
2189      && (rc = check_force_dane_conn(sx, ob)) != OK
2190      )
2191     return rc;
2192 # endif
2193
2194   /* If the SNI or the DANE status required for the new message differs from the
2195   existing conn drop the connection to force a new one. */
2196
2197   if (ob->tls_sni && !(sni = expand_cstring(ob->tls_sni)))
2198     log_write(0, LOG_MAIN|LOG_PANIC,
2199       "<%s>: failed to expand transport's tls_sni value: %s",
2200       sx->addrlist->address, expand_string_message);
2201
2202 # ifdef SUPPORT_DANE
2203   if (  (continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni)
2204      && continue_proxy_dane == sx->conn_args.dane)
2205     {
2206     tls_out.sni = US sni;
2207     if ((tls_out.dane_verified = continue_proxy_dane))
2208       sx->conn_args.host->dnssec = DS_YES;
2209     }
2210 # else
2211   if ((continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni))
2212     tls_out.sni = US sni;
2213 # endif
2214   else
2215     {
2216     DEBUG(D_transport)
2217       debug_printf("Closing proxied-TLS connection due to SNI mismatch\n");
2218
2219     smtp_debug_cmd(US"QUIT", 0);
2220     write(0, "QUIT\r\n", 6);
2221     close(0);
2222     continue_hostname = continue_proxy_cipher = NULL;
2223     f.continue_more = FALSE;
2224     continue_sequence = 1;      /* Unfortunately, this process cannot affect success log
2225                                 which is done by delivery proc.  Would have to pass this
2226                                 back through reporting pipe. */
2227     }
2228   }
2229 #endif  /*!DISABLE_TLS*/
2230
2231 /* Make a connection to the host if this isn't a continued delivery, and handle
2232 the initial interaction and HELO/EHLO/LHLO. Connect timeout errors are handled
2233 specially so they can be identified for retries. */
2234
2235 if (!continue_hostname)
2236   {
2237   if (sx->verify)
2238     HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", sx->conn_args.interface, sx->port);
2239
2240   /* Arrange to report to calling process this is a new connection */
2241
2242   clearflag(sx->first_addr, af_cont_conn);
2243   setflag(sx->first_addr, af_new_conn);
2244
2245   /* Get the actual port the connection will use, into sx->conn_args.host */
2246
2247   smtp_port_for_connect(sx->conn_args.host, sx->port);
2248
2249 #ifdef SUPPORT_DANE
2250     /* Do TLSA lookup for DANE */
2251     {
2252     tls_out.dane_verified = FALSE;
2253     tls_out.tlsa_usage = 0;
2254
2255     if (sx->conn_args.host->dnssec == DS_YES)
2256       {
2257       int rc;
2258       if ((rc = check_force_dane_conn(sx, ob)) != OK)
2259         return rc;
2260       }
2261     else if (sx->dane_required)
2262       {
2263       set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2264         string_sprintf("DANE error: %s lookup not DNSSEC", sx->conn_args.host->name),
2265         FAIL, FALSE, &sx->delivery_start);
2266 # ifndef DISABLE_EVENT
2267       (void) event_raise(sx->conn_args.tblock->event_action,
2268         US"dane:fail", US"dane-required", NULL);
2269 # endif
2270       return FAIL;
2271       }
2272     }
2273 #endif  /*DANE*/
2274
2275   /* Make the TCP connection */
2276
2277   sx->cctx.tls_ctx = NULL;
2278   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2279 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2280   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom =
2281 #endif
2282   sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
2283 #ifndef DISABLE_CLIENT_CMD_LOG
2284   client_cmd_log = NULL;
2285 #endif
2286
2287 #ifndef DISABLE_PIPE_CONNECT
2288   if (  verify_check_given_host(CUSS &ob->hosts_pipe_connect,
2289                                             sx->conn_args.host) == OK)
2290
2291     /* We don't find out the local ip address until the connect, so if
2292     the helo string might use it avoid doing early-pipelining. */
2293
2294     if (  !sx->helo_data
2295        || sx->conn_args.interface
2296        || !Ustrstr(sx->helo_data, "$sending_ip_address")
2297        || Ustrstr(sx->helo_data, "def:sending_ip_address")
2298        )
2299       {
2300       sx->early_pipe_ok = TRUE;
2301       if (  read_ehlo_cache_entry(sx)
2302          && sx->ehlo_resp.cleartext_features & OPTION_EARLY_PIPE)
2303         {
2304         DEBUG(D_transport)
2305           debug_printf("Using cached cleartext PIPECONNECT\n");
2306         sx->early_pipe_active = TRUE;
2307         sx->peer_offered = sx->ehlo_resp.cleartext_features;
2308         }
2309       }
2310     else DEBUG(D_transport)
2311       debug_printf("helo needs $sending_ip_address; avoid early-pipelining\n");
2312
2313 PIPE_CONNECT_RETRY:
2314   if (sx->early_pipe_active)
2315     {
2316     sx->outblock.conn_args = &sx->conn_args;
2317     (void) smtp_boundsock(&sx->conn_args);
2318     }
2319   else
2320 #endif
2321     {
2322     blob lazy_conn = {.data = NULL};
2323     /* For TLS-connect, a TFO lazy-connect is useful since the Client Hello
2324     can go on the TCP SYN. */
2325
2326     if ((sx->cctx.sock = smtp_connect(&sx->conn_args,
2327                             sx->smtps ? &lazy_conn : NULL)) < 0)
2328       {
2329       set_errno_nohost(sx->addrlist,
2330         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
2331         sx->verify ? US strerror(errno) : NULL,
2332         DEFER, FALSE, &sx->delivery_start);
2333       sx->send_quit = FALSE;
2334       return DEFER;
2335       }
2336 #ifdef TCP_QUICKACK
2337     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, TCP_QUICKACK, US &off,
2338                         sizeof(off));
2339 #endif
2340     }
2341   /* Expand the greeting message while waiting for the initial response. (Makes
2342   sense if helo_data contains ${lookup dnsdb ...} stuff). The expansion is
2343   delayed till here so that $sending_ip_address and $sending_port are set.
2344   Those will be known even for a TFO lazy-connect, having been set by the bind().
2345   For early-pipe, we are ok if binding to a local interface; otherwise (if
2346   $sending_ip_address is seen in helo_data) we disabled early-pipe above. */
2347
2348   if (sx->helo_data)
2349     if (!(sx->helo_data = expand_string(sx->helo_data)))
2350       if (sx->verify)
2351         log_write(0, LOG_MAIN|LOG_PANIC,
2352           "<%s>: failed to expand transport's helo_data value for callout: %s",
2353           sx->addrlist->address, expand_string_message);
2354
2355 #ifdef SUPPORT_I18N
2356   if (sx->helo_data)
2357     {
2358     expand_string_message = NULL;
2359     if ((sx->helo_data = string_domain_utf8_to_alabel(sx->helo_data,
2360                                               &expand_string_message)),
2361         expand_string_message)
2362       if (sx->verify)
2363         log_write(0, LOG_MAIN|LOG_PANIC,
2364           "<%s>: failed to expand transport's helo_data value for callout: %s",
2365           sx->addrlist->address, expand_string_message);
2366       else
2367         sx->helo_data = NULL;
2368     }
2369 #endif
2370
2371   /* The first thing is to wait for an initial OK response. The dreaded "goto"
2372   is nevertheless a reasonably clean way of programming this kind of logic,
2373   where you want to escape on any error. */
2374
2375   if (!sx->smtps)
2376     {
2377 #ifndef DISABLE_PIPE_CONNECT
2378     if (sx->early_pipe_active)
2379       {
2380       sx->pending_BANNER = TRUE;        /* sync_responses() must eventually handle */
2381       sx->outblock.cmd_count = 1;
2382       }
2383     else
2384 #endif
2385       {
2386       if (!smtp_reap_banner(sx))
2387         goto RESPONSE_FAILED;
2388       }
2389
2390 #ifndef DISABLE_EVENT
2391       {
2392       uschar * s;
2393       lookup_dnssec_authenticated = sx->conn_args.host->dnssec==DS_YES ? US"yes"
2394         : sx->conn_args.host->dnssec==DS_NO ? US"no" : NULL;
2395       s = event_raise(sx->conn_args.tblock->event_action, US"smtp:connect", sx->buffer, NULL);
2396       if (s)
2397         {
2398         set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL,
2399           string_sprintf("deferred by smtp:connect event expansion: %s", s),
2400           DEFER, FALSE, &sx->delivery_start);
2401         yield = DEFER;
2402         goto SEND_QUIT;
2403         }
2404       }
2405 #endif
2406
2407     /* Now check if the helo_data expansion went well, and sign off cleanly if
2408     it didn't. */
2409
2410     if (!sx->helo_data)
2411       {
2412       message = string_sprintf("failed to expand helo_data: %s",
2413         expand_string_message);
2414       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2415       yield = DEFER;
2416       goto SEND_QUIT;
2417       }
2418     }
2419
2420 /** Debugging without sending a message
2421 sx->addrlist->transport_return = DEFER;
2422 goto SEND_QUIT;
2423 **/
2424
2425   /* Errors that occur after this point follow an SMTP command, which is
2426   left in big_buffer by smtp_write_command() for use in error messages. */
2427
2428   smtp_command = big_buffer;
2429
2430   /* Tell the remote who we are...
2431
2432   February 1998: A convention has evolved that ESMTP-speaking MTAs include the
2433   string "ESMTP" in their greeting lines, so make Exim send EHLO if the
2434   greeting is of this form. The assumption was that the far end supports it
2435   properly... but experience shows that there are some that give 5xx responses,
2436   even though the banner includes "ESMTP" (there's a bloody-minded one that
2437   says "ESMTP not spoken here"). Cope with that case.
2438
2439   September 2000: Time has passed, and it seems reasonable now to always send
2440   EHLO at the start. It is also convenient to make the change while installing
2441   the TLS stuff.
2442
2443   July 2003: Joachim Wieland met a broken server that advertises "PIPELINING"
2444   but times out after sending MAIL FROM, RCPT TO and DATA all together. There
2445   would be no way to send out the mails, so there is now a host list
2446   "hosts_avoid_esmtp" that disables ESMTP for special hosts and solves the
2447   PIPELINING problem as well. Maybe it can also be useful to cure other
2448   problems with broken servers.
2449
2450   Exim originally sent "Helo" at this point and ran for nearly a year that way.
2451   Then somebody tried it with a Microsoft mailer... It seems that all other
2452   mailers use upper case for some reason (the RFC is quite clear about case
2453   independence) so, for peace of mind, I gave in. */
2454
2455   sx->esmtp = verify_check_given_host(CUSS &ob->hosts_avoid_esmtp, sx->conn_args.host) != OK;
2456
2457   /* Alas; be careful, since this goto is not an error-out, so conceivably
2458   we might set data between here and the target which we assume to exist
2459   and be usable.  I can see this coming back to bite us. */
2460 #ifndef DISABLE_TLS
2461   if (sx->smtps)
2462     {
2463     smtp_peer_options |= OPTION_TLS;
2464     suppress_tls = FALSE;
2465     ob->tls_tempfail_tryclear = FALSE;
2466     smtp_command = US"SSL-on-connect";
2467     goto TLS_NEGOTIATE;
2468     }
2469 #endif
2470
2471   if (sx->esmtp)
2472     {
2473     if (smtp_write_command(sx,
2474 #ifndef DISABLE_PIPE_CONNECT
2475           sx->early_pipe_active ? SCMD_BUFFER :
2476 #endif
2477             SCMD_FLUSH,
2478           "%s %s\r\n", sx->lmtp ? "LHLO" : "EHLO", sx->helo_data) < 0)
2479       goto SEND_FAILED;
2480     sx->esmtp_sent = TRUE;
2481
2482 #ifndef DISABLE_PIPE_CONNECT
2483     if (sx->early_pipe_active)
2484       {
2485       sx->pending_EHLO = TRUE;
2486
2487       /* If we have too many authenticators to handle and might need to AUTH
2488       for this transport, pipeline no further as we will need the
2489       list of auth methods offered.  Reap the banner and EHLO. */
2490
2491       if (  (ob->hosts_require_auth || ob->hosts_try_auth)
2492          && f.smtp_in_early_pipe_no_auth)
2493         {
2494         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
2495         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
2496           goto SEND_FAILED;
2497         if (sync_responses(sx, 2, 0) != 0)
2498           {
2499           HDEBUG(D_transport)
2500             debug_printf("failed reaping pipelined cmd responses\n");
2501           goto RESPONSE_FAILED;
2502           }
2503         sx->early_pipe_active = FALSE;
2504         }
2505       }
2506     else
2507 #endif
2508       if (!smtp_reap_ehlo(sx))
2509         goto RESPONSE_FAILED;
2510     }
2511   else
2512     DEBUG(D_transport)
2513       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2514
2515 #ifndef DISABLE_PIPE_CONNECT
2516   if (!sx->early_pipe_active)
2517 #endif
2518     if (!sx->esmtp)
2519       {
2520       BOOL good_response;
2521       int n = sizeof(sx->buffer);
2522       uschar * rsp = sx->buffer;
2523
2524       if (sx->esmtp_sent && (n = Ustrlen(sx->buffer) + 1) < sizeof(sx->buffer)/2)
2525         { rsp = sx->buffer + n; n = sizeof(sx->buffer) - n; }
2526
2527       if (smtp_write_command(sx, SCMD_FLUSH, "HELO %s\r\n", sx->helo_data) < 0)
2528         goto SEND_FAILED;
2529       good_response = smtp_read_response(sx, rsp, n, '2', ob->command_timeout);
2530 #ifdef EXPERIMENTAL_DSN_INFO
2531       sx->helo_response = string_copy(rsp);
2532 #endif
2533       if (!good_response)
2534         {
2535         /* Handle special logging for a closed connection after HELO
2536         when had previously sent EHLO */
2537
2538         if (rsp != sx->buffer && rsp[0] == 0 && (errno == 0 || errno == ECONNRESET))
2539           {
2540           errno = ERRNO_SMTPCLOSED;
2541           goto EHLOHELO_FAILED;
2542           }
2543         memmove(sx->buffer, rsp, Ustrlen(rsp));
2544         goto RESPONSE_FAILED;
2545         }
2546       }
2547
2548   if (sx->esmtp || sx->lmtp)
2549     {
2550 #ifndef DISABLE_PIPE_CONNECT
2551     if (!sx->early_pipe_active)
2552 #endif
2553       {
2554       sx->peer_offered = ehlo_response(sx->buffer,
2555         OPTION_TLS      /* others checked later */
2556 #ifndef DISABLE_PIPE_CONNECT
2557         | (sx->early_pipe_ok
2558           ?   OPTION_IGNQ
2559             | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2560 #ifdef SUPPORT_I18N
2561             | OPTION_UTF8
2562 #endif
2563             | OPTION_EARLY_PIPE
2564           : 0
2565           )
2566 #endif
2567         );
2568 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2569       if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2570         {
2571         ehlo_response_limits_read(sx);
2572         ehlo_response_limits_apply(sx);
2573         }
2574 #endif
2575 #ifndef DISABLE_PIPE_CONNECT
2576       if (sx->early_pipe_ok)
2577         {
2578         sx->ehlo_resp.cleartext_features = sx->peer_offered;
2579
2580         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
2581            == (OPTION_PIPE | OPTION_EARLY_PIPE))
2582           {
2583           DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
2584           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
2585           write_ehlo_cache_entry(sx);
2586           }
2587         }
2588 #endif
2589       ehlo_response_lbserver(sx, ob);
2590       }
2591
2592   /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
2593
2594 #ifndef DISABLE_TLS
2595     smtp_peer_options |= sx->peer_offered & OPTION_TLS;
2596 #endif
2597     }
2598   }
2599
2600 /* For continuing deliveries down the same channel, having re-exec'd  the socket
2601 is the standard input; for a socket held open from verify it is recorded
2602 in the cutthrough context block.  Either way we don't need to redo EHLO here
2603 (but may need to do so for TLS - see below).
2604 Set up the pointer to where subsequent commands will be left, for
2605 error messages. Note that smtp_peer_options will have been
2606 set from the command line if they were set in the process that passed the
2607 connection on. */
2608
2609 /*XXX continue case needs to propagate DSN_INFO, prob. in deliver.c
2610 as the continue goes via transport_pass_socket() and doublefork and exec.
2611 It does not wait.  Unclear how we keep separate host's responses
2612 separate - we could match up by host ip+port as a bodge. */
2613
2614 else
2615   {
2616   if (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only)
2617     {
2618     sx->cctx = cutthrough.cctx;
2619     sx->conn_args.host->port = sx->port = cutthrough.host.port;
2620     }
2621   else
2622     {
2623     sx->cctx.sock = 0;                          /* stdin */
2624     sx->cctx.tls_ctx = NULL;
2625     smtp_port_for_connect(sx->conn_args.host, sx->port);        /* Record the port that was used */
2626     }
2627   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2628   smtp_command = big_buffer;
2629   sx->peer_offered = smtp_peer_options;
2630 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2631   /* Limits passed by cmdline over exec. */
2632   ehlo_limits_apply(sx,
2633                     sx->peer_limit_mail = continue_limit_mail,
2634                     sx->peer_limit_rcpt = continue_limit_rcpt,
2635                     sx->peer_limit_rcptdom = continue_limit_rcptdom);
2636 #endif
2637   sx->helo_data = NULL;         /* ensure we re-expand ob->helo_data */
2638
2639   /* For a continued connection with TLS being proxied for us, or a
2640   held-open verify connection with TLS, nothing more to do. */
2641
2642   if (  continue_proxy_cipher
2643      || (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only
2644          && cutthrough.is_tls)
2645      )
2646     {
2647     sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2648     HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
2649       continue_proxy_cipher ? "proxied" : "verify conn with");
2650     return OK;
2651     }
2652   HDEBUG(D_transport) debug_printf("continued connection, no TLS\n");
2653   }
2654
2655 /* If TLS is available on this connection, whether continued or not, attempt to
2656 start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
2657 send another EHLO - the server may give a different answer in secure mode. We
2658 use a separate buffer for reading the response to STARTTLS so that if it is
2659 negative, the original EHLO data is available for subsequent analysis, should
2660 the client not be required to use TLS. If the response is bad, copy the buffer
2661 for error analysis. */
2662
2663 #ifndef DISABLE_TLS
2664 if (  smtp_peer_options & OPTION_TLS
2665    && !suppress_tls
2666    && verify_check_given_host(CUSS &ob->hosts_avoid_tls, sx->conn_args.host) != OK
2667    && (  !sx->verify
2668       || verify_check_given_host(CUSS &ob->hosts_verify_avoid_tls, sx->conn_args.host) != OK
2669    )  )
2670   {
2671   uschar buffer2[4096];
2672
2673   if (smtp_write_command(sx, SCMD_FLUSH, "STARTTLS\r\n") < 0)
2674     goto SEND_FAILED;
2675
2676 #ifndef DISABLE_PIPE_CONNECT
2677   /* If doing early-pipelining reap the banner and EHLO-response but leave
2678   the response for the STARTTLS we just sent alone.  On fail, assume wrong
2679   cached capability and retry with the pipelining disabled. */
2680
2681   if (sx->early_pipe_active)
2682     {
2683     if (sync_responses(sx, 2, 0) != 0)
2684       {
2685       HDEBUG(D_transport)
2686         debug_printf("failed reaping pipelined cmd responses\n");
2687       close(sx->cctx.sock);
2688       sx->cctx.sock = -1;
2689       sx->early_pipe_active = FALSE;
2690       goto PIPE_CONNECT_RETRY;
2691       }
2692     }
2693 #endif
2694
2695   /* If there is an I/O error, transmission of this message is deferred. If
2696   there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
2697   false, we also defer. However, if there is a temporary rejection of STARTTLS
2698   and tls_tempfail_tryclear is true, or if there is an outright rejection of
2699   STARTTLS, we carry on. This means we will try to send the message in clear,
2700   unless the host is in hosts_require_tls (tested below). */
2701
2702   if (!smtp_read_response(sx, buffer2, sizeof(buffer2), '2', ob->command_timeout))
2703     {
2704     if (  errno != 0
2705        || buffer2[0] == 0
2706        || (buffer2[0] == '4' && !ob->tls_tempfail_tryclear)
2707        )
2708       {
2709       Ustrncpy(sx->buffer, buffer2, sizeof(sx->buffer));
2710       sx->buffer[sizeof(sx->buffer)-1] = '\0';
2711       goto RESPONSE_FAILED;
2712       }
2713     }
2714
2715   /* STARTTLS accepted: try to negotiate a TLS session. */
2716
2717   else
2718   TLS_NEGOTIATE:
2719     {
2720     sx->conn_args.sending_ip_address = sending_ip_address;
2721     if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
2722       {
2723       /* TLS negotiation failed; give an error. From outside, this function may
2724       be called again to try in clear on a new connection, if the options permit
2725       it for this host. */
2726   TLS_CONN_FAILED:
2727       DEBUG(D_tls) debug_printf("TLS session fail: %s\n", tls_errstr);
2728
2729 # ifdef SUPPORT_DANE
2730       if (sx->conn_args.dane)
2731         {
2732         log_write(0, LOG_MAIN,
2733           "DANE attempt failed; TLS connection to %s [%s]: %s",
2734           sx->conn_args.host->name, sx->conn_args.host->address, tls_errstr);
2735 #  ifndef DISABLE_EVENT
2736         (void) event_raise(sx->conn_args.tblock->event_action,
2737           US"dane:fail", US"validation-failure", NULL); /* could do with better detail */
2738 #  endif
2739         }
2740 # endif
2741
2742       errno = ERRNO_TLSFAILURE;
2743       message = string_sprintf("TLS session: %s", tls_errstr);
2744       sx->send_quit = FALSE;
2745       goto TLS_FAILED;
2746       }
2747     sx->send_tlsclose = TRUE;
2748
2749     /* TLS session is set up.  Check the inblock fill level.  If there is
2750     content then as we have not yet done a tls read it must have arrived before
2751     the TLS handshake, in-clear.  That violates the sync requirement of the
2752     STARTTLS RFC, so fail. */
2753
2754     if (sx->inblock.ptr != sx->inblock.ptrend)
2755       {
2756       DEBUG(D_tls)
2757         {
2758         int i = sx->inblock.ptrend - sx->inblock.ptr;
2759         debug_printf("unused data in input buffer after ack for STARTTLS:\n"
2760           "'%.*s'%s\n",
2761           i > 100 ? 100 : i, sx->inblock.ptr, i > 100 ? "..." : "");
2762         }
2763       tls_errstr = US"synch error before connect";
2764       goto TLS_CONN_FAILED;
2765       }
2766
2767     smtp_peer_options_wrap = smtp_peer_options;
2768     for (address_item * addr = sx->addrlist; addr; addr = addr->next)
2769       if (addr->transport_return == PENDING_DEFER)
2770         {
2771         addr->cipher = tls_out.cipher;
2772         addr->ourcert = tls_out.ourcert;
2773         addr->peercert = tls_out.peercert;
2774         addr->peerdn = tls_out.peerdn;
2775         addr->ocsp = tls_out.ocsp;
2776         addr->tlsver = tls_out.ver;
2777         }
2778     }
2779   }
2780
2781 /* if smtps, we'll have smtp_command set to something else; always safe to
2782 reset it here. */
2783 smtp_command = big_buffer;
2784
2785 /* If we started TLS, redo the EHLO/LHLO exchange over the secure channel. If
2786 helo_data is null, we are dealing with a connection that was passed from
2787 another process, and so we won't have expanded helo_data above. We have to
2788 expand it here. $sending_ip_address and $sending_port are set up right at the
2789 start of the Exim process (in exim.c). */
2790
2791 if (tls_out.active.sock >= 0)
2792   {
2793   uschar * greeting_cmd;
2794
2795   if (!sx->helo_data && !(sx->helo_data = expand_string(ob->helo_data)))
2796     {
2797     uschar *message = string_sprintf("failed to expand helo_data: %s",
2798       expand_string_message);
2799     set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2800     yield = DEFER;
2801     goto SEND_QUIT;
2802     }
2803
2804 #ifndef DISABLE_PIPE_CONNECT
2805   /* For SMTPS there is no cleartext early-pipe; use the crypted permission bit.
2806   We're unlikely to get the group sent and delivered before the server sends its
2807   banner, but it's still worth sending as a group.
2808   For STARTTLS allow for cleartext early-pipe but no crypted early-pipe, but not
2809   the reverse.  */
2810
2811   if (sx->smtps ? sx->early_pipe_ok : sx->early_pipe_active)
2812     {
2813     sx->peer_offered = sx->ehlo_resp.crypted_features;
2814     if ((sx->early_pipe_active =
2815          !!(sx->ehlo_resp.crypted_features & OPTION_EARLY_PIPE)))
2816       DEBUG(D_transport) debug_printf("Using cached crypted PIPECONNECT\n");
2817     }
2818 #endif
2819 #ifdef EXPERIMMENTAL_ESMTP_LIMITS
2820   /* As we are about to send another EHLO, forget any LIMITS received so far. */
2821   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom = 0;
2822   if ((sx->max_mail = sx->conn_args.tblock->connection_max_message) == 0) sx->max_mail = 999999;
2823   if ((sx->max_rcpt = sx->conn_args.tblock->max_addresses) == 0)          sx->max_rcpt = 999999;
2824   sx->single_rcpt_domain = FALSE;
2825 #endif
2826
2827   /* For SMTPS we need to wait for the initial OK response. */
2828   if (sx->smtps)
2829 #ifndef DISABLE_PIPE_CONNECT
2830     if (sx->early_pipe_active)
2831       {
2832       sx->pending_BANNER = TRUE;
2833       sx->outblock.cmd_count = 1;
2834       }
2835     else
2836 #endif
2837       if (!smtp_reap_banner(sx))
2838         goto RESPONSE_FAILED;
2839
2840   if (sx->lmtp)
2841     greeting_cmd = US"LHLO";
2842   else if (sx->esmtp)
2843     greeting_cmd = US"EHLO";
2844   else
2845     {
2846     greeting_cmd = US"HELO";
2847     DEBUG(D_transport)
2848       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2849     }
2850
2851   if (smtp_write_command(sx,
2852 #ifndef DISABLE_PIPE_CONNECT
2853         sx->early_pipe_active ? SCMD_BUFFER :
2854 #endif
2855           SCMD_FLUSH,
2856         "%s %s\r\n", greeting_cmd, sx->helo_data) < 0)
2857     goto SEND_FAILED;
2858
2859 #ifndef DISABLE_PIPE_CONNECT
2860   if (sx->early_pipe_active)
2861     sx->pending_EHLO = TRUE;
2862   else
2863 #endif
2864     {
2865     if (!smtp_reap_ehlo(sx))
2866 #ifdef USE_GNUTLS
2867       {
2868       /* The GnuTLS layer in Exim only spots a server-rejection of a client
2869       cert late, under TLS1.3 - which means here; the first time we try to
2870       receive crypted data.  Treat it as if it was a connect-time failure.
2871       See also the early-pipe equivalent... which will be hard; every call
2872       to sync_responses will need to check the result.
2873       It would be nicer to have GnuTLS check the cert during the handshake.
2874       Can it do that, with all the flexibility we need? */
2875
2876       tls_errstr = US"error on first read";
2877       goto TLS_CONN_FAILED;
2878       }
2879 #else
2880       goto RESPONSE_FAILED;
2881 #endif
2882     smtp_peer_options = 0;
2883     }
2884   }
2885
2886 /* If the host is required to use a secure channel, ensure that we
2887 have one. */
2888
2889 else if (  sx->smtps
2890 # ifdef SUPPORT_DANE
2891         || sx->conn_args.dane
2892 # endif
2893         || verify_check_given_host(CUSS &ob->hosts_require_tls, sx->conn_args.host) == OK
2894         )
2895   {
2896   errno = ERRNO_TLSREQUIRED;
2897   message = string_sprintf("a TLS session is required, but %s",
2898     smtp_peer_options & OPTION_TLS
2899     ? "an attempt to start TLS failed" : "the server did not offer TLS support");
2900 # if defined(SUPPORT_DANE) && !defined(DISABLE_EVENT)
2901   if (sx->conn_args.dane)
2902     (void) event_raise(sx->conn_args.tblock->event_action, US"dane:fail",
2903       smtp_peer_options & OPTION_TLS
2904       ? US"validation-failure"          /* could do with better detail */
2905       : US"starttls-not-supported",
2906       NULL);
2907 # endif
2908   goto TLS_FAILED;
2909   }
2910 #endif  /*DISABLE_TLS*/
2911
2912 /* If TLS is active, we have just started it up and re-done the EHLO command,
2913 so its response needs to be analyzed. If TLS is not active and this is a
2914 continued session down a previously-used socket, we haven't just done EHLO, so
2915 we skip this. */
2916
2917 if (   !continue_hostname
2918 #ifndef DISABLE_TLS
2919     || tls_out.active.sock >= 0
2920 #endif
2921     )
2922   {
2923   if (sx->esmtp || sx->lmtp)
2924     {
2925 #ifndef DISABLE_PIPE_CONNECT
2926   if (!sx->early_pipe_active)
2927 #endif
2928     {
2929     sx->peer_offered = ehlo_response(sx->buffer,
2930         0 /* no TLS */
2931 #ifndef DISABLE_PIPE_CONNECT
2932         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2933         | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2934         | OPTION_CHUNKING | OPTION_PRDR | OPTION_UTF8
2935         | (tls_out.active.sock >= 0 ? OPTION_EARLY_PIPE : 0) /* not for lmtp */
2936
2937 #else
2938
2939         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2940         | OPTION_CHUNKING
2941         | OPTION_PRDR
2942 # ifdef SUPPORT_I18N
2943         | (sx->addrlist->prop.utf8_msg ? OPTION_UTF8 : 0)
2944           /*XXX if we hand peercaps on to continued-conn processes,
2945                 must not depend on this addr */
2946 # endif
2947         | OPTION_DSN
2948         | OPTION_PIPE
2949         | (ob->size_addition >= 0 ? OPTION_SIZE : 0)
2950 #endif
2951       );
2952 #ifndef DISABLE_PIPE_CONNECT
2953     if (tls_out.active.sock >= 0)
2954       sx->ehlo_resp.crypted_features = sx->peer_offered;
2955 #endif
2956
2957 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2958     if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2959       {
2960       ehlo_response_limits_read(sx);
2961       ehlo_response_limits_apply(sx);
2962       }
2963 #endif
2964     }
2965
2966     /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
2967     lmtp_ignore_quota option was set. */
2968
2969     sx->igquotstr = sx->peer_offered & OPTION_IGNQ ? US" IGNOREQUOTA" : US"";
2970
2971     /* If the response to EHLO specified support for the SIZE parameter, note
2972     this, provided size_addition is non-negative. */
2973
2974     smtp_peer_options |= sx->peer_offered & OPTION_SIZE;
2975
2976     /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
2977     the current host, esmtp will be false, so PIPELINING can never be used. If
2978     the current host matches hosts_avoid_pipelining, don't do it. */
2979
2980     if (  sx->peer_offered & OPTION_PIPE
2981        && verify_check_given_host(CUSS &ob->hosts_avoid_pipelining, sx->conn_args.host) != OK)
2982       smtp_peer_options |= OPTION_PIPE;
2983
2984     DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
2985       smtp_peer_options & OPTION_PIPE ? "" : "not ");
2986
2987     if (  sx->peer_offered & OPTION_CHUNKING
2988        && verify_check_given_host(CUSS &ob->hosts_try_chunking, sx->conn_args.host) == OK)
2989       smtp_peer_options |= OPTION_CHUNKING;
2990
2991     if (smtp_peer_options & OPTION_CHUNKING)
2992       DEBUG(D_transport) debug_printf("CHUNKING usable\n");
2993
2994 #ifndef DISABLE_PRDR
2995     if (  sx->peer_offered & OPTION_PRDR
2996        && verify_check_given_host(CUSS &ob->hosts_try_prdr, sx->conn_args.host) == OK)
2997       smtp_peer_options |= OPTION_PRDR;
2998
2999     if (smtp_peer_options & OPTION_PRDR)
3000       DEBUG(D_transport) debug_printf("PRDR usable\n");
3001 #endif
3002
3003     /* Note if the server supports DSN */
3004     smtp_peer_options |= sx->peer_offered & OPTION_DSN;
3005     DEBUG(D_transport) debug_printf("%susing DSN\n",
3006                         sx->peer_offered & OPTION_DSN ? "" : "not ");
3007
3008 #ifndef DISABLE_PIPE_CONNECT
3009     if (  sx->early_pipe_ok
3010        && !sx->early_pipe_active
3011        && tls_out.active.sock >= 0
3012        && smtp_peer_options & OPTION_PIPE
3013        && ( sx->ehlo_resp.cleartext_features | sx->ehlo_resp.crypted_features)
3014           & OPTION_EARLY_PIPE)
3015       {
3016       DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
3017       sx->ehlo_resp.crypted_auths = study_ehlo_auths(sx);
3018       write_ehlo_cache_entry(sx);
3019       }
3020 #endif
3021
3022     /* Note if the response to EHLO specifies support for the AUTH extension.
3023     If it has, check that this host is one we want to authenticate to, and do
3024     the business. The host name and address must be available when the
3025     authenticator's client driver is running. */
3026
3027     switch (yield = smtp_auth(sx))
3028       {
3029       default:          goto SEND_QUIT;
3030       case OK:          break;
3031       case FAIL_SEND:   goto SEND_FAILED;
3032       case FAIL:        goto RESPONSE_FAILED;
3033       }
3034     }
3035   }
3036 sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
3037
3038 /* The setting up of the SMTP call is now complete. Any subsequent errors are
3039 message-specific. */
3040
3041 sx->setting_up = FALSE;
3042
3043 #ifdef SUPPORT_I18N
3044 if (sx->addrlist->prop.utf8_msg)
3045   {
3046   uschar * s;
3047
3048   /* If the transport sets a downconversion mode it overrides any set by ACL
3049   for the message. */
3050
3051   if ((s = ob->utf8_downconvert))
3052     {
3053     if (!(s = expand_string(s)))
3054       {
3055       message = string_sprintf("failed to expand utf8_downconvert: %s",
3056         expand_string_message);
3057       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
3058       yield = DEFER;
3059       goto SEND_QUIT;
3060       }
3061     switch (*s)
3062       {
3063       case '1': sx->addrlist->prop.utf8_downcvt = TRUE;
3064                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3065                 break;
3066       case '0': sx->addrlist->prop.utf8_downcvt = FALSE;
3067                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3068                 break;
3069       case '-': if (s[1] == '1')
3070                   {
3071                   sx->addrlist->prop.utf8_downcvt = FALSE;
3072                   sx->addrlist->prop.utf8_downcvt_maybe = TRUE;
3073                   }
3074                 break;
3075       }
3076     }
3077
3078   sx->utf8_needed = !sx->addrlist->prop.utf8_downcvt
3079                     && !sx->addrlist->prop.utf8_downcvt_maybe;
3080   DEBUG(D_transport) if (!sx->utf8_needed)
3081     debug_printf("utf8: %s downconvert\n",
3082       sx->addrlist->prop.utf8_downcvt ? "mandatory" : "optional");
3083   }
3084
3085 /* If this is an international message we need the host to speak SMTPUTF8 */
3086 if (sx->utf8_needed && !(sx->peer_offered & OPTION_UTF8))
3087   {
3088   errno = ERRNO_UTF8_FWD;
3089   goto RESPONSE_FAILED;
3090   }
3091 #endif  /*SUPPORT_I18N*/
3092
3093 return OK;
3094
3095
3096   {
3097   int code;
3098
3099   RESPONSE_FAILED:
3100     if (errno == ECONNREFUSED)  /* first-read error on a TFO conn */
3101       {
3102       /* There is a testing facility for simulating a connection timeout, as I
3103       can't think of any other way of doing this. It converts a connection
3104       refused into a timeout if the timeout is set to 999999.  This is done for
3105       a 3whs connection in ip_connect(), but a TFO connection does not error
3106       there - instead it gets ECONNREFUSED on the first data read.  Tracking
3107       that a TFO really was done is too hard, or we would set a
3108       sx->pending_conn_done bit and test that in smtp_reap_banner() and
3109       smtp_reap_ehlo().  That would let us also add the conn-timeout to the
3110       cmd-timeout. */
3111
3112       if (f.running_in_test_harness && ob->connect_timeout == 999999)
3113         errno = ETIMEDOUT;
3114       set_errno_nohost(sx->addrlist,
3115         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
3116         sx->verify ? US strerror(errno) : NULL,
3117         DEFER, FALSE, &sx->delivery_start);
3118       sx->send_quit = FALSE;
3119       return DEFER;
3120       }
3121
3122     /* really an error on an SMTP read */
3123     message = NULL;
3124     sx->send_quit = check_response(sx->conn_args.host, &errno, sx->addrlist->more_errno,
3125       sx->buffer, &code, &message, &pass_message);
3126     yield = DEFER;
3127     goto FAILED;
3128
3129   SEND_FAILED:
3130     code = '4';
3131     message = US string_sprintf("smtp send to %s [%s] failed: %s",
3132       sx->conn_args.host->name, sx->conn_args.host->address, strerror(errno));
3133     sx->send_quit = FALSE;
3134     yield = DEFER;
3135     goto FAILED;
3136
3137   EHLOHELO_FAILED:
3138     code = '4';
3139     message = string_sprintf("Remote host closed connection in response to %s"
3140       " (EHLO response was: %s)", smtp_command, sx->buffer);
3141     sx->send_quit = FALSE;
3142     yield = DEFER;
3143     goto FAILED;
3144
3145   /* This label is jumped to directly when a TLS negotiation has failed,
3146   or was not done for a host for which it is required. Values will be set
3147   in message and errno, and setting_up will always be true. Treat as
3148   a temporary error. */
3149
3150 #ifndef DISABLE_TLS
3151   TLS_FAILED:
3152     code = '4', yield = DEFER;
3153     goto FAILED;
3154 #endif
3155
3156   /* The failure happened while setting up the call; see if the failure was
3157   a 5xx response (this will either be on connection, or following HELO - a 5xx
3158   after EHLO causes it to try HELO). If so, and there are no more hosts to try,
3159   fail all addresses, as this host is never going to accept them. For other
3160   errors during setting up (timeouts or whatever), defer all addresses, and
3161   yield DEFER, so that the host is not tried again for a while.
3162
3163   XXX This peeking for another host feels like a layering violation. We want
3164   to note the host as unusable, but down here we shouldn't know if this was
3165   the last host to try for the addr(list).  Perhaps the upper layer should be
3166   the one to do set_errno() ?  The problem is that currently the addr is where
3167   errno etc. are stashed, but until we run out of hosts to try the errors are
3168   host-specific.  Maybe we should enhance the host_item definition? */
3169
3170 FAILED:
3171   sx->ok = FALSE;                /* For when reached by GOTO */
3172   set_errno(sx->addrlist, errno, message,
3173             sx->conn_args.host->next
3174             ? DEFER
3175             : code == '5'
3176 #ifdef SUPPORT_I18N
3177                         || errno == ERRNO_UTF8_FWD
3178 #endif
3179             ? FAIL : DEFER,
3180             pass_message,
3181             errno == ECONNREFUSED ? NULL : sx->conn_args.host,
3182 #ifdef EXPERIMENTAL_DSN_INFO
3183             sx->smtp_greeting, sx->helo_response,
3184 #endif
3185             &sx->delivery_start);
3186   }
3187
3188
3189 SEND_QUIT:
3190
3191 if (sx->send_quit)
3192   (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
3193
3194 #ifndef DISABLE_TLS
3195 if (sx->cctx.tls_ctx)
3196   {
3197   if (sx->send_tlsclose)
3198     {
3199     tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
3200     sx->send_tlsclose = FALSE;
3201     }
3202   sx->cctx.tls_ctx = NULL;
3203   }
3204 #endif
3205
3206 /* Close the socket, and return the appropriate value, first setting
3207 works because the NULL setting is passed back to the calling process, and
3208 remote_max_parallel is forced to 1 when delivering over an existing connection,
3209 */
3210
3211 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
3212 if (sx->send_quit)
3213   {
3214   shutdown(sx->cctx.sock, SHUT_WR);
3215   if (fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
3216     for (int i = 16; read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer)) > 0 && i > 0;)
3217       i--;                              /* drain socket */
3218   sx->send_quit = FALSE;
3219   }
3220 (void)close(sx->cctx.sock);
3221 sx->cctx.sock = -1;
3222
3223 #ifndef DISABLE_EVENT
3224 (void) event_raise(sx->conn_args.tblock->event_action, US"tcp:close", NULL, NULL);
3225 #endif
3226
3227 smtp_debug_cmd_report();
3228 continue_transport = NULL;
3229 continue_hostname = NULL;
3230 return yield;
3231 }
3232
3233
3234
3235
3236 /* Create the string of options that will be appended to the MAIL FROM:
3237 in the connection context buffer */
3238
3239 static int
3240 build_mailcmd_options(smtp_context * sx, address_item * addrlist)
3241 {
3242 uschar * p = sx->buffer;
3243 address_item * addr;
3244 int address_count;
3245
3246 *p = 0;
3247
3248 /* If we know the receiving MTA supports the SIZE qualification, and we know it,
3249 send it, adding something to the message size to allow for imprecision
3250 and things that get added en route. Exim keeps the number of lines
3251 in a message, so we can give an accurate value for the original message, but we
3252 need some additional to handle added headers. (Double "." characters don't get
3253 included in the count.) */
3254
3255 if (  message_size > 0
3256    && sx->peer_offered & OPTION_SIZE && !(sx->avoid_option & OPTION_SIZE))
3257   {
3258 /*XXX problem here under spool_files_wireformat?
3259 Or just forget about lines?  Or inflate by a fixed proportion? */
3260
3261   sprintf(CS p, " SIZE=%d", message_size+message_linecount+(SOB sx->conn_args.ob)->size_addition);
3262   while (*p) p++;
3263   }
3264
3265 #ifndef DISABLE_PRDR
3266 /* If it supports Per-Recipient Data Responses, and we have more than one recipient,
3267 request that */
3268
3269 sx->prdr_active = FALSE;
3270 if (smtp_peer_options & OPTION_PRDR)
3271   for (address_item * addr = addrlist; addr; addr = addr->next)
3272     if (addr->transport_return == PENDING_DEFER)
3273       {
3274       for (addr = addr->next; addr; addr = addr->next)
3275         if (addr->transport_return == PENDING_DEFER)
3276           {                     /* at least two recipients to send */
3277           sx->prdr_active = TRUE;
3278           sprintf(CS p, " PRDR"); p += 5;
3279           break;
3280           }
3281       break;
3282       }
3283 #endif
3284
3285 #ifdef SUPPORT_I18N
3286 /* If it supports internationalised messages, and this meesage need that,
3287 request it */
3288
3289 if (  sx->peer_offered & OPTION_UTF8
3290    && addrlist->prop.utf8_msg
3291    && !addrlist->prop.utf8_downcvt
3292    )
3293   Ustrcpy(p, US" SMTPUTF8"), p += 9;
3294 #endif
3295
3296 /* check if all addresses have DSN-lasthop flag; do not send RET and ENVID if so */
3297 for (sx->dsn_all_lasthop = TRUE, addr = addrlist, address_count = 0;
3298      addr && address_count < sx->max_rcpt;      /*XXX maybe also || sx->single_rcpt_domain ? */
3299      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3300   {
3301   address_count++;
3302   if (!(addr->dsn_flags & rf_dsnlasthop))
3303     {
3304     sx->dsn_all_lasthop = FALSE;
3305     break;
3306     }
3307   }
3308
3309 /* Add any DSN flags to the mail command */
3310
3311 if (sx->peer_offered & OPTION_DSN && !sx->dsn_all_lasthop)
3312   {
3313   if (dsn_ret == dsn_ret_hdrs)
3314     { Ustrcpy(p, US" RET=HDRS"); p += 9; }
3315   else if (dsn_ret == dsn_ret_full)
3316     { Ustrcpy(p, US" RET=FULL"); p += 9; }
3317
3318   if (dsn_envid)
3319     {
3320     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ENVID=%s", dsn_envid);
3321     while (*p) p++;
3322     }
3323   }
3324
3325 /* If an authenticated_sender override has been specified for this transport
3326 instance, expand it. If the expansion is forced to fail, and there was already
3327 an authenticated_sender for this message, the original value will be used.
3328 Other expansion failures are serious. An empty result is ignored, but there is
3329 otherwise no check - this feature is expected to be used with LMTP and other
3330 cases where non-standard addresses (e.g. without domains) might be required. */
3331
3332 return smtp_mail_auth_str(sx, p, addrlist) ? ERROR : OK;
3333 }
3334
3335
3336 static void
3337 build_rcptcmd_options(smtp_context * sx, const address_item * addr)
3338 {
3339 uschar * p = sx->buffer;
3340 *p = 0;
3341
3342 /* Add any DSN flags to the rcpt command */
3343
3344 if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
3345   {
3346   if (addr->dsn_flags & rf_dsnflags)
3347     {
3348     BOOL first = TRUE;
3349
3350     Ustrcpy(p, US" NOTIFY=");
3351     while (*p) p++;
3352     for (int i = 0; i < nelem(rf_list); i++) if (addr->dsn_flags & rf_list[i])
3353       {
3354       if (!first) *p++ = ',';
3355       first = FALSE;
3356       Ustrcpy(p, rf_names[i]);
3357       while (*p) p++;
3358       }
3359     }
3360
3361   if (addr->dsn_orcpt)
3362     {
3363     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ORCPT=%s",
3364       addr->dsn_orcpt);
3365     while (*p) p++;
3366     }
3367   }
3368 }
3369
3370
3371
3372 /*
3373 Return:
3374  0      good, rcpt results in addr->transport_return (PENDING_OK, DEFER, FAIL)
3375  -1     MAIL response error
3376  -2     any non-MAIL read i/o error
3377  -3     non-MAIL response timeout
3378  -4     internal error; channel still usable
3379  -5     transmit failed
3380  */
3381
3382 int
3383 smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
3384 {
3385 address_item * addr;
3386 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3387 address_item * restart_addr = NULL;
3388 #endif
3389 int address_count, pipe_limit;
3390 int rc;
3391
3392 if (build_mailcmd_options(sx, sx->first_addr) != OK)
3393   {
3394   *yield = ERROR;
3395   return -4;
3396   }
3397
3398 /* From here until we send the DATA command, we can make use of PIPELINING
3399 if the server host supports it. The code has to be able to check the responses
3400 at any point, for when the buffer fills up, so we write it totally generally.
3401 When PIPELINING is off, each command written reports that it has flushed the
3402 buffer. */
3403
3404 sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
3405
3406   {
3407   uschar * s = sx->from_addr;
3408 #ifdef SUPPORT_I18N
3409   uschar * errstr = NULL;
3410
3411   /* If we must downconvert, do the from-address here.  Remember we had to
3412   for the to-addresses (done below), and also (ugly) for re-doing when building
3413   the delivery log line. */
3414
3415   if (  sx->addrlist->prop.utf8_msg
3416      && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & OPTION_UTF8))
3417      )
3418     {
3419     if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
3420       {
3421       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE, &sx->delivery_start);
3422       *yield = ERROR;
3423       return -4;
3424       }
3425     setflag(sx->addrlist, af_utf8_downcvt);
3426     }
3427 #endif
3428
3429   rc = smtp_write_command(sx, pipelining_active ? SCMD_BUFFER : SCMD_FLUSH,
3430           "MAIL FROM:<%s>%s\r\n", s, sx->buffer);
3431   }
3432
3433 mail_command = string_copy(big_buffer);  /* Save for later error message */
3434
3435 switch(rc)
3436   {
3437   case -1:                /* Transmission error */
3438     return -5;
3439
3440   case +1:                /* Cmd was sent */
3441     if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
3442        (SOB sx->conn_args.ob)->command_timeout))
3443       {
3444       if (errno == 0 && sx->buffer[0] == '4')
3445         {
3446         errno = ERRNO_MAIL4XX;
3447         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
3448         }
3449       return -1;
3450       }
3451     sx->pending_MAIL = FALSE;
3452     break;
3453
3454   /* otherwise zero: command queued for pipeline */
3455   }
3456
3457 /* Pass over all the relevant recipient addresses for this host, which are the
3458 ones that have status PENDING_DEFER. If we are using PIPELINING, we can send
3459 several before we have to read the responses for those seen so far. This
3460 checking is done by a subroutine because it also needs to be done at the end.
3461 Send only up to max_rcpt addresses at a time, leaving next_addr pointing to
3462 the next one if not all are sent.
3463
3464 In the MUA wrapper situation, we want to flush the PIPELINING buffer for the
3465 last address because we want to abort if any recipients have any kind of
3466 problem, temporary or permanent. We know that all recipient addresses will have
3467 the PENDING_DEFER status, because only one attempt is ever made, and we know
3468 that max_rcpt will be large, so all addresses will be done at once.
3469
3470 For verify we flush the pipeline after any (the only) rcpt address. */
3471
3472 for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
3473      addr &&  address_count < sx->max_rcpt;
3474      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3475   {
3476   int cmds_sent;
3477   BOOL no_flush;
3478   uschar * rcpt_addr;
3479
3480 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3481   if (  sx->single_rcpt_domain                                  /* restriction on domains */
3482      && address_count > 0                                       /* not first being sent */
3483      && Ustrcmp(addr->domain, sx->first_addr->domain) != 0      /* dom diff from first */
3484      )
3485     {
3486     DEBUG(D_transport) debug_printf("skipping different domain %s\n", addr->domain);
3487
3488     /* Ensure the smtp-response reaper does not think the address had a RCPT
3489     command sent for it.  Reset to PENDING_DEFER in smtp_deliver(), where we
3490     goto SEND_MESSAGE.  */
3491
3492     addr->transport_return = SKIP;
3493     if (!restart_addr) restart_addr = addr;     /* note restart point */
3494     continue;                                   /* skip this one */
3495     }
3496 #endif
3497
3498   addr->dsn_aware = sx->peer_offered & OPTION_DSN
3499     ? dsn_support_yes : dsn_support_no;
3500
3501   address_count++;
3502   if (pipe_limit-- <= 0)
3503     { no_flush = FALSE; pipe_limit = 100; }
3504   else
3505     no_flush = pipelining_active && !sx->verify
3506           && (!mua_wrapper || addr->next && address_count < sx->max_rcpt);
3507
3508   build_rcptcmd_options(sx, addr);
3509
3510   /* Now send the RCPT command, and process outstanding responses when
3511   necessary. After a timeout on RCPT, we just end the function, leaving the
3512   yield as OK, because this error can often mean that there is a problem with
3513   just one address, so we don't want to delay the host. */
3514
3515   rcpt_addr = transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes);
3516
3517 #ifdef SUPPORT_I18N
3518   if (  testflag(sx->addrlist, af_utf8_downcvt)
3519      && !(rcpt_addr = string_address_utf8_to_alabel(rcpt_addr, NULL))
3520      )
3521     {
3522     /*XXX could we use a per-address errstr here? Not fail the whole send? */
3523     errno = ERRNO_EXPANDFAIL;
3524     return -5;          /*XXX too harsh? */
3525     }
3526 #endif
3527
3528   cmds_sent = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
3529     "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
3530
3531   if (cmds_sent < 0) return -5;
3532   if (cmds_sent > 0)
3533     {
3534     switch(sync_responses(sx, cmds_sent, 0))
3535       {
3536       case 3: sx->ok = TRUE;                    /* 2xx & 5xx => OK & progress made */
3537       case 2: sx->completed_addr = TRUE;        /* 5xx (only) => progress made */
3538               break;
3539
3540       case 1: sx->ok = TRUE;                    /* 2xx (only) => OK, but if LMTP, */
3541               if (!sx->lmtp)                    /*  can't tell about progress yet */
3542                 sx->completed_addr = TRUE;
3543       case 0:                                   /* No 2xx or 5xx, but no probs */
3544               /* If any RCPT got a 452 response then next_addr has been updated
3545               for restarting with a new MAIL on the same connection.  Send no more
3546               RCPTs for this MAIL. */
3547
3548               if (sx->RCPT_452)
3549                 {
3550                 DEBUG(D_transport) debug_printf("seen 452 too-many-rcpts\n");
3551                 sx->RCPT_452 = FALSE;
3552                 /* sx->next_addr has been reset for fast_retry */
3553                 return 0;
3554                 }
3555               break;
3556
3557       case -1: return -3;                       /* Timeout on RCPT */
3558       case -2: return -2;                       /* non-MAIL read i/o error */
3559       default: return -1;                       /* any MAIL error */
3560
3561 #ifndef DISABLE_PIPE_CONNECT
3562       case -4: return -1;                       /* non-2xx for pipelined banner or EHLO */
3563       case -5: return -1;                       /* TLS first-read error */
3564 #endif
3565       }
3566     }
3567   }      /* Loop for next address */
3568
3569 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3570 sx->next_addr = restart_addr ? restart_addr : addr;
3571 #else
3572 sx->next_addr = addr;
3573 #endif
3574 return 0;
3575 }
3576
3577
3578 #ifndef DISABLE_TLS
3579 /*****************************************************
3580 * Proxy TLS connection for another transport process *
3581 ******************************************************/
3582 /*
3583 Close the unused end of the pipe, fork once more, then use the given buffer
3584 as a staging area, and select on both the given fd and the TLS'd client-fd for
3585 data to read (per the coding in ip_recv() and fd_ready() this is legitimate).
3586 Do blocking full-size writes, and reads under a timeout.  Once both input
3587 channels are closed, exit the process.
3588
3589 Arguments:
3590   ct_ctx        tls context
3591   buf           space to use for buffering
3592   bufsiz        size of buffer
3593   pfd           pipe filedescriptor array; [0] is comms to proxied process
3594   timeout       per-read timeout, seconds
3595   host          hostname of remote
3596
3597 Does not return.
3598 */
3599
3600 void
3601 smtp_proxy_tls(void * ct_ctx, uschar * buf, size_t bsize, int * pfd,
3602   int timeout, const uschar * host)
3603 {
3604 struct pollfd p[2] = {{.fd = tls_out.active.sock, .events = POLLIN},
3605                       {.fd = pfd[0], .events = POLLIN}};
3606 int rc, i;
3607 BOOL send_tls_shutdown = TRUE;
3608
3609 close(pfd[1]);
3610 if ((rc = exim_fork(US"tls-proxy")))
3611   _exit(rc < 0 ? EXIT_FAILURE : EXIT_SUCCESS);
3612
3613 set_process_info("proxying TLS connection for continued transport to %s\n", host);
3614
3615 do
3616   {
3617   time_t time_left = timeout;
3618   time_t time_start = time(NULL);
3619
3620   /* wait for data */
3621   do
3622     {
3623     rc = poll(p, 2, time_left * 1000);
3624
3625     if (rc < 0 && errno == EINTR)
3626       if ((time_left -= time(NULL) - time_start) > 0) continue;
3627
3628     if (rc <= 0)
3629       {
3630       DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
3631       goto done;
3632       }
3633
3634     /* For errors where not readable, bomb out */
3635
3636     if (p[0].revents & POLLERR || p[1].revents & POLLERR)
3637       {
3638       DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
3639         p[0].revents & POLLERR ? "tls" : "proxy");
3640       if (!(p[0].revents & POLLIN || p[1].events & POLLIN))
3641         goto done;
3642       DEBUG(D_transport) debug_printf("- but also readable; no exit yet\n");
3643       }
3644     }
3645   while (rc < 0 || !(p[0].revents & POLLIN || p[1].revents & POLLIN));
3646
3647   /* handle inbound data */
3648   if (p[0].revents & POLLIN)
3649     if ((rc = tls_read(ct_ctx, buf, bsize)) <= 0)       /* Expect -1 for EOF; */
3650     {                               /* that reaps the TLS Close Notify record */
3651       p[0].fd = -1;
3652       shutdown(pfd[0], SHUT_WR);
3653       timeout = 5;
3654       }
3655     else
3656       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3657         if ((i = write(pfd[0], buf + nbytes, rc - nbytes)) < 0) goto done;
3658
3659   /* Handle outbound data.  We cannot combine payload and the TLS-close
3660   due to the limitations of the (pipe) channel feeding us.  Maybe use a unix-domain
3661   socket? */
3662   if (p[1].revents & POLLIN)
3663     if ((rc = read(pfd[0], buf, bsize)) <= 0)
3664       {
3665       p[1].fd = -1;
3666
3667 # ifdef EXIM_TCP_CORK  /* Use _CORK to get TLS Close Notify in FIN segment */
3668       (void) setsockopt(tls_out.active.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
3669 # endif
3670       tls_shutdown_wr(ct_ctx);
3671       send_tls_shutdown = FALSE;
3672       shutdown(tls_out.active.sock, SHUT_WR);
3673       }
3674     else
3675       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3676         if ((i = tls_write(ct_ctx, buf + nbytes, rc - nbytes, FALSE)) < 0)
3677           goto done;
3678   }
3679 while (p[0].fd >= 0 || p[1].fd >= 0);
3680
3681 done:
3682   if (send_tls_shutdown) tls_close(ct_ctx, TLS_SHUTDOWN_NOWAIT);
3683   ct_ctx = NULL;
3684   testharness_pause_ms(100);    /* let logging complete */
3685   exim_exit(EXIT_SUCCESS);
3686 }
3687 #endif
3688
3689
3690 /*************************************************
3691 *       Deliver address list to given host       *
3692 *************************************************/
3693
3694 /* If continue_hostname is not null, we get here only when continuing to
3695 deliver down an existing channel. The channel was passed as the standard
3696 input. TLS is never active on a passed channel; the previous process either
3697 closes it down before passing the connection on, or inserts a TLS-proxy
3698 process and passes on a cleartext conection.
3699
3700 Otherwise, we have to make a connection to the remote host, and do the
3701 initial protocol exchange.
3702
3703 When running as an MUA wrapper, if the sender or any recipient is rejected,
3704 temporarily or permanently, we force failure for all recipients.
3705
3706 Arguments:
3707   addrlist        chain of potential addresses to deliver; only those whose
3708                   transport_return field is set to PENDING_DEFER are currently
3709                   being processed; others should be skipped - they have either
3710                   been delivered to an earlier host or IP address, or been
3711                   failed by one of them.
3712   host            host to deliver to
3713   host_af         AF_INET or AF_INET6
3714   defport         default TCP/IP port to use if host does not specify, in host
3715                   byte order
3716   interface       interface to bind to, or NULL
3717   tblock          transport instance block
3718   message_defer   set TRUE if yield is OK, but all addresses were deferred
3719                     because of a non-recipient, non-host failure, that is, a
3720                     4xx response to MAIL FROM, DATA, or ".". This is a defer
3721                     that is specific to the message.
3722   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
3723                     a second attempt after TLS initialization fails
3724
3725 Returns:          OK    - the connection was made and the delivery attempted;
3726                           the result for each address is in its data block.
3727                   DEFER - the connection could not be made, or something failed
3728                           while setting up the SMTP session, or there was a
3729                           non-message-specific error, such as a timeout.
3730                   ERROR - a filter command is specified for this transport,
3731                           and there was a problem setting it up; OR helo_data
3732                           or add_headers or authenticated_sender is specified
3733                           for this transport, and the string failed to expand
3734
3735                 For all non-OK returns the first addr of the list carries the
3736                 time taken for the attempt.
3737 */
3738
3739 static int
3740 smtp_deliver(address_item *addrlist, host_item *host, int host_af, int defport,
3741   uschar *interface, transport_instance *tblock,
3742   BOOL *message_defer, BOOL suppress_tls)
3743 {
3744 smtp_transport_options_block * ob = SOB tblock->options_block;
3745 int yield = OK;
3746 int save_errno;
3747 int rc;
3748
3749 uschar *message = NULL;
3750 uschar new_message_id[MESSAGE_ID_LENGTH + 1];
3751 smtp_context * sx = store_get(sizeof(*sx), GET_TAINTED);        /* tainted, for the data buffers */
3752 BOOL pass_message = FALSE;
3753 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3754 BOOL mail_limit = FALSE;
3755 #endif
3756 #ifdef SUPPORT_DANE
3757 BOOL dane_held;
3758 #endif
3759 BOOL tcw_done = FALSE, tcw = FALSE;
3760
3761 *message_defer = FALSE;
3762
3763 memset(sx, 0, sizeof(*sx));
3764 sx->addrlist = addrlist;
3765 sx->conn_args.host = host;
3766 sx->conn_args.host_af = host_af;
3767 sx->port = defport;
3768 sx->conn_args.interface = interface;
3769 sx->helo_data = NULL;
3770 sx->conn_args.tblock = tblock;
3771 sx->conn_args.sock = -1;
3772 gettimeofday(&sx->delivery_start, NULL);
3773 sx->sync_addr = sx->first_addr = addrlist;
3774
3775 REPEAT_CONN:
3776 #ifdef SUPPORT_DANE
3777 dane_held = FALSE;
3778 #endif
3779
3780 /* Get the channel set up ready for a message, MAIL FROM being the next
3781 SMTP command to send. */
3782
3783 if ((rc = smtp_setup_conn(sx, suppress_tls)) != OK)
3784   {
3785   timesince(&addrlist->delivery_time, &sx->delivery_start);
3786   yield = rc;
3787   goto TIDYUP;
3788   }
3789
3790 #ifdef SUPPORT_DANE
3791 /* If the connection used DANE, ignore for now any addresses with incompatible
3792 domains.  The SNI has to be the domain.  Arrange a whole new TCP conn later,
3793 just in case only TLS isn't enough. */
3794
3795 if (sx->conn_args.dane)
3796   {
3797   const uschar * dane_domain = sx->first_addr->domain;
3798
3799   for (address_item * a = sx->first_addr->next; a; a = a->next)
3800     if (  a->transport_return == PENDING_DEFER
3801        && Ustrcmp(dane_domain, a->domain) != 0)
3802       {
3803       DEBUG(D_transport) debug_printf("DANE: holding %s for later\n", a->domain);
3804       dane_held = TRUE;
3805       a->transport_return = DANE;
3806       }
3807   }
3808 #endif
3809
3810 /* If there is a filter command specified for this transport, we can now
3811 set it up. This cannot be done until the identity of the host is known. */
3812
3813 if (tblock->filter_command)
3814   {
3815   transport_filter_timeout = tblock->filter_timeout;
3816
3817   /* On failure, copy the error to all addresses, abandon the SMTP call, and
3818   yield ERROR. */
3819
3820   if (!transport_set_up_command(&transport_filter_argv,
3821         tblock->filter_command, TRUE, DEFER, addrlist, FALSE,
3822         string_sprintf("%.50s transport filter", tblock->name), NULL))
3823     {
3824     set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
3825       FALSE, &sx->delivery_start);
3826     yield = ERROR;
3827     goto SEND_QUIT;
3828     }
3829
3830   if (  transport_filter_argv
3831      && *transport_filter_argv
3832      && **transport_filter_argv
3833      && smtp_peer_options & OPTION_CHUNKING
3834 #ifndef DISABLE_DKIM
3835     /* When dkim signing, chunking is handled even with a transport-filter */
3836      && !(ob->dkim.dkim_private_key && ob->dkim.dkim_domain && ob->dkim.dkim_selector)
3837      && !ob->dkim.force_bodyhash
3838 #endif
3839      )
3840     {
3841     smtp_peer_options &= ~OPTION_CHUNKING;
3842     DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
3843     }
3844   }
3845
3846 /* For messages that have more than the maximum number of envelope recipients,
3847 we want to send several transactions down the same SMTP connection. (See
3848 comments in deliver.c as to how this reconciles, heuristically, with
3849 remote_max_parallel.) This optimization was added to Exim after the following
3850 code was already working. The simplest way to put it in without disturbing the
3851 code was to use a goto to jump back to this point when there is another
3852 transaction to handle. */
3853
3854 SEND_MESSAGE:
3855 sx->from_addr = return_path;
3856 sx->sync_addr = sx->first_addr;
3857 sx->ok = FALSE;
3858 sx->send_rset = TRUE;
3859 sx->completed_addr = FALSE;
3860
3861
3862 /* If we are a continued-connection-after-verify the MAIL and RCPT
3863 commands were already sent; do not re-send but do mark the addrs as
3864 having been accepted up to RCPT stage.  A traditional cont-conn
3865 always has a sequence number greater than one. */
3866
3867 if (continue_hostname && continue_sequence == 1)
3868   {
3869   /* sx->pending_MAIL = FALSE; */
3870   sx->ok = TRUE;
3871   /* sx->next_addr = NULL; */
3872
3873   for (address_item * addr = addrlist; addr; addr = addr->next)
3874     addr->transport_return = PENDING_OK;
3875   }
3876 else
3877   {
3878   /* Initiate a message transfer. */
3879
3880   switch(smtp_write_mail_and_rcpt_cmds(sx, &yield))
3881     {
3882     case 0:             break;
3883     case -1: case -2:   goto RESPONSE_FAILED;
3884     case -3:            goto END_OFF;
3885     case -4:            goto SEND_QUIT;
3886     default:            goto SEND_FAILED;
3887     }
3888
3889   /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
3890   permanently or temporarily. We should have flushed and synced after the last
3891   RCPT. */
3892
3893   if (mua_wrapper)
3894     {
3895     address_item * a;
3896     unsigned cnt;
3897
3898     for (a = sx->first_addr, cnt = 0; a && cnt < sx->max_rcpt; a = a->next, cnt++)
3899       if (a->transport_return != PENDING_OK)
3900         {
3901         /*XXX could we find a better errno than 0 here? */
3902         set_errno_nohost(addrlist, 0, a->message, FAIL,
3903           testflag(a, af_pass_message), &sx->delivery_start);
3904         sx->ok = FALSE;
3905         break;
3906         }
3907     }
3908   }
3909
3910 /* If ok is TRUE, we know we have got at least one good recipient, and must now
3911 send DATA, but if it is FALSE (in the normal, non-wrapper case), we may still
3912 have a good recipient buffered up if we are pipelining. We don't want to waste
3913 time sending DATA needlessly, so we only send it if either ok is TRUE or if we
3914 are pipelining. The responses are all handled by sync_responses().
3915 If using CHUNKING, do not send a BDAT until we know how big a chunk we want
3916 to send is. */
3917
3918 if (  !(smtp_peer_options & OPTION_CHUNKING)
3919    && (sx->ok || (pipelining_active && !mua_wrapper)))
3920   {
3921   int count = smtp_write_command(sx, SCMD_FLUSH, "DATA\r\n");
3922
3923   if (count < 0) goto SEND_FAILED;
3924   switch(sync_responses(sx, count, sx->ok ? +1 : -1))
3925     {
3926     case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
3927     case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
3928     break;
3929
3930     case 1: sx->ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
3931     if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
3932     case 0: break;                      /* No 2xx or 5xx, but no probs */
3933
3934     case -1: goto END_OFF;              /* Timeout on RCPT */
3935
3936 #ifndef DISABLE_PIPE_CONNECT
3937     case -5:                            /* TLS first-read error */
3938     case -4:  HDEBUG(D_transport)
3939                 debug_printf("failed reaping pipelined cmd responses\n");
3940 #endif
3941     default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL/DATA error */
3942     }
3943   pipelining_active = FALSE;
3944   data_command = string_copy(big_buffer);  /* Save for later error message */
3945   }
3946
3947 /* If there were no good recipients (but otherwise there have been no
3948 problems), just set ok TRUE, since we have handled address-specific errors
3949 already. Otherwise, it's OK to send the message. Use the check/escape mechanism
3950 for handling the SMTP dot-handling protocol, flagging to apply to headers as
3951 well as body. Set the appropriate timeout value to be used for each chunk.
3952 (Haven't been able to make it work using select() for writing yet.) */
3953
3954 if (  !sx->ok
3955    && (!(smtp_peer_options & OPTION_CHUNKING) || !pipelining_active))
3956   {
3957   /* Save the first address of the next batch. */
3958   sx->first_addr = sx->next_addr;
3959
3960   sx->ok = TRUE;
3961   }
3962 else
3963   {
3964   transport_ctx tctx = {
3965     .u = {.fd = sx->cctx.sock}, /*XXX will this need TLS info? */
3966     .tblock =   tblock,
3967     .addr =     addrlist,
3968     .check_string = US".",
3969     .escape_string = US"..",    /* Escaping strings */
3970     .options =
3971       topt_use_crlf | topt_escape_headers
3972     | (tblock->body_only        ? topt_no_headers : 0)
3973     | (tblock->headers_only     ? topt_no_body : 0)
3974     | (tblock->return_path_add  ? topt_add_return_path : 0)
3975     | (tblock->delivery_date_add ? topt_add_delivery_date : 0)
3976     | (tblock->envelope_to_add  ? topt_add_envelope_to : 0)
3977   };
3978
3979   /* If using CHUNKING we need a callback from the generic transport
3980   support to us, for the sending of BDAT smtp commands and the reaping
3981   of responses.  The callback needs a whole bunch of state so set up
3982   a transport-context structure to be passed around. */
3983
3984   if (smtp_peer_options & OPTION_CHUNKING)
3985     {
3986     tctx.check_string = tctx.escape_string = NULL;
3987     tctx.options |= topt_use_bdat;
3988     tctx.chunk_cb = smtp_chunk_cmd_callback;
3989     sx->pending_BDAT = FALSE;
3990     sx->good_RCPT = sx->ok;
3991     sx->cmd_count = 0;
3992     tctx.smtp_context = sx;
3993     }
3994   else
3995     tctx.options |= topt_end_dot;
3996
3997   /* Save the first address of the next batch. */
3998   sx->first_addr = sx->next_addr;
3999
4000   /* Responses from CHUNKING commands go in buffer.  Otherwise,
4001   there has not been a response. */
4002
4003   sx->buffer[0] = 0;
4004
4005   sigalrm_seen = FALSE;
4006   transport_write_timeout = ob->data_timeout;
4007   smtp_command = US"sending data block";   /* For error messages */
4008   DEBUG(D_transport|D_v)
4009     if (smtp_peer_options & OPTION_CHUNKING)
4010       debug_printf("         will write message using CHUNKING\n");
4011     else
4012       debug_printf("  SMTP>> (writing message)\n");
4013   transport_count = 0;
4014
4015 #ifndef DISABLE_DKIM
4016   {
4017 # ifdef MEASURE_TIMING
4018   struct timeval t0;
4019   gettimeofday(&t0, NULL);
4020 # endif
4021   dkim_exim_sign_init();
4022 # ifdef EXPERIMENTAL_ARC
4023     {
4024     uschar * s = ob->arc_sign;
4025     if (s)
4026       {
4027       if (!(ob->dkim.arc_signspec = s = expand_string(s)))
4028         {
4029         if (!f.expand_string_forcedfail)
4030           {
4031           message = US"failed to expand arc_sign";
4032           sx->ok = FALSE;
4033           goto SEND_FAILED;
4034           }
4035         }
4036       else if (*s)
4037         {
4038         /* Ask dkim code to hash the body for ARC */
4039         (void) arc_ams_setup_sign_bodyhash();
4040         ob->dkim.force_bodyhash = TRUE;
4041         }
4042       }
4043     }
4044 # endif
4045 # ifdef MEASURE_TIMING
4046   report_time_since(&t0, US"dkim_exim_sign_init (delta)");
4047 # endif
4048   }
4049 #endif
4050
4051   /* See if we can pipeline QUIT.  Reasons not to are
4052   - pipelining not active
4053   - not ok to send quit
4054   - errors in amtp transation responses
4055   - more addrs to send for this message or this host
4056   - this message was being retried
4057   - more messages for this host
4058   If we can, we want the message-write to not flush (the tail end of) its data out.  */
4059
4060   if (  sx->pipelining_used
4061      && (sx->ok && sx->completed_addr || smtp_peer_options & OPTION_CHUNKING)
4062      && sx->send_quit
4063      && !(sx->first_addr || f.continue_more)
4064      && f.deliver_firsttime
4065      )
4066     {
4067     smtp_compare_t t_compare =
4068       {.tblock = tblock, .current_sender_address = sender_address};
4069
4070     tcw_done = TRUE;
4071     tcw =
4072 #ifndef DISABLE_TLS
4073            (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4074            || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4075            )
4076         &&
4077 #endif
4078            transport_check_waiting(tblock->name, host->name,
4079              tblock->connection_max_messages, new_message_id,
4080              (oicf)smtp_are_same_identities, (void*)&t_compare);
4081     if (!tcw)
4082       {
4083       HDEBUG(D_transport) debug_printf("will pipeline QUIT\n");
4084       tctx.options |= topt_no_flush;
4085       }
4086     }
4087
4088 #ifndef DISABLE_DKIM
4089   sx->ok = dkim_transport_write_message(&tctx, &ob->dkim, CUSS &message);
4090 #else
4091   sx->ok = transport_write_message(&tctx, 0);
4092 #endif
4093
4094   /* transport_write_message() uses write() because it is called from other
4095   places to write to non-sockets. This means that under some OS (e.g. Solaris)
4096   it can exit with "Broken pipe" as its error. This really means that the
4097   socket got closed at the far end. */
4098
4099   transport_write_timeout = 0;   /* for subsequent transports */
4100
4101   /* Failure can either be some kind of I/O disaster (including timeout),
4102   or the failure of a transport filter or the expansion of added headers.
4103   Or, when CHUNKING, it can be a protocol-detected failure. */
4104
4105   if (!sx->ok)
4106     if (message) goto SEND_FAILED;
4107     else         goto RESPONSE_FAILED;
4108
4109   /* We used to send the terminating "." explicitly here, but because of
4110   buffering effects at both ends of TCP/IP connections, you don't gain
4111   anything by keeping it separate, so it might as well go in the final
4112   data buffer for efficiency. This is now done by setting the topt_end_dot
4113   flag above. */
4114
4115   smtp_command = US"end of data";
4116
4117   /* If we can pipeline a QUIT with the data them send it now.  If a new message
4118   for this host appeared in the queue while data was being sent, we will not see
4119   it and it will have to wait for a queue run.  If there was one but another
4120   thread took it, we might attempt to send it - but locking of spoolfiles will
4121   detect that. Use _MORE to get QUIT in FIN segment. */
4122
4123   if (tcw_done && !tcw)
4124     {
4125     /*XXX jgh 2021/03/10 google et. al screwup.  G, at least, sends TCP FIN in response to TLS
4126     close-notify.  Under TLS 1.3, violating RFC.
4127     However, TLS 1.2 does not have half-close semantics. */
4128
4129     if (     sx->cctx.tls_ctx
4130 #if 0 && !defined(DISABLE_TLS)
4131           && Ustrcmp(tls_out.ver, "TLS1.3") != 0
4132 #endif
4133        || !f.deliver_firsttime
4134        )
4135       {                         /* Send QUIT now and not later */
4136       (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
4137       sx->send_quit = FALSE;
4138       }
4139     else
4140       {                         /* add QUIT to the output buffer */
4141       (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4142       sx->send_quit = FALSE;    /* avoid sending it later */
4143
4144 #ifndef DISABLE_TLS
4145       if (sx->cctx.tls_ctx && sx->send_tlsclose)        /* need to send TLS Close Notify */
4146         {
4147 # ifdef EXIM_TCP_CORK           /* Use _CORK to get Close Notify in FIN segment */
4148         (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4149 # endif
4150         tls_shutdown_wr(sx->cctx.tls_ctx);
4151         sx->send_tlsclose = FALSE;      /* avoid later repeat */
4152         }
4153 #endif
4154       HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4155       shutdown(sx->cctx.sock, SHUT_WR); /* flush output buffer, with TCP FIN */
4156       }
4157     }
4158
4159   if (smtp_peer_options & OPTION_CHUNKING && sx->cmd_count > 1)
4160     {
4161     /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
4162     switch(sync_responses(sx, sx->cmd_count-1, 0))
4163       {
4164       case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
4165       case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
4166               break;
4167
4168       case 1: sx->ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
4169       if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
4170       case 0: break;                    /* No 2xx or 5xx, but no probs */
4171
4172       case -1: goto END_OFF;            /* Timeout on RCPT */
4173
4174 #ifndef DISABLE_PIPE_CONNECT
4175       case -5:                          /* TLS first-read error */
4176       case -4:  HDEBUG(D_transport)
4177                   debug_printf("failed reaping pipelined cmd responses\n");
4178 #endif
4179       default: goto RESPONSE_FAILED;    /* I/O error, or any MAIL/DATA error */
4180       }
4181     }
4182
4183 #ifndef DISABLE_PRDR
4184   /* For PRDR we optionally get a partial-responses warning followed by the
4185   individual responses, before going on with the overall response.  If we don't
4186   get the warning then deal with per non-PRDR. */
4187
4188   if(sx->prdr_active)
4189     {
4190     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '3', ob->final_timeout);
4191     if (!sx->ok && errno == 0) switch(sx->buffer[0])
4192       {
4193       case '2': sx->prdr_active = FALSE;
4194                 sx->ok = TRUE;
4195                 break;
4196       case '4': errno = ERRNO_DATA4XX;
4197                 addrlist->more_errno |=
4198                   ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4199                 break;
4200       }
4201     }
4202   else
4203 #endif
4204
4205   /* For non-PRDR SMTP, we now read a single response that applies to the
4206   whole message.  If it is OK, then all the addresses have been delivered. */
4207
4208   if (!sx->lmtp)
4209     {
4210     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4211       ob->final_timeout);
4212     if (!sx->ok && errno == 0 && sx->buffer[0] == '4')
4213       {
4214       errno = ERRNO_DATA4XX;
4215       addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4216       }
4217     }
4218
4219   /* For LMTP, we get back a response for every RCPT command that we sent;
4220   some may be accepted and some rejected. For those that get a response, their
4221   status is fixed; any that are accepted have been handed over, even if later
4222   responses crash - at least, that's how I read RFC 2033.
4223
4224   If all went well, mark the recipient addresses as completed, record which
4225   host/IPaddress they were delivered to, and cut out RSET when sending another
4226   message down the same channel. Write the completed addresses to the journal
4227   now so that they are recorded in case there is a crash of hardware or
4228   software before the spool gets updated. Also record the final SMTP
4229   confirmation if needed (for SMTP only). */
4230
4231   if (sx->ok)
4232     {
4233     int flag = '=';
4234     struct timeval delivery_time;
4235     int len;
4236     uschar * conf = NULL;
4237
4238     timesince(&delivery_time, &sx->delivery_start);
4239     sx->send_rset = FALSE;
4240     pipelining_active = FALSE;
4241
4242     /* Set up confirmation if needed - applies only to SMTP */
4243
4244     if (
4245 #ifdef DISABLE_EVENT
4246           LOGGING(smtp_confirmation) &&
4247 #endif
4248           !sx->lmtp
4249        )
4250       {
4251       const uschar * s = string_printing(sx->buffer);
4252       /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4253       conf = s == sx->buffer ? US string_copy(s) : US s;
4254       }
4255
4256     /* Process all transported addresses - for LMTP or PRDR, read a status for
4257     each one. We used to drop out at first_addr, until someone returned a 452
4258     followed by a 250... and we screwed up the accepted addresses. */
4259
4260     for (address_item * addr = addrlist; addr; addr = addr->next)
4261       {
4262       if (addr->transport_return != PENDING_OK) continue;
4263
4264       /* LMTP - if the response fails badly (e.g. timeout), use it for all the
4265       remaining addresses. Otherwise, it's a return code for just the one
4266       address. For temporary errors, add a retry item for the address so that
4267       it doesn't get tried again too soon. */
4268
4269 #ifndef DISABLE_PRDR
4270       if (sx->lmtp || sx->prdr_active)
4271 #else
4272       if (sx->lmtp)
4273 #endif
4274         {
4275         if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4276             ob->final_timeout))
4277           {
4278           if (errno != 0 || sx->buffer[0] == 0) goto RESPONSE_FAILED;
4279           addr->message = string_sprintf(
4280 #ifndef DISABLE_PRDR
4281             "%s error after %s: %s", sx->prdr_active ? "PRDR":"LMTP",
4282 #else
4283             "LMTP error after %s: %s",
4284 #endif
4285             data_command, string_printing(sx->buffer));
4286           setflag(addr, af_pass_message);   /* Allow message to go to user */
4287           if (sx->buffer[0] == '5')
4288             addr->transport_return = FAIL;
4289           else
4290             {
4291             errno = ERRNO_DATA4XX;
4292             addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4293             addr->transport_return = DEFER;
4294 #ifndef DISABLE_PRDR
4295             if (!sx->prdr_active)
4296 #endif
4297               retry_add_item(addr, addr->address_retry_key, 0);
4298             }
4299           continue;
4300           }
4301         sx->completed_addr = TRUE;   /* NOW we can set this flag */
4302         if (LOGGING(smtp_confirmation))
4303           {
4304           const uschar *s = string_printing(sx->buffer);
4305           /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4306           conf = (s == sx->buffer) ? US string_copy(s) : US s;
4307           }
4308         }
4309
4310       /* SMTP, or success return from LMTP for this address. Pass back the
4311       actual host that was used. */
4312
4313       addr->transport_return = OK;
4314       addr->host_used = host;
4315       addr->delivery_time = delivery_time;
4316       addr->special_action = flag;
4317       addr->message = conf;
4318
4319       if (tcp_out_fastopen)
4320         {
4321         setflag(addr, af_tcp_fastopen_conn);
4322         if (tcp_out_fastopen >= TFO_USED_NODATA) setflag(addr, af_tcp_fastopen);
4323         if (tcp_out_fastopen >= TFO_USED_DATA) setflag(addr, af_tcp_fastopen_data);
4324         }
4325       if (sx->pipelining_used) setflag(addr, af_pipelining);
4326 #ifndef DISABLE_PIPE_CONNECT
4327       if (sx->early_pipe_active) setflag(addr, af_early_pipe);
4328 #endif
4329 #ifndef DISABLE_PRDR
4330       if (sx->prdr_active) setflag(addr, af_prdr_used);
4331 #endif
4332       if (smtp_peer_options & OPTION_CHUNKING) setflag(addr, af_chunking_used);
4333       flag = '-';
4334
4335 #ifndef DISABLE_PRDR
4336       if (!sx->prdr_active)
4337 #endif
4338         {
4339         /* Update the journal. For homonymic addresses, use the base address plus
4340         the transport name. See lots of comments in deliver.c about the reasons
4341         for the complications when homonyms are involved. Just carry on after
4342         write error, as it may prove possible to update the spool file later. */
4343
4344         if (testflag(addr, af_homonym))
4345           sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4346         else
4347           sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4348
4349         DEBUG(D_deliver) debug_printf("S:journalling %s", sx->buffer);
4350         len = Ustrlen(CS sx->buffer);
4351         if (write(journal_fd, sx->buffer, len) != len)
4352           log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4353             "%s: %s", sx->buffer, strerror(errno));
4354         }
4355       }
4356
4357 #ifndef DISABLE_PRDR
4358     if (sx->prdr_active)
4359       {
4360       const uschar * overall_message;
4361
4362       /* PRDR - get the final, overall response.  For any non-success
4363       upgrade all the address statuses. */
4364
4365       sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4366         ob->final_timeout);
4367       if (!sx->ok)
4368         {
4369         if(errno == 0 && sx->buffer[0] == '4')
4370           {
4371           errno = ERRNO_DATA4XX;
4372           addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4373           }
4374         for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4375           if (sx->buffer[0] == '5' || addr->transport_return == OK)
4376             addr->transport_return = PENDING_OK; /* allow set_errno action */
4377         goto RESPONSE_FAILED;
4378         }
4379
4380       /* Append the overall response to the individual PRDR response for logging
4381       and update the journal, or setup retry. */
4382
4383       overall_message = string_printing(sx->buffer);
4384       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4385         if (addr->transport_return == OK)
4386           addr->message = string_sprintf("%s\\n%s", addr->message, overall_message);
4387
4388       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4389         if (addr->transport_return == OK)
4390           {
4391           if (testflag(addr, af_homonym))
4392             sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4393           else
4394             sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4395
4396           DEBUG(D_deliver) debug_printf("journalling(PRDR) %s\n", sx->buffer);
4397           len = Ustrlen(CS sx->buffer);
4398           if (write(journal_fd, sx->buffer, len) != len)
4399             log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4400               "%s: %s", sx->buffer, strerror(errno));
4401           }
4402         else if (addr->transport_return == DEFER)
4403           /*XXX magic value -2 ? maybe host+message ? */
4404           retry_add_item(addr, addr->address_retry_key, -2);
4405       }
4406 #endif
4407
4408     /* Ensure the journal file is pushed out to disk. */
4409
4410     if (EXIMfsync(journal_fd) < 0)
4411       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fsync journal: %s",
4412         strerror(errno));
4413     }
4414   }
4415
4416
4417 /* Handle general (not specific to one address) failures here. The value of ok
4418 is used to skip over this code on the falling through case. A timeout causes a
4419 deferral. Other errors may defer or fail according to the response code, and
4420 may set up a special errno value, e.g. after connection chopped, which is
4421 assumed if errno == 0 and there is no text in the buffer. If control reaches
4422 here during the setting up phase (i.e. before MAIL FROM) then always defer, as
4423 the problem is not related to this specific message. */
4424
4425 if (!sx->ok)
4426   {
4427   int code, set_rc;
4428   uschar * set_message;
4429
4430   RESPONSE_FAILED:
4431     {
4432     save_errno = errno;
4433     message = NULL;
4434     /* Clear send_quit flag if needed.  Do not set. */
4435     sx->send_quit &= check_response(host, &save_errno, addrlist->more_errno,
4436       sx->buffer, &code, &message, &pass_message);
4437     goto FAILED;
4438     }
4439
4440   SEND_FAILED:
4441     {
4442     save_errno = errno;
4443     code = '4';
4444     message = string_sprintf("smtp send to %s [%s] failed: %s",
4445       host->name, host->address, message ? message : US strerror(save_errno));
4446     sx->send_quit = FALSE;
4447     goto FAILED;
4448     }
4449
4450   FAILED:
4451     {
4452     BOOL message_error;
4453
4454     sx->ok = FALSE;                /* For when reached by GOTO */
4455     set_message = message;
4456
4457   /* We want to handle timeouts after MAIL or "." and loss of connection after
4458   "." specially. They can indicate a problem with the sender address or with
4459   the contents of the message rather than a real error on the connection. These
4460   cases are treated in the same way as a 4xx response. This next bit of code
4461   does the classification. */
4462
4463     switch(save_errno)
4464       {
4465       case 0:
4466       case ERRNO_MAIL4XX:
4467       case ERRNO_DATA4XX:
4468         message_error = TRUE;
4469         break;
4470
4471       case ETIMEDOUT:
4472         message_error = Ustrncmp(smtp_command,"MAIL",4) == 0 ||
4473                         Ustrncmp(smtp_command,"end ",4) == 0;
4474         break;
4475
4476       case ERRNO_SMTPCLOSED:
4477         message_error = Ustrncmp(smtp_command,"end ",4) == 0;
4478         break;
4479
4480 #ifndef DISABLE_DKIM
4481       case EACCES:
4482         /* DKIM signing failure: avoid thinking we pipelined quit,
4483         just abandon the message and close the socket. */
4484
4485         message_error = FALSE;
4486 # ifndef DISABLE_TLS
4487         if (sx->cctx.tls_ctx)
4488           {
4489           tls_close(sx->cctx.tls_ctx,
4490                     sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4491           sx->cctx.tls_ctx = NULL;
4492           }
4493 # endif
4494         break;
4495 #endif
4496       default:
4497         message_error = FALSE;
4498         break;
4499       }
4500
4501     /* Handle the cases that are treated as message errors. These are:
4502
4503       (a) negative response or timeout after MAIL
4504       (b) negative response after DATA
4505       (c) negative response or timeout or dropped connection after "."
4506       (d) utf8 support required and not offered
4507
4508     It won't be a negative response or timeout after RCPT, as that is dealt
4509     with separately above. The action in all cases is to set an appropriate
4510     error code for all the addresses, but to leave yield set to OK because the
4511     host itself has not failed. Of course, it might in practice have failed
4512     when we've had a timeout, but if so, we'll discover that at the next
4513     delivery attempt. For a temporary error, set the message_defer flag, and
4514     write to the logs for information if this is not the last host. The error
4515     for the last host will be logged as part of the address's log line. */
4516
4517     if (message_error)
4518       {
4519       if (mua_wrapper) code = '5';  /* Force hard failure in wrapper mode */
4520
4521       /* If there's an errno, the message contains just the identity of
4522       the host. */
4523
4524       if (code == '5')
4525         set_rc = FAIL;
4526       else              /* Anything other than 5 is treated as temporary */
4527         {
4528         set_rc = DEFER;
4529         if (save_errno > 0)
4530           message = US string_sprintf("%s: %s", message, strerror(save_errno));
4531
4532         write_logs(host, message, sx->first_addr ? sx->first_addr->basic_errno : 0);
4533
4534         *message_defer = TRUE;
4535         }
4536 #ifdef TIOCOUTQ
4537       DEBUG(D_transport) if (sx->cctx.sock >= 0)
4538         {
4539         int n;
4540         if (ioctl(sx->cctx.sock, TIOCOUTQ, &n) == 0)
4541           debug_printf("%d bytes remain in socket output buffer\n", n);
4542         }
4543 #endif
4544       }
4545     /* Otherwise, we have an I/O error or a timeout other than after MAIL or
4546     ".", or some other transportation error. We defer all addresses and yield
4547     DEFER, except for the case of failed add_headers expansion, or a transport
4548     filter failure, when the yield should be ERROR, to stop it trying other
4549     hosts. */
4550
4551     else
4552       {
4553 #ifndef DISABLE_PIPE_CONNECT
4554       /* If we were early-pipelinng and the actual EHLO response did not match
4555       the cached value we assumed, we could have detected it and passed a
4556       custom errno through to here.  It would be nice to RSET and retry right
4557       away, but to reliably do that we eould need an extra synch point before
4558       we committed to data and that would discard half the gained roundrips.
4559       Or we could summarily drop the TCP connection. but that is also ugly.
4560       Instead, we ignore the possibility (having freshened the cache) and rely
4561       on the server telling us with a nonmessage error if we have tried to
4562       do something it no longer supports. */
4563 #endif
4564       set_rc = DEFER;
4565       yield = (save_errno == ERRNO_CHHEADER_FAIL ||
4566                save_errno == ERRNO_FILTER_FAIL) ? ERROR : DEFER;
4567       }
4568     }
4569
4570   set_errno(addrlist, save_errno, set_message, set_rc, pass_message, host,
4571 #ifdef EXPERIMENTAL_DSN_INFO
4572             sx->smtp_greeting, sx->helo_response,
4573 #endif
4574             &sx->delivery_start);
4575   }
4576
4577 /* If all has gone well, send_quit will be set TRUE, implying we can end the
4578 SMTP session tidily. However, if there were too many addresses to send in one
4579 message (indicated by first_addr being non-NULL) we want to carry on with the
4580 rest of them. Also, it is desirable to send more than one message down the SMTP
4581 connection if there are several waiting, provided we haven't already sent so
4582 many as to hit the configured limit. The function transport_check_waiting looks
4583 for a waiting message and returns its id. Then transport_pass_socket tries to
4584 set up a continued delivery by passing the socket on to another process. The
4585 variable send_rset is FALSE if a message has just been successfully transferred.
4586
4587 If we are already sending down a continued channel, there may be further
4588 addresses not yet delivered that are aimed at the same host, but which have not
4589 been passed in this run of the transport. In this case, continue_more will be
4590 true, and all we should do is send RSET if necessary, and return, leaving the
4591 channel open.
4592
4593 However, if no address was disposed of, i.e. all addresses got 4xx errors, we
4594 do not want to continue with other messages down the same channel, because that
4595 can lead to looping between two or more messages, all with the same,
4596 temporarily failing address(es). [The retry information isn't updated yet, so
4597 new processes keep on trying.] We probably also don't want to try more of this
4598 message's addresses either.
4599
4600 If we have started a TLS session, we have to end it before passing the
4601 connection to a new process. However, not all servers can handle this (Exim
4602 can), so we do not pass such a connection on if the host matches
4603 hosts_nopass_tls. */
4604
4605 DEBUG(D_transport)
4606   debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
4607     "yield=%d first_address is %sNULL\n", sx->ok, sx->send_quit,
4608     sx->send_rset, f.continue_more, yield, sx->first_addr ? "not " : "");
4609
4610 if (sx->completed_addr && sx->ok && sx->send_quit)
4611 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4612   if (mail_limit = continue_sequence >= sx->max_mail)
4613     {
4614     DEBUG(D_transport)
4615       debug_printf("reached limit %u for MAILs per conn\n", sx->max_mail);
4616     }
4617   else
4618 #endif
4619     {
4620     smtp_compare_t t_compare =
4621       {.tblock = tblock, .current_sender_address = sender_address};
4622
4623     if (  sx->first_addr                        /* more addrs for this message */
4624        || f.continue_more                       /* more addrs for continued-host */
4625        || tcw_done && tcw                       /* more messages for host */
4626        || (
4627 #ifndef DISABLE_TLS
4628              (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4629              || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4630              )
4631           &&
4632 #endif
4633              transport_check_waiting(tblock->name, host->name,
4634                sx->max_mail, new_message_id,
4635                (oicf)smtp_are_same_identities, (void*)&t_compare)
4636        )  )
4637       {
4638       uschar *msg;
4639       BOOL pass_message;
4640
4641       if (sx->send_rset)
4642         if (! (sx->ok = smtp_write_command(sx, SCMD_FLUSH, "RSET\r\n") >= 0))
4643           {
4644           msg = US string_sprintf("smtp send to %s [%s] failed: %s", host->name,
4645             host->address, strerror(errno));
4646           sx->send_quit = FALSE;
4647           }
4648         else if (! (sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4649                     '2', ob->command_timeout)))
4650           {
4651           int code;
4652           sx->send_quit = check_response(host, &errno, 0, sx->buffer, &code, &msg,
4653             &pass_message);
4654           if (!sx->send_quit)
4655             {
4656             DEBUG(D_transport) debug_printf("H=%s [%s] %s\n",
4657               host->name, host->address, msg);
4658             }
4659           }
4660
4661       /* Either RSET was not needed, or it succeeded */
4662
4663       if (sx->ok)
4664         {
4665 #ifndef DISABLE_TLS
4666         int pfd[2];
4667 #endif
4668         int socket_fd = sx->cctx.sock;
4669
4670         if (sx->first_addr)             /* More addresses still to be sent */
4671           {                             /*   for this message              */
4672 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4673           /* Any that we marked as skipped, reset to do now */
4674           for (address_item * a = sx->first_addr; a; a = a->next)
4675             if (a->transport_return == SKIP)
4676               a->transport_return = PENDING_DEFER;
4677 #endif
4678           continue_sequence++;                          /* for consistency */
4679           clearflag(sx->first_addr, af_new_conn);
4680           setflag(sx->first_addr, af_cont_conn);        /* Causes * in logging */
4681           pipelining_active = sx->pipelining_used;      /* was cleared at DATA */
4682           goto SEND_MESSAGE;
4683           }
4684
4685         /* Unless caller said it already has more messages listed for this host,
4686         pass the connection on to a new Exim process (below, the call to
4687         transport_pass_socket).  If the caller has more ready, just return with
4688         the connection still open. */
4689
4690 #ifndef DISABLE_TLS
4691         if (tls_out.active.sock >= 0)
4692           if (  f.continue_more
4693              || verify_check_given_host(CUSS &ob->hosts_noproxy_tls, host) == OK)
4694             {
4695             /* Before passing the socket on, or returning to caller with it still
4696             open, we must shut down TLS.  Not all MTAs allow for the continuation
4697             of the SMTP session when TLS is shut down. We test for this by sending
4698             a new EHLO. If we don't get a good response, we don't attempt to pass
4699             the socket on.
4700             NB: TLS close is *required* per RFC 9266 when tls-exporter info has
4701             been used, which we do under TLSv1.3 for the gsasl SCRAM*PLUS methods.
4702             But we were always doing it anyway. */
4703
4704           tls_close(sx->cctx.tls_ctx,
4705             sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4706           sx->send_tlsclose = FALSE;
4707           sx->cctx.tls_ctx = NULL;
4708           tls_out.active.sock = -1;
4709           smtp_peer_options = smtp_peer_options_wrap;
4710           sx->ok = !sx->smtps
4711             && smtp_write_command(sx, SCMD_FLUSH, "EHLO %s\r\n", sx->helo_data)
4712                 >= 0
4713             && smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4714                                       '2', ob->command_timeout);
4715
4716             if (sx->ok && f.continue_more)
4717               goto TIDYUP;              /* More addresses for another run */
4718             }
4719           else
4720             {
4721             /* Set up a pipe for proxying TLS for the new transport process */
4722
4723             smtp_peer_options |= OPTION_TLS;
4724             if ((sx->ok = socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
4725               socket_fd = pfd[1];
4726             else
4727               set_errno(sx->first_addr, errno, US"internal allocation problem",
4728                       DEFER, FALSE, host,
4729 # ifdef EXPERIMENTAL_DSN_INFO
4730                       sx->smtp_greeting, sx->helo_response,
4731 # endif
4732                       &sx->delivery_start);
4733             }
4734         else
4735 #endif
4736           if (f.continue_more)
4737             goto TIDYUP;                        /* More addresses for another run */
4738
4739         /* If the socket is successfully passed, we mustn't send QUIT (or
4740         indeed anything!) from here. */
4741
4742   /*XXX DSN_INFO: assume likely to do new HELO; but for greet we'll want to
4743   propagate it from the initial
4744   */
4745         if (sx->ok && transport_pass_socket(tblock->name, host->name,
4746               host->address, new_message_id, socket_fd
4747 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4748               , sx->peer_limit_mail, sx->peer_limit_rcpt, sx->peer_limit_rcptdom
4749 #endif
4750               ))
4751           {
4752           sx->send_quit = FALSE;
4753
4754           /* We have passed the client socket to a fresh transport process.
4755           If TLS is still active, we need to proxy it for the transport we
4756           just passed the baton to.  Fork a child to to do it, and return to
4757           get logging done asap.  Which way to place the work makes assumptions
4758           about post-fork prioritisation which may not hold on all platforms. */
4759 #ifndef DISABLE_TLS
4760           if (tls_out.active.sock >= 0)
4761             {
4762             int pid = exim_fork(US"tls-proxy-interproc");
4763             if (pid == 0)               /* child; fork again to disconnect totally */
4764               {
4765               /* does not return */
4766               smtp_proxy_tls(sx->cctx.tls_ctx, sx->buffer, sizeof(sx->buffer), pfd,
4767                               ob->command_timeout, host->name);
4768               }
4769
4770             if (pid > 0)                /* parent */
4771               {
4772               close(pfd[0]);
4773               /* tidy the inter-proc to disconn the proxy proc */
4774               waitpid(pid, NULL, 0);
4775               tls_close(sx->cctx.tls_ctx, TLS_NO_SHUTDOWN);
4776               sx->cctx.tls_ctx = NULL;
4777               (void)close(sx->cctx.sock);
4778               sx->cctx.sock = -1;
4779               continue_transport = NULL;
4780               continue_hostname = NULL;
4781               goto TIDYUP;
4782               }
4783             log_write(0, LOG_PANIC_DIE, "fork failed");
4784             }
4785 #endif
4786           }
4787         }
4788
4789       /* If RSET failed and there are addresses left, they get deferred. */
4790       else
4791         set_errno(sx->first_addr, errno, msg, DEFER, FALSE, host,
4792 #ifdef EXPERIMENTAL_DSN_INFO
4793                     sx->smtp_greeting, sx->helo_response,
4794 #endif
4795                     &sx->delivery_start);
4796       }
4797     }
4798
4799 /* End off tidily with QUIT unless the connection has died or the socket has
4800 been passed to another process. */
4801
4802 SEND_QUIT:
4803 if (sx->send_quit)
4804   {                     /* Use _MORE to get QUIT in FIN segment */
4805   (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4806 #ifndef DISABLE_TLS
4807   if (sx->cctx.tls_ctx && sx->send_tlsclose)
4808     {
4809 # ifdef EXIM_TCP_CORK   /* Use _CORK to get TLS Close Notify in FIN segment */
4810     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4811 # endif
4812     tls_shutdown_wr(sx->cctx.tls_ctx);
4813     sx->send_tlsclose = FALSE;
4814     }
4815 #endif
4816   }
4817
4818 END_OFF:
4819
4820 /* Close the socket, and return the appropriate value, first setting
4821 works because the NULL setting is passed back to the calling process, and
4822 remote_max_parallel is forced to 1 when delivering over an existing connection,
4823
4824 If all went well and continue_more is set, we shouldn't actually get here if
4825 there are further addresses, as the return above will be taken. However,
4826 writing RSET might have failed, or there may be other addresses whose hosts are
4827 specified in the transports, and therefore not visible at top level, in which
4828 case continue_more won't get set. */
4829
4830 if (sx->send_quit)
4831   {
4832   /* This flushes data queued in the socket, being the QUIT and any TLS Close,
4833   sending them along with the client FIN flag.  Us (we hope) sending FIN first
4834   means we (client) take the TIME_WAIT state, so the server (which likely has a
4835   higher connection rate) does not have to. */
4836
4837   HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4838   shutdown(sx->cctx.sock, SHUT_WR);
4839   }
4840
4841 if (sx->send_quit || tcw_done && !tcw)
4842   {
4843   /* Wait for (we hope) ack of our QUIT, and a server FIN.  Discard any data
4844   received, then discard the socket.  Any packet received after then, or receive
4845   data still in the socket, will get a RST - hence the pause/drain. */
4846
4847   /* Reap the response to QUIT, timing out after one second */
4848   (void) smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2', 1);
4849 #ifndef DISABLE_TLS
4850   if (sx->cctx.tls_ctx)
4851     {
4852     int n;
4853
4854     /* Reap the TLS Close Notify from the server, timing out after one second */
4855     sigalrm_seen = FALSE;
4856     ALARM(1);
4857     do
4858       n = tls_read(sx->cctx.tls_ctx, sx->inbuffer, sizeof(sx->inbuffer));
4859     while (!sigalrm_seen && n > 0);
4860     ALARM_CLR(0);
4861
4862     if (sx->send_tlsclose)
4863       {
4864 # ifdef EXIM_TCP_CORK
4865       (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4866 # endif
4867       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WAIT);
4868       }
4869     else
4870       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WONLY);
4871     sx->cctx.tls_ctx = NULL;
4872     }
4873 #endif
4874
4875   /* Drain any trailing data from the socket before close, to avoid sending a RST */
4876
4877   if (  poll_one_fd(sx->cctx.sock, POLLIN, 20) != 0             /* 20ms */
4878      && fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
4879     for (int i = 16, n;                                         /* drain socket */
4880          (n = read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer))) > 0 && i > 0;
4881          i--) HDEBUG(D_transport|D_acl|D_v)
4882       {
4883       int m = MIN(n, 64);
4884       debug_printf_indent("  SMTP(drain %d bytes)<< %.*s\n", n, m, sx->inbuffer);
4885       for (m = 0; m < n; m++)
4886         debug_printf("0x%02x\n", sx->inbuffer[m]);
4887       }
4888   }
4889 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
4890 (void)close(sx->cctx.sock);
4891 sx->cctx.sock = -1;
4892 continue_transport = NULL;
4893 continue_hostname = NULL;
4894 smtp_debug_cmd_report();
4895
4896 #ifndef DISABLE_EVENT
4897 (void) event_raise(tblock->event_action, US"tcp:close", NULL, NULL);
4898 #endif
4899
4900 #ifdef SUPPORT_DANE
4901 if (dane_held)
4902   {
4903   sx->first_addr = NULL;
4904   for (address_item * a = sx->addrlist->next; a; a = a->next)
4905     if (a->transport_return == DANE)
4906       {
4907       a->transport_return = PENDING_DEFER;
4908       if (!sx->first_addr)
4909         {
4910         /* Remember the new start-point in the addrlist, for smtp_setup_conn()
4911         to get the domain string for SNI */
4912
4913         sx->first_addr = a;
4914         clearflag(a, af_cont_conn);
4915         setflag(a, af_new_conn);                /* clear * from logging */
4916         DEBUG(D_transport) debug_printf("DANE: go-around for %s\n", a->domain);
4917         }
4918       }
4919   continue_sequence = 1;                        /* for consistency */
4920   goto REPEAT_CONN;
4921   }
4922 #endif
4923
4924 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4925 if (mail_limit && sx->first_addr)
4926   {
4927   /* Reset the sequence count since we closed the connection.  This is flagged
4928   on the pipe back to the delivery process so that a non-continued-conn delivery
4929   is logged. */
4930
4931   continue_sequence = 1;                        /* for consistency */
4932   clearflag(sx->first_addr, af_cont_conn);
4933   setflag(sx->first_addr, af_new_conn);         /* clear  * from logging */
4934   goto REPEAT_CONN;
4935   }
4936 #endif
4937
4938 return yield;
4939
4940 TIDYUP:
4941 #ifdef SUPPORT_DANE
4942 if (dane_held) for (address_item * a = sx->addrlist->next; a; a = a->next)
4943   if (a->transport_return == DANE)
4944     a->transport_return = PENDING_DEFER;
4945 #endif
4946 return yield;
4947 }
4948
4949
4950
4951
4952 /*************************************************
4953 *              Closedown entry point             *
4954 *************************************************/
4955
4956 /* This function is called when exim is passed an open smtp channel
4957 from another incarnation, but the message which it has been asked
4958 to deliver no longer exists. The channel is on stdin.
4959
4960 We might do fancy things like looking for another message to send down
4961 the channel, but if the one we sought has gone, it has probably been
4962 delivered by some other process that itself will seek further messages,
4963 so just close down our connection.
4964
4965 Argument:   pointer to the transport instance block
4966 Returns:    nothing
4967 */
4968
4969 void
4970 smtp_transport_closedown(transport_instance *tblock)
4971 {
4972 smtp_transport_options_block * ob = SOB tblock->options_block;
4973 client_conn_ctx cctx;
4974 smtp_context sx;
4975 uschar buffer[256];
4976 uschar inbuffer[4096];
4977 uschar outbuffer[16];
4978
4979 /*XXX really we need an active-smtp-client ctx, rather than assuming stdout */
4980 cctx.sock = fileno(stdin);
4981 cctx.tls_ctx = cctx.sock == tls_out.active.sock ? tls_out.active.tls_ctx : NULL;
4982
4983 sx.inblock.cctx = &cctx;
4984 sx.inblock.buffer = inbuffer;
4985 sx.inblock.buffersize = sizeof(inbuffer);
4986 sx.inblock.ptr = inbuffer;
4987 sx.inblock.ptrend = inbuffer;
4988
4989 sx.outblock.cctx = &cctx;
4990 sx.outblock.buffersize = sizeof(outbuffer);
4991 sx.outblock.buffer = outbuffer;
4992 sx.outblock.ptr = outbuffer;
4993 sx.outblock.cmd_count = 0;
4994 sx.outblock.authenticating = FALSE;
4995
4996 (void)smtp_write_command(&sx, SCMD_FLUSH, "QUIT\r\n");
4997 (void)smtp_read_response(&sx, buffer, sizeof(buffer), '2', ob->command_timeout);
4998 (void)close(cctx.sock);
4999 }
5000
5001
5002
5003 /*************************************************
5004 *            Prepare addresses for delivery      *
5005 *************************************************/
5006
5007 /* This function is called to flush out error settings from previous delivery
5008 attempts to other hosts. It also records whether we got here via an MX record
5009 or not in the more_errno field of the address. We are interested only in
5010 addresses that are still marked DEFER - others may have got delivered to a
5011 previously considered IP address. Set their status to PENDING_DEFER to indicate
5012 which ones are relevant this time.
5013
5014 Arguments:
5015   addrlist     the list of addresses
5016   host         the host we are delivering to
5017
5018 Returns:       the first address for this delivery
5019 */
5020
5021 static address_item *
5022 prepare_addresses(address_item *addrlist, host_item *host)
5023 {
5024 address_item *first_addr = NULL;
5025 for (address_item * addr = addrlist; addr; addr = addr->next)
5026   if (addr->transport_return == DEFER)
5027     {
5028     if (!first_addr) first_addr = addr;
5029     addr->transport_return = PENDING_DEFER;
5030     addr->basic_errno = 0;
5031     addr->more_errno = (host->mx >= 0)? 'M' : 'A';
5032     addr->message = NULL;
5033 #ifndef DISABLE_TLS
5034     addr->cipher = NULL;
5035     addr->ourcert = NULL;
5036     addr->peercert = NULL;
5037     addr->peerdn = NULL;
5038     addr->ocsp = OCSP_NOT_REQ;
5039     addr->tlsver = NULL;
5040 #endif
5041 #ifdef EXPERIMENTAL_DSN_INFO
5042     addr->smtp_greeting = NULL;
5043     addr->helo_response = NULL;
5044 #endif
5045     }
5046 return first_addr;
5047 }
5048
5049
5050
5051 /*************************************************
5052 *              Main entry point                  *
5053 *************************************************/
5054
5055 /* See local README for interface details. As this is a remote transport, it is
5056 given a chain of addresses to be delivered in one connection, if possible. It
5057 always returns TRUE, indicating that each address has its own independent
5058 status set, except if there is a setting up problem, in which case it returns
5059 FALSE. */
5060
5061 BOOL
5062 smtp_transport_entry(
5063   transport_instance *tblock,      /* data for this instantiation */
5064   address_item *addrlist)          /* addresses we are working on */
5065 {
5066 int defport;
5067 int hosts_defer = 0;
5068 int hosts_fail  = 0;
5069 int hosts_looked_up = 0;
5070 int hosts_retry = 0;
5071 int hosts_serial = 0;
5072 int hosts_total = 0;
5073 int total_hosts_tried = 0;
5074 BOOL expired = TRUE;
5075 uschar *expanded_hosts = NULL;
5076 uschar *pistring;
5077 uschar *tid = string_sprintf("%s transport", tblock->name);
5078 smtp_transport_options_block *ob = SOB tblock->options_block;
5079 host_item *hostlist = addrlist->host_list;
5080 host_item *host = NULL;
5081
5082 DEBUG(D_transport)
5083   {
5084   debug_printf("%s transport entered\n", tblock->name);
5085   for (address_item * addr = addrlist; addr; addr = addr->next)
5086     debug_printf("  %s\n", addr->address);
5087   if (hostlist)
5088     {
5089     debug_printf("hostlist:\n");
5090     for (host_item * host = hostlist; host; host = host->next)
5091       debug_printf("  '%s' IP %s port %d\n", host->name, host->address, host->port);
5092     }
5093   if (continue_hostname)
5094     debug_printf("already connected to %s [%s] (on fd %d)\n",
5095       continue_hostname, continue_host_address,
5096       cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0);
5097   }
5098
5099 /* Check the restrictions on line length */
5100
5101 if (max_received_linelength > ob->message_linelength_limit)
5102   {
5103   struct timeval now;
5104   gettimeofday(&now, NULL);
5105
5106   for (address_item * addr = addrlist; addr; addr = addr->next)
5107     if (addr->transport_return == DEFER)
5108       addr->transport_return = PENDING_DEFER;
5109
5110   set_errno_nohost(addrlist, ERRNO_SMTPFORMAT,
5111     US"message has lines too long for transport", FAIL, TRUE, &now);
5112   goto END_TRANSPORT;
5113   }
5114
5115 /* Set the flag requesting that these hosts be added to the waiting
5116 database if the delivery fails temporarily or if we are running with
5117 queue_smtp or a 2-stage queue run. This gets unset for certain
5118 kinds of error, typically those that are specific to the message. */
5119
5120 update_waiting =  TRUE;
5121
5122 /* If a host list is not defined for the addresses - they must all have the
5123 same one in order to be passed to a single transport - or if the transport has
5124 a host list with hosts_override set, use the host list supplied with the
5125 transport. It is an error for this not to exist. */
5126
5127 if (!hostlist || (ob->hosts_override && ob->hosts))
5128   {
5129   if (!ob->hosts)
5130     {
5131     addrlist->message = string_sprintf("%s transport called with no hosts set",
5132       tblock->name);
5133     addrlist->transport_return = PANIC;
5134     return FALSE;   /* Only top address has status */
5135     }
5136
5137   DEBUG(D_transport) debug_printf("using the transport's hosts: %s\n",
5138     ob->hosts);
5139
5140   /* If the transport's host list contains no '$' characters, and we are not
5141   randomizing, it is fixed and therefore a chain of hosts can be built once
5142   and for all, and remembered for subsequent use by other calls to this
5143   transport. If, on the other hand, the host list does contain '$', or we are
5144   randomizing its order, we have to rebuild it each time. In the fixed case,
5145   as the hosts string will never be used again, it doesn't matter that we
5146   replace all the : characters with zeros. */
5147
5148   if (!ob->hostlist)
5149     {
5150     uschar *s = ob->hosts;
5151
5152     if (Ustrchr(s, '$'))
5153       {
5154       if (!(expanded_hosts = expand_string(s)))
5155         {
5156         addrlist->message = string_sprintf("failed to expand list of hosts "
5157           "\"%s\" in %s transport: %s", s, tblock->name, expand_string_message);
5158         addrlist->transport_return = f.search_find_defer ? DEFER : PANIC;
5159         return FALSE;     /* Only top address has status */
5160         }
5161       DEBUG(D_transport) debug_printf("expanded list of hosts \"%s\" to "
5162         "\"%s\"\n", s, expanded_hosts);
5163       s = expanded_hosts;
5164       }
5165     else
5166       if (ob->hosts_randomize) s = expanded_hosts = string_copy(s);
5167
5168     if (is_tainted(s))
5169       {
5170       log_write(0, LOG_MAIN|LOG_PANIC,
5171         "attempt to use tainted host list '%s' from '%s' in transport %s",
5172         s, ob->hosts, tblock->name);
5173       /* Avoid leaking info to an attacker */
5174       addrlist->message = US"internal configuration error";
5175       addrlist->transport_return = PANIC;
5176       return FALSE;
5177       }
5178
5179     host_build_hostlist(&hostlist, s, ob->hosts_randomize);
5180
5181     /* Check that the expansion yielded something useful. */
5182     if (!hostlist)
5183       {
5184       addrlist->message =
5185         string_sprintf("%s transport has empty hosts setting", tblock->name);
5186       addrlist->transport_return = PANIC;
5187       return FALSE;   /* Only top address has status */
5188       }
5189
5190     /* If there was no expansion of hosts, save the host list for
5191     next time. */
5192
5193     if (!expanded_hosts) ob->hostlist = hostlist;
5194     }
5195
5196   /* This is not the first time this transport has been run in this delivery;
5197   the host list was built previously. */
5198
5199   else
5200     hostlist = ob->hostlist;
5201   }
5202
5203 /* The host list was supplied with the address. If hosts_randomize is set, we
5204 must sort it into a random order if it did not come from MX records and has not
5205 already been randomized (but don't bother if continuing down an existing
5206 connection). */
5207
5208 else if (ob->hosts_randomize && hostlist->mx == MX_NONE && !continue_hostname)
5209   {
5210   host_item *newlist = NULL;
5211   while (hostlist)
5212     {
5213     host_item *h = hostlist;
5214     hostlist = hostlist->next;
5215
5216     h->sort_key = random_number(100);
5217
5218     if (!newlist)
5219       {
5220       h->next = NULL;
5221       newlist = h;
5222       }
5223     else if (h->sort_key < newlist->sort_key)
5224       {
5225       h->next = newlist;
5226       newlist = h;
5227       }
5228     else
5229       {
5230       host_item *hh = newlist;
5231       while (hh->next)
5232         {
5233         if (h->sort_key < hh->next->sort_key) break;
5234         hh = hh->next;
5235         }
5236       h->next = hh->next;
5237       hh->next = h;
5238       }
5239     }
5240
5241   hostlist = addrlist->host_list = newlist;
5242   }
5243
5244 /* Sort out the default port.  */
5245
5246 if (!smtp_get_port(ob->port, addrlist, &defport, tid)) return FALSE;
5247
5248 /* For each host-plus-IP-address on the list:
5249
5250 .  If this is a continued delivery and the host isn't the one with the
5251    current connection, skip.
5252
5253 .  If the status is unusable (i.e. previously failed or retry checked), skip.
5254
5255 .  If no IP address set, get the address, either by turning the name into
5256    an address, calling gethostbyname if gethostbyname is on, or by calling
5257    the DNS. The DNS may yield multiple addresses, in which case insert the
5258    extra ones into the list.
5259
5260 .  Get the retry data if not previously obtained for this address and set the
5261    field which remembers the state of this address. Skip if the retry time is
5262    not reached. If not, remember whether retry data was found. The retry string
5263    contains both the name and the IP address.
5264
5265 .  Scan the list of addresses and mark those whose status is DEFER as
5266    PENDING_DEFER. These are the only ones that will be processed in this cycle
5267    of the hosts loop.
5268
5269 .  Make a delivery attempt - addresses marked PENDING_DEFER will be tried.
5270    Some addresses may be successfully delivered, others may fail, and yet
5271    others may get temporary errors and so get marked DEFER.
5272
5273 .  The return from the delivery attempt is OK if a connection was made and a
5274    valid SMTP dialogue was completed. Otherwise it is DEFER.
5275
5276 .  If OK, add a "remove" retry item for this host/IPaddress, if any.
5277
5278 .  If fail to connect, or other defer state, add a retry item.
5279
5280 .  If there are any addresses whose status is still DEFER, carry on to the
5281    next host/IPaddress, unless we have tried the number of hosts given
5282    by hosts_max_try or hosts_max_try_hardlimit; otherwise return. Note that
5283    there is some fancy logic for hosts_max_try that means its limit can be
5284    overstepped in some circumstances.
5285
5286 If we get to the end of the list, all hosts have deferred at least one address,
5287 or not reached their retry times. If delay_after_cutoff is unset, it requests a
5288 delivery attempt to those hosts whose last try was before the arrival time of
5289 the current message. To cope with this, we have to go round the loop a second
5290 time. After that, set the status and error data for any addresses that haven't
5291 had it set already. */
5292
5293 for (int cutoff_retry = 0;
5294      expired && cutoff_retry < (ob->delay_after_cutoff ? 1 : 2);
5295      cutoff_retry++)
5296   {
5297   host_item *nexthost = NULL;
5298   int unexpired_hosts_tried = 0;
5299   BOOL continue_host_tried = FALSE;
5300
5301 retry_non_continued:
5302   for (host = hostlist;
5303           host
5304        && unexpired_hosts_tried < ob->hosts_max_try
5305        && total_hosts_tried < ob->hosts_max_try_hardlimit;
5306        host = nexthost)
5307     {
5308     int rc;
5309     int host_af;
5310     BOOL host_is_expired = FALSE;
5311     BOOL message_defer = FALSE;
5312     BOOL some_deferred = FALSE;
5313     address_item *first_addr = NULL;
5314     uschar *interface = NULL;
5315     uschar *retry_host_key = NULL;
5316     uschar *retry_message_key = NULL;
5317     uschar *serialize_key = NULL;
5318
5319     /* Deal slightly better with a possible Linux kernel bug that results
5320     in intermittent TFO-conn fails deep into the TCP flow.  Bug 2907 tracks.
5321     Hack: Clear TFO option for any further hosts on this tpt run. */
5322
5323     if (total_hosts_tried > 0)
5324       {
5325       DEBUG(D_transport|D_acl|D_v)
5326         debug_printf("Clearing TFO as not first host for message\n");
5327       ob->hosts_try_fastopen = US"";
5328       }
5329
5330     /* Default next host is next host. :-) But this can vary if the
5331     hosts_max_try limit is hit (see below). It may also be reset if a host
5332     address is looked up here (in case the host was multihomed). */
5333
5334     nexthost = host->next;
5335
5336     /* If the address hasn't yet been obtained from the host name, look it up
5337     now, unless the host is already marked as unusable. If it is marked as
5338     unusable, it means that the router was unable to find its IP address (in
5339     the DNS or wherever) OR we are in the 2nd time round the cutoff loop, and
5340     the lookup failed last time. We don't get this far if *all* MX records
5341     point to non-existent hosts; that is treated as a hard error.
5342
5343     We can just skip this host entirely. When the hosts came from the router,
5344     the address will timeout based on the other host(s); when the address is
5345     looked up below, there is an explicit retry record added.
5346
5347     Note that we mustn't skip unusable hosts if the address is not unset; they
5348     may be needed as expired hosts on the 2nd time round the cutoff loop. */
5349
5350     if (!host->address)
5351       {
5352       int new_port, flags;
5353
5354       if (host->status >= hstatus_unusable)
5355         {
5356         DEBUG(D_transport) debug_printf("%s has no address and is unusable - skipping\n",
5357           host->name);
5358         continue;
5359         }
5360
5361       DEBUG(D_transport) debug_printf("getting address for %s\n", host->name);
5362
5363       /* The host name is permitted to have an attached port. Find it, and
5364       strip it from the name. Just remember it for now. */
5365
5366       new_port = host_item_get_port(host);
5367
5368       /* Count hosts looked up */
5369
5370       hosts_looked_up++;
5371
5372       /* Find by name if so configured, or if it's an IP address. We don't
5373       just copy the IP address, because we need the test-for-local to happen. */
5374
5375       flags = HOST_FIND_BY_A | HOST_FIND_BY_AAAA;
5376       if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
5377       if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
5378
5379       if (ob->gethostbyname || string_is_ip_address(host->name, NULL) != 0)
5380         rc = host_find_byname(host, NULL, flags, NULL, TRUE);
5381       else
5382         rc = host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
5383           &ob->dnssec,          /* domains for request/require */
5384           NULL, NULL);
5385
5386       /* Update the host (and any additional blocks, resulting from
5387       multihoming) with a host-specific port, if any. */
5388
5389       for (host_item * hh = host; hh != nexthost; hh = hh->next) hh->port = new_port;
5390
5391       /* Failure to find the host at this time (usually DNS temporary failure)
5392       is really a kind of routing failure rather than a transport failure.
5393       Therefore we add a retry item of the routing kind, not to stop us trying
5394       to look this name up here again, but to ensure the address gets timed
5395       out if the failures go on long enough. A complete failure at this point
5396       commonly points to a configuration error, but the best action is still
5397       to carry on for the next host. */
5398
5399       if (rc == HOST_FIND_AGAIN || rc == HOST_FIND_SECURITY || rc == HOST_FIND_FAILED)
5400         {
5401         retry_add_item(addrlist, string_sprintf("R:%s", host->name), 0);
5402         expired = FALSE;
5403         if (rc == HOST_FIND_AGAIN) hosts_defer++; else hosts_fail++;
5404         DEBUG(D_transport) debug_printf("rc = %s for %s\n", (rc == HOST_FIND_AGAIN)?
5405           "HOST_FIND_AGAIN" : "HOST_FIND_FAILED", host->name);
5406         host->status = hstatus_unusable;
5407
5408         for (address_item * addr = addrlist; addr; addr = addr->next)
5409           {
5410           if (addr->transport_return != DEFER) continue;
5411           addr->basic_errno = ERRNO_UNKNOWNHOST;
5412           addr->message = string_sprintf(
5413             rc == HOST_FIND_SECURITY
5414               ? "lookup of IP address for %s was insecure"
5415               : "failed to lookup IP address for %s",
5416             host->name);
5417           }
5418         continue;
5419         }
5420
5421       /* If the host is actually the local host, we may have a problem, or
5422       there may be some cunning configuration going on. In the problem case,
5423       log things and give up. The default transport status is already DEFER. */
5424
5425       if (rc == HOST_FOUND_LOCAL && !ob->allow_localhost)
5426         {
5427         for (address_item * addr = addrlist; addr; addr = addr->next)
5428           {
5429           addr->basic_errno = ERRNO_HOST_IS_LOCAL;
5430           addr->message = string_sprintf("%s transport found host %s to be "
5431             "local", tblock->name, host->name);
5432           }
5433         goto END_TRANSPORT;
5434         }
5435       }   /* End of block for IP address lookup */
5436
5437     /* If this is a continued delivery, we are interested only in the host
5438     which matches the name of the existing open channel. The check is put
5439     here after the local host lookup, in case the name gets expanded as a
5440     result of the lookup. Set expired FALSE, to save the outer loop executing
5441     twice. */
5442
5443     if (continue_hostname)
5444       if (  Ustrcmp(continue_hostname, host->name) != 0
5445          || Ustrcmp(continue_host_address, host->address) != 0
5446          )
5447         {
5448         expired = FALSE;
5449         continue;      /* With next host */
5450         }
5451       else
5452         continue_host_tried = TRUE;
5453
5454     /* Reset the default next host in case a multihomed host whose addresses
5455     are not looked up till just above added to the host list. */
5456
5457     nexthost = host->next;
5458
5459     /* If queue_smtp is set (-odqs or the first part of a 2-stage run), or the
5460     domain is in queue_smtp_domains, we don't actually want to attempt any
5461     deliveries. When doing a queue run, queue_smtp_domains is always unset. If
5462     there is a lookup defer in queue_smtp_domains, proceed as if the domain
5463     were not in it. We don't want to hold up all SMTP deliveries! Except when
5464     doing a two-stage queue run, don't do this if forcing. */
5465
5466     if (  (!f.deliver_force || f.queue_2stage)
5467        && (  f.queue_smtp
5468           || match_isinlist(addrlist->domain,
5469               CUSS &queue_smtp_domains, 0,
5470               &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK)
5471        )
5472       {
5473       DEBUG(D_transport) debug_printf("first-pass routing only\n");
5474       expired = FALSE;
5475       for (address_item * addr = addrlist; addr; addr = addr->next)
5476         if (addr->transport_return == DEFER)
5477           addr->message = US"first-pass only routing due to -odqs, "
5478                             "queue_smtp_domains or control=queue";
5479       continue;      /* With next host */
5480       }
5481
5482     /* Count hosts being considered - purely for an intelligent comment
5483     if none are usable. */
5484
5485     hosts_total++;
5486
5487     /* Set $host and $host address now in case they are needed for the
5488     interface expansion or the serialize_hosts check; they remain set if an
5489     actual delivery happens. */
5490
5491     deliver_host = host->name;
5492     deliver_host_address = host->address;
5493     lookup_dnssec_authenticated = host->dnssec == DS_YES ? US"yes"
5494                                 : host->dnssec == DS_NO ? US"no"
5495                                 : US"";
5496
5497     /* Set up a string for adding to the retry key if the port number is not
5498     the standard SMTP port. A host may have its own port setting that overrides
5499     the default. */
5500
5501     pistring = string_sprintf(":%d", host->port == PORT_NONE
5502       ? defport : host->port);
5503     if (Ustrcmp(pistring, ":25") == 0) pistring = US"";
5504
5505     /* Select IPv4 or IPv6, and choose an outgoing interface. If the interface
5506     string is set, even if constant (as different transports can have different
5507     constant settings), we must add it to the key that is used for retries,
5508     because connections to the same host from a different interface should be
5509     treated separately. */
5510
5511     host_af = Ustrchr(host->address, ':') ? AF_INET6 : AF_INET;
5512       {
5513       uschar * s = ob->interface;
5514       if (s && *s)
5515         {
5516         if (!smtp_get_interface(s, host_af, addrlist, &interface, tid))
5517           return FALSE;
5518         pistring = string_sprintf("%s/%s", pistring, interface);
5519         }
5520       }
5521
5522     /* The first time round the outer loop, check the status of the host by
5523     inspecting the retry data. The second time round, we are interested only
5524     in expired hosts that haven't been tried since this message arrived. */
5525
5526     if (cutoff_retry == 0)
5527       {
5528       BOOL incl_ip;
5529       /* Ensure the status of the address is set by checking retry data if
5530       necessary. There may be host-specific retry data (applicable to all
5531       messages) and also data for retries of a specific message at this host.
5532       If either of these retry records are actually read, the keys used are
5533       returned to save recomputing them later. */
5534
5535       if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5536                 US"retry_include_ip_address", ob->retry_include_ip_address,
5537                 ob->expand_retry_include_ip_address, &incl_ip) != OK)
5538         continue;       /* with next host */
5539
5540       host_is_expired = retry_check_address(addrlist->domain, host, pistring,
5541         incl_ip, &retry_host_key, &retry_message_key);
5542
5543       DEBUG(D_transport) debug_printf("%s [%s]%s retry-status = %s\n", host->name,
5544         host->address ? host->address : US"", pistring,
5545         host->status == hstatus_usable ? "usable"
5546         : host->status == hstatus_unusable ? "unusable"
5547         : host->status == hstatus_unusable_expired ? "unusable (expired)" : "?");
5548
5549       /* Skip this address if not usable at this time, noting if it wasn't
5550       actually expired, both locally and in the address. */
5551
5552       switch (host->status)
5553         {
5554         case hstatus_unusable:
5555           expired = FALSE;
5556           setflag(addrlist, af_retry_skipped);
5557           /* Fall through */
5558
5559         case hstatus_unusable_expired:
5560           switch (host->why)
5561             {
5562             case hwhy_retry: hosts_retry++; break;
5563             case hwhy_failed:  hosts_fail++; break;
5564             case hwhy_insecure:
5565             case hwhy_deferred: hosts_defer++; break;
5566             }
5567
5568           /* If there was a retry message key, implying that previously there
5569           was a message-specific defer, we don't want to update the list of
5570           messages waiting for these hosts. */
5571
5572           if (retry_message_key) update_waiting = FALSE;
5573           continue;   /* With the next host or IP address */
5574         }
5575       }
5576
5577     /* Second time round the loop: if the address is set but expired, and
5578     the message is newer than the last try, let it through. */
5579
5580     else
5581       {
5582       if (  !host->address
5583          || host->status != hstatus_unusable_expired
5584          || host->last_try > received_time.tv_sec)
5585         continue;
5586       DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
5587           host->name, host->address, pistring);
5588       host_is_expired = TRUE;
5589       }
5590
5591     /* Setting "expired=FALSE" doesn't actually mean not all hosts are expired;
5592     it remains TRUE only if all hosts are expired and none are actually tried.
5593     */
5594
5595     expired = FALSE;
5596
5597     /* If this host is listed as one to which access must be serialized,
5598     see if another Exim process has a connection to it, and if so, skip
5599     this host. If not, update the database to record our connection to it
5600     and remember this for later deletion. Do not do any of this if we are
5601     sending the message down a pre-existing connection. */
5602
5603     if (  !continue_hostname
5604        && verify_check_given_host(CUSS &ob->serialize_hosts, host) == OK)
5605       {
5606       serialize_key = string_sprintf("host-serialize-%s", host->name);
5607       if (!enq_start(serialize_key, 1))
5608         {
5609         DEBUG(D_transport)
5610           debug_printf("skipping host %s because another Exim process "
5611             "is connected to it\n", host->name);
5612         hosts_serial++;
5613         continue;
5614         }
5615       }
5616
5617     /* OK, we have an IP address that is not waiting for its retry time to
5618     arrive (it might be expired) OR (second time round the loop) we have an
5619     expired host that hasn't been tried since the message arrived. Have a go
5620     at delivering the message to it. First prepare the addresses by flushing
5621     out the result of previous attempts, and finding the first address that
5622     is still to be delivered. */
5623
5624     first_addr = prepare_addresses(addrlist, host);
5625
5626     DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
5627       message_id, host->name, host->address, addrlist->address,
5628       addrlist->next ? ", ..." : "");
5629
5630     set_process_info("delivering %s to %s [%s]%s (%s%s)",
5631       message_id, host->name, host->address, pistring, addrlist->address,
5632       addrlist->next ? ", ..." : "");
5633
5634     /* This is not for real; don't do the delivery. If there are
5635     any remaining hosts, list them. */
5636
5637     if (f.dont_deliver)
5638       {
5639       struct timeval now;
5640       gettimeofday(&now, NULL);
5641       set_errno_nohost(addrlist, 0, NULL, OK, FALSE, &now);
5642       for (address_item * addr = addrlist; addr; addr = addr->next)
5643         {
5644         addr->host_used = host;
5645         addr->special_action = '*';
5646         addr->message = US"delivery bypassed by -N option";
5647         }
5648       DEBUG(D_transport)
5649         {
5650         debug_printf("*** delivery by %s transport bypassed by -N option\n"
5651                      "*** host and remaining hosts:\n", tblock->name);
5652         for (host_item * host2 = host; host2; host2 = host2->next)
5653           debug_printf("    %s [%s]\n", host2->name,
5654             host2->address ? host2->address : US"unset");
5655         }
5656       rc = OK;
5657       }
5658
5659     /* This is for real. If the host is expired, we don't count it for
5660     hosts_max_retry. This ensures that all hosts must expire before an address
5661     is timed out, unless hosts_max_try_hardlimit (which protects against
5662     lunatic DNS configurations) is reached.
5663
5664     If the host is not expired and we are about to hit the hosts_max_retry
5665     limit, check to see if there is a subsequent hosts with a different MX
5666     value. If so, make that the next host, and don't count this one. This is a
5667     heuristic to make sure that different MXs do get tried. With a normal kind
5668     of retry rule, they would get tried anyway when the earlier hosts were
5669     delayed, but if the domain has a "retry every time" type of rule - as is
5670     often used for the the very large ISPs, that won't happen. */
5671
5672     else
5673       {
5674       host_item * thost;
5675       /* Make a copy of the host if it is local to this invocation
5676        of the transport. */
5677
5678       if (expanded_hosts)
5679         {
5680         thost = store_get(sizeof(host_item), GET_UNTAINTED);
5681         *thost = *host;
5682         thost->name = string_copy(host->name);
5683         thost->address = string_copy(host->address);
5684         }
5685       else
5686         thost = host;
5687
5688       if (!host_is_expired && ++unexpired_hosts_tried >= ob->hosts_max_try)
5689         {
5690         DEBUG(D_transport)
5691           debug_printf("hosts_max_try limit reached with this host\n");
5692         for (host_item * h = host; h; h = h->next) if (h->mx != host->mx)
5693           {
5694           nexthost = h;
5695           unexpired_hosts_tried--;
5696           DEBUG(D_transport) debug_printf("however, a higher MX host exists "
5697             "and will be tried\n");
5698           break;
5699           }
5700         }
5701
5702       /* Attempt the delivery. */
5703
5704       total_hosts_tried++;
5705       rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5706         &message_defer, FALSE);
5707
5708       /* Yield is one of:
5709          OK     => connection made, each address contains its result;
5710                      message_defer is set for message-specific defers (when all
5711                      recipients are marked defer)
5712          DEFER  => there was a non-message-specific delivery problem;
5713          ERROR  => there was a problem setting up the arguments for a filter,
5714                    or there was a problem with expanding added headers
5715       */
5716
5717       /* If the result is not OK, there was a non-message-specific problem.
5718       If the result is DEFER, we need to write to the logs saying what happened
5719       for this particular host, except in the case of authentication and TLS
5720       failures, where the log has already been written. If all hosts defer a
5721       general message is written at the end. */
5722
5723       if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
5724                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
5725         write_logs(host, first_addr->message, first_addr->basic_errno);
5726
5727 #ifndef DISABLE_EVENT
5728       if (rc == DEFER)
5729         deferred_event_raise(first_addr, host, US"msg:host:defer");
5730 #endif
5731
5732       /* If STARTTLS was accepted, but there was a failure in setting up the
5733       TLS session (usually a certificate screwup), and the host is not in
5734       hosts_require_tls, and tls_tempfail_tryclear is true, try again, with
5735       TLS forcibly turned off. We have to start from scratch with a new SMTP
5736       connection. That's why the retry is done from here, not from within
5737       smtp_deliver(). [Rejections of STARTTLS itself don't screw up the
5738       session, so the in-clear transmission after those errors, if permitted,
5739       happens inside smtp_deliver().] */
5740
5741 #ifndef DISABLE_TLS
5742       if (  rc == DEFER
5743          && first_addr->basic_errno == ERRNO_TLSFAILURE
5744          && ob->tls_tempfail_tryclear
5745          && verify_check_given_host(CUSS &ob->hosts_require_tls, host) != OK
5746          )
5747         {
5748         log_write(0, LOG_MAIN,
5749           "%s: delivering unencrypted to H=%s [%s] (not in hosts_require_tls)",
5750           first_addr->message, host->name, host->address);
5751         first_addr = prepare_addresses(addrlist, host);
5752         rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5753           &message_defer, TRUE);
5754         if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
5755           write_logs(host, first_addr->message, first_addr->basic_errno);
5756 # ifndef DISABLE_EVENT
5757         if (rc == DEFER)
5758           deferred_event_raise(first_addr, host, US"msg:host:defer");
5759 # endif
5760         }
5761 #endif  /*DISABLE_TLS*/
5762
5763 #ifndef DISABLE_EVENT
5764       /* If the last host gave a defer raise a per-message event */
5765
5766       if (  !(  nexthost
5767              && unexpired_hosts_tried < ob->hosts_max_try
5768              && total_hosts_tried < ob->hosts_max_try_hardlimit
5769              )
5770          && (message_defer || rc == DEFER)
5771          )
5772         deferred_event_raise(first_addr, host, US"msg:defer");
5773 #endif
5774       }
5775
5776     /* Delivery attempt finished */
5777
5778     set_process_info("delivering %s: just tried %s [%s]%s for %s%s: result %s",
5779       message_id, host->name, host->address, pistring, addrlist->address,
5780       addrlist->next ? " (& others)" : "", rc_to_string(rc));
5781
5782     /* Release serialization if set up */
5783
5784     if (serialize_key) enq_end(serialize_key);
5785
5786     /* If the result is DEFER, or if a host retry record is known to exist, we
5787     need to add an item to the retry chain for updating the retry database
5788     at the end of delivery. We only need to add the item to the top address,
5789     of course. Also, if DEFER, we mark the IP address unusable so as to skip it
5790     for any other delivery attempts using the same address. (It is copied into
5791     the unusable tree at the outer level, so even if different address blocks
5792     contain the same address, it still won't get tried again.) */
5793
5794     if (rc == DEFER || retry_host_key)
5795       {
5796       int delete_flag = rc != DEFER ? rf_delete : 0;
5797       if (!retry_host_key)
5798         {
5799         BOOL incl_ip;
5800         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5801                   US"retry_include_ip_address", ob->retry_include_ip_address,
5802                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5803           incl_ip = TRUE;       /* error; use most-specific retry record */
5804
5805         retry_host_key = incl_ip
5806           ? string_sprintf("T:%S:%s%s", host->name, host->address, pistring)
5807           : string_sprintf("T:%S%s", host->name, pistring);
5808         }
5809
5810       /* If a delivery of another message over an existing SMTP connection
5811       yields DEFER, we do NOT set up retry data for the host. This covers the
5812       case when there are delays in routing the addresses in the second message
5813       that are so long that the server times out. This is alleviated by not
5814       routing addresses that previously had routing defers when handling an
5815       existing connection, but even so, this case may occur (e.g. if a
5816       previously happily routed address starts giving routing defers). If the
5817       host is genuinely down, another non-continued message delivery will
5818       notice it soon enough. */
5819
5820       if (delete_flag != 0 || !continue_hostname)
5821         retry_add_item(first_addr, retry_host_key, rf_host | delete_flag);
5822
5823       /* We may have tried an expired host, if its retry time has come; ensure
5824       the status reflects the expiry for the benefit of any other addresses. */
5825
5826       if (rc == DEFER)
5827         {
5828         host->status = host_is_expired
5829           ? hstatus_unusable_expired : hstatus_unusable;
5830         host->why = hwhy_deferred;
5831         }
5832       }
5833
5834     /* If message_defer is set (host was OK, but every recipient got deferred
5835     because of some message-specific problem), or if that had happened
5836     previously so that a message retry key exists, add an appropriate item
5837     to the retry chain. Note that if there was a message defer but now there is
5838     a host defer, the message defer record gets deleted. That seems perfectly
5839     reasonable. Also, stop the message from being remembered as waiting
5840     for specific hosts. */
5841
5842     if (message_defer || retry_message_key)
5843       {
5844       int delete_flag = message_defer ? 0 : rf_delete;
5845       if (!retry_message_key)
5846         {
5847         BOOL incl_ip;
5848         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5849                   US"retry_include_ip_address", ob->retry_include_ip_address,
5850                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5851           incl_ip = TRUE;       /* error; use most-specific retry record */
5852
5853         retry_message_key = incl_ip
5854           ? string_sprintf("T:%S:%s%s:%s", host->name, host->address, pistring,
5855               message_id)
5856           : string_sprintf("T:%S%s:%s", host->name, pistring, message_id);
5857         }
5858       retry_add_item(addrlist, retry_message_key,
5859         rf_message | rf_host | delete_flag);
5860       update_waiting = FALSE;
5861       }
5862
5863     /* Any return other than DEFER (that is, OK or ERROR) means that the
5864     addresses have got their final statuses filled in for this host. In the OK
5865     case, see if any of them are deferred. */
5866
5867     if (rc == OK)
5868       for (address_item * addr = addrlist; addr; addr = addr->next)
5869         if (addr->transport_return == DEFER)
5870           {
5871           some_deferred = TRUE;
5872           break;
5873           }
5874
5875     /* If no addresses deferred or the result was ERROR, return. We do this for
5876     ERROR because a failing filter set-up or add_headers expansion is likely to
5877     fail for any host we try. */
5878
5879     if (rc == ERROR || (rc == OK && !some_deferred))
5880       {
5881       DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
5882       return TRUE;    /* Each address has its status */
5883       }
5884
5885     /* If the result was DEFER or some individual addresses deferred, let
5886     the loop run to try other hosts with the deferred addresses, except for the
5887     case when we were trying to deliver down an existing channel and failed.
5888     Don't try any other hosts in this case. */
5889
5890     if (continue_hostname) break;
5891
5892     /* If the whole delivery, or some individual addresses, were deferred and
5893     there are more hosts that could be tried, do not count this host towards
5894     the hosts_max_try limit if the age of the message is greater than the
5895     maximum retry time for this host. This means we may try try all hosts,
5896     ignoring the limit, when messages have been around for some time. This is
5897     important because if we don't try all hosts, the address will never time
5898     out. NOTE: this does not apply to hosts_max_try_hardlimit. */
5899
5900     if ((rc == DEFER || some_deferred) && nexthost)
5901       {
5902       BOOL timedout;
5903       retry_config *retry = retry_find_config(host->name, NULL, 0, 0);
5904
5905       if (retry && retry->rules)
5906         {
5907         retry_rule *last_rule;
5908         for (last_rule = retry->rules;
5909              last_rule->next;
5910              last_rule = last_rule->next);
5911         timedout = time(NULL) - received_time.tv_sec > last_rule->timeout;
5912         }
5913       else timedout = TRUE;    /* No rule => timed out */
5914
5915       if (timedout)
5916         {
5917         unexpired_hosts_tried--;
5918         DEBUG(D_transport) debug_printf("temporary delivery error(s) override "
5919           "hosts_max_try (message older than host's retry time)\n");
5920         }
5921       }
5922
5923     DEBUG(D_transport)
5924       {
5925       if (unexpired_hosts_tried >= ob->hosts_max_try)
5926         debug_printf("reached transport hosts_max_try limit %d\n",
5927           ob->hosts_max_try);
5928       if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5929         debug_printf("reached transport hosts_max_try_hardlimit limit %d\n",
5930           ob->hosts_max_try_hardlimit);
5931       }
5932
5933     testharness_pause_ms(500); /* let server debug out */
5934     }   /* End of loop for trying multiple hosts. */
5935
5936   /* If we failed to find a matching host in the list, for an already-open
5937   connection, just close it and start over with the list.  This can happen
5938   for routing that changes from run to run, or big multi-IP sites with
5939   round-robin DNS. */
5940
5941   if (continue_hostname && !continue_host_tried)
5942     {
5943     int fd = cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0;
5944
5945     DEBUG(D_transport) debug_printf("no hosts match already-open connection\n");
5946 #ifndef DISABLE_TLS
5947     /* A TLS conn could be open for a cutthrough, but not for a plain continued-
5948     transport */
5949 /*XXX doublecheck that! */
5950
5951     if (cutthrough.cctx.sock >= 0 && cutthrough.is_tls)
5952       {
5953       (void) tls_write(cutthrough.cctx.tls_ctx, US"QUIT\r\n", 6, FALSE);
5954       tls_close(cutthrough.cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
5955       cutthrough.cctx.tls_ctx = NULL;
5956       cutthrough.is_tls = FALSE;
5957       }
5958     else
5959 #else
5960       (void) write(fd, US"QUIT\r\n", 6);
5961 #endif
5962     (void) close(fd);
5963     cutthrough.cctx.sock = -1;
5964     continue_hostname = NULL;
5965     goto retry_non_continued;
5966     }
5967
5968   /* This is the end of the loop that repeats iff expired is TRUE and
5969   ob->delay_after_cutoff is FALSE. The second time round we will
5970   try those hosts that haven't been tried since the message arrived. */
5971
5972   DEBUG(D_transport)
5973     {
5974     debug_printf("all IP addresses skipped or deferred at least one address\n");
5975     if (expired && !ob->delay_after_cutoff && cutoff_retry == 0)
5976       debug_printf("retrying IP addresses not tried since message arrived\n");
5977     }
5978   }
5979
5980
5981 /* Get here if all IP addresses are skipped or defer at least one address. In
5982 MUA wrapper mode, this will happen only for connection or other non-message-
5983 specific failures. Force the delivery status for all addresses to FAIL. */
5984
5985 if (mua_wrapper)
5986   {
5987   for (address_item * addr = addrlist; addr; addr = addr->next)
5988     addr->transport_return = FAIL;
5989   goto END_TRANSPORT;
5990   }
5991
5992 /* In the normal, non-wrapper case, add a standard message to each deferred
5993 address if there hasn't been an error, that is, if it hasn't actually been
5994 tried this time. The variable "expired" will be FALSE if any deliveries were
5995 actually tried, or if there was at least one host that was not expired. That
5996 is, it is TRUE only if no deliveries were tried and all hosts were expired. If
5997 a delivery has been tried, an error code will be set, and the failing of the
5998 message is handled by the retry code later.
5999
6000 If queue_smtp is set, or this transport was called to send a subsequent message
6001 down an existing TCP/IP connection, and something caused the host not to be
6002 found, we end up here, but can detect these cases and handle them specially. */
6003
6004 for (address_item * addr = addrlist; addr; addr = addr->next)
6005   {
6006   /* If host is not NULL, it means that we stopped processing the host list
6007   because of hosts_max_try or hosts_max_try_hardlimit. In the former case, this
6008   means we need to behave as if some hosts were skipped because their retry
6009   time had not come. Specifically, this prevents the address from timing out.
6010   However, if we have hit hosts_max_try_hardlimit, we want to behave as if all
6011   hosts were tried. */
6012
6013   if (host)
6014     if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
6015       {
6016       DEBUG(D_transport)
6017         debug_printf("hosts_max_try_hardlimit reached: behave as if all "
6018           "hosts were tried\n");
6019       }
6020     else
6021       {
6022       DEBUG(D_transport)
6023         debug_printf("hosts_max_try limit caused some hosts to be skipped\n");
6024       setflag(addr, af_retry_skipped);
6025       }
6026
6027   if (f.queue_smtp)    /* no deliveries attempted */
6028     {
6029     addr->transport_return = DEFER;
6030     addr->basic_errno = 0;
6031     addr->message = US"SMTP delivery explicitly queued";
6032     }
6033
6034   else if (  addr->transport_return == DEFER
6035           && (addr->basic_errno == ERRNO_UNKNOWNERROR || addr->basic_errno == 0)
6036           && !addr->message
6037           )
6038     {
6039     addr->basic_errno = ERRNO_HRETRY;
6040     if (continue_hostname)
6041       addr->message = US"no host found for existing SMTP connection";
6042     else if (expired)
6043       {
6044       setflag(addr, af_pass_message);   /* This is not a security risk */
6045       addr->message = string_sprintf(
6046         "all hosts%s have been failing for a long time %s",
6047         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"",
6048         ob->delay_after_cutoff
6049         ? US"(and retry time not reached)"
6050         : US"and were last tried after this message arrived");
6051
6052       /* If we are already using fallback hosts, or there are no fallback hosts
6053       defined, convert the result to FAIL to cause a bounce. */
6054
6055       if (addr->host_list == addr->fallback_hosts || !addr->fallback_hosts)
6056         addr->transport_return = FAIL;
6057       }
6058     else
6059       {
6060       const char * s;
6061       if (hosts_retry == hosts_total)
6062         s = "retry time not reached for any host%s";
6063       else if (hosts_fail == hosts_total)
6064         s = "all host address lookups%s failed permanently";
6065       else if (hosts_defer == hosts_total)
6066         s = "all host address lookups%s failed temporarily";
6067       else if (hosts_serial == hosts_total)
6068         s = "connection limit reached for all hosts%s";
6069       else if (hosts_fail+hosts_defer == hosts_total)
6070         s = "all host address lookups%s failed";
6071       else
6072         s = "some host address lookups failed and retry time "
6073         "not reached for other hosts or connection limit reached%s";
6074
6075       addr->message = string_sprintf(s,
6076         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"");
6077       }
6078     }
6079   }
6080
6081 /* Update the database which keeps information about which messages are waiting
6082 for which hosts to become available. For some message-specific errors, the
6083 update_waiting flag is turned off because we don't want follow-on deliveries in
6084 those cases.  If this transport instance is explicitly limited to one message
6085 per connection then follow-on deliveries are not possible and there's no need
6086 to create/update the per-transport wait-<transport_name> database. */
6087
6088 if (update_waiting && tblock->connection_max_messages != 1)
6089   transport_update_waiting(hostlist, tblock->name);
6090
6091 END_TRANSPORT:
6092
6093 DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
6094
6095 return TRUE;   /* Each address has its status */
6096 }
6097
6098 #endif  /*!MACRO_PREDEF*/
6099 /* vi: aw ai sw=2
6100 */
6101 /* End of transport/smtp.c */