b4cc79d4b46a7eee0aa387c2424732bef3d1de39
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 #ifndef SUPPORT_CRYPTEQ
21 #define SUPPORT_CRYPTEQ
22 #endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 #include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 #ifdef CRYPT_H
31 #include <crypt.h>
32 #endif
33 #ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 #endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Charaters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base62",
203   US"base62d",
204   US"base64",
205   US"base64d",
206   US"domain",
207   US"escape",
208   US"eval",
209   US"eval10",
210   US"expand",
211   US"h",
212   US"hash",
213   US"hex2b64",
214   US"hexquote",
215   US"ipv6denorm",
216   US"ipv6norm",
217   US"l",
218   US"lc",
219   US"length",
220   US"listcount",
221   US"listnamed",
222   US"mask",
223   US"md5",
224   US"nh",
225   US"nhash",
226   US"quote",
227   US"randint",
228   US"rfc2047",
229   US"rfc2047d",
230   US"rxquote",
231   US"s",
232   US"sha1",
233   US"sha256",
234   US"stat",
235   US"str2b64",
236   US"strlen",
237   US"substr",
238   US"uc",
239   US"utf8clean" };
240
241 enum {
242   EOP_ADDRESS =  nelem(op_table_underscore),
243   EOP_ADDRESSES,
244   EOP_BASE62,
245   EOP_BASE62D,
246   EOP_BASE64,
247   EOP_BASE64D,
248   EOP_DOMAIN,
249   EOP_ESCAPE,
250   EOP_EVAL,
251   EOP_EVAL10,
252   EOP_EXPAND,
253   EOP_H,
254   EOP_HASH,
255   EOP_HEX2B64,
256   EOP_HEXQUOTE,
257   EOP_IPV6DENORM,
258   EOP_IPV6NORM,
259   EOP_L,
260   EOP_LC,
261   EOP_LENGTH,
262   EOP_LISTCOUNT,
263   EOP_LISTNAMED,
264   EOP_MASK,
265   EOP_MD5,
266   EOP_NH,
267   EOP_NHASH,
268   EOP_QUOTE,
269   EOP_RANDINT,
270   EOP_RFC2047,
271   EOP_RFC2047D,
272   EOP_RXQUOTE,
273   EOP_S,
274   EOP_SHA1,
275   EOP_SHA256,
276   EOP_STAT,
277   EOP_STR2B64,
278   EOP_STRLEN,
279   EOP_SUBSTR,
280   EOP_UC,
281   EOP_UTF8CLEAN };
282
283
284 /* Table of condition names, and corresponding switch numbers. The names must
285 be in alphabetical order. */
286
287 static uschar *cond_table[] = {
288   US"<",
289   US"<=",
290   US"=",
291   US"==",     /* Backward compatibility */
292   US">",
293   US">=",
294   US"acl",
295   US"and",
296   US"bool",
297   US"bool_lax",
298   US"crypteq",
299   US"def",
300   US"eq",
301   US"eqi",
302   US"exists",
303   US"first_delivery",
304   US"forall",
305   US"forany",
306   US"ge",
307   US"gei",
308   US"gt",
309   US"gti",
310   US"inlist",
311   US"inlisti",
312   US"isip",
313   US"isip4",
314   US"isip6",
315   US"ldapauth",
316   US"le",
317   US"lei",
318   US"lt",
319   US"lti",
320   US"match",
321   US"match_address",
322   US"match_domain",
323   US"match_ip",
324   US"match_local_part",
325   US"or",
326   US"pam",
327   US"pwcheck",
328   US"queue_running",
329   US"radius",
330   US"saslauthd"
331 };
332
333 enum {
334   ECOND_NUM_L,
335   ECOND_NUM_LE,
336   ECOND_NUM_E,
337   ECOND_NUM_EE,
338   ECOND_NUM_G,
339   ECOND_NUM_GE,
340   ECOND_ACL,
341   ECOND_AND,
342   ECOND_BOOL,
343   ECOND_BOOL_LAX,
344   ECOND_CRYPTEQ,
345   ECOND_DEF,
346   ECOND_STR_EQ,
347   ECOND_STR_EQI,
348   ECOND_EXISTS,
349   ECOND_FIRST_DELIVERY,
350   ECOND_FORALL,
351   ECOND_FORANY,
352   ECOND_STR_GE,
353   ECOND_STR_GEI,
354   ECOND_STR_GT,
355   ECOND_STR_GTI,
356   ECOND_INLIST,
357   ECOND_INLISTI,
358   ECOND_ISIP,
359   ECOND_ISIP4,
360   ECOND_ISIP6,
361   ECOND_LDAPAUTH,
362   ECOND_STR_LE,
363   ECOND_STR_LEI,
364   ECOND_STR_LT,
365   ECOND_STR_LTI,
366   ECOND_MATCH,
367   ECOND_MATCH_ADDRESS,
368   ECOND_MATCH_DOMAIN,
369   ECOND_MATCH_IP,
370   ECOND_MATCH_LOCAL_PART,
371   ECOND_OR,
372   ECOND_PAM,
373   ECOND_PWCHECK,
374   ECOND_QUEUE_RUNNING,
375   ECOND_RADIUS,
376   ECOND_SASLAUTHD
377 };
378
379
380 /* Types of table entry */
381
382 enum vtypes {
383   vtype_int,            /* value is address of int */
384   vtype_filter_int,     /* ditto, but recognized only when filtering */
385   vtype_ino,            /* value is address of ino_t (not always an int) */
386   vtype_uid,            /* value is address of uid_t (not always an int) */
387   vtype_gid,            /* value is address of gid_t (not always an int) */
388   vtype_bool,           /* value is address of bool */
389   vtype_stringptr,      /* value is address of pointer to string */
390   vtype_msgbody,        /* as stringptr, but read when first required */
391   vtype_msgbody_end,    /* ditto, the end of the message */
392   vtype_msgheaders,     /* the message's headers, processed */
393   vtype_msgheaders_raw, /* the message's headers, unprocessed */
394   vtype_localpart,      /* extract local part from string */
395   vtype_domain,         /* extract domain from string */
396   vtype_string_func,    /* value is string returned by given function */
397   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
398   vtype_tode,           /* value not used; generate tod in epoch format */
399   vtype_todel,          /* value not used; generate tod in epoch/usec format */
400   vtype_todf,           /* value not used; generate full tod */
401   vtype_todl,           /* value not used; generate log tod */
402   vtype_todlf,          /* value not used; generate log file datestamp tod */
403   vtype_todzone,        /* value not used; generate time zone only */
404   vtype_todzulu,        /* value not used; generate zulu tod */
405   vtype_reply,          /* value not used; get reply from headers */
406   vtype_pid,            /* value not used; result is pid */
407   vtype_host_lookup,    /* value not used; get host name */
408   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
409   vtype_pspace,         /* partition space; value is T/F for spool/log */
410   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
411   vtype_cert            /* SSL certificate */
412   #ifndef DISABLE_DKIM
413   ,vtype_dkim           /* Lookup of value in DKIM signature */
414   #endif
415 };
416
417 /* Type for main variable table */
418
419 typedef struct {
420   const char *name;
421   enum vtypes type;
422   void       *value;
423 } var_entry;
424
425 /* Type for entries pointing to address/length pairs. Not currently
426 in use. */
427
428 typedef struct {
429   uschar **address;
430   int  *length;
431 } alblock;
432
433 static uschar * fn_recipients(void);
434
435 /* This table must be kept in alphabetical order. */
436
437 static var_entry var_table[] = {
438   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
439      they will be confused with user-creatable ACL variables. */
440   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
441   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
442   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
443   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
444   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
445   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
446   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
447   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
448   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
449   { "acl_narg",            vtype_int,         &acl_narg },
450   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
451   { "address_data",        vtype_stringptr,   &deliver_address_data },
452   { "address_file",        vtype_stringptr,   &address_file },
453   { "address_pipe",        vtype_stringptr,   &address_pipe },
454   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
455   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
456   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
457   { "authentication_failed",vtype_int,        &authentication_failed },
458 #ifdef WITH_CONTENT_SCAN
459   { "av_failed",           vtype_int,         &av_failed },
460 #endif
461 #ifdef EXPERIMENTAL_BRIGHTMAIL
462   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
463   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
464   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
465   { "bmi_deliver",         vtype_int,         &bmi_deliver },
466 #endif
467   { "body_linecount",      vtype_int,         &body_linecount },
468   { "body_zerocount",      vtype_int,         &body_zerocount },
469   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
470   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
471   { "caller_gid",          vtype_gid,         &real_gid },
472   { "caller_uid",          vtype_uid,         &real_uid },
473   { "callout_address",     vtype_stringptr,   &callout_address },
474   { "compile_date",        vtype_stringptr,   &version_date },
475   { "compile_number",      vtype_stringptr,   &version_cnumber },
476   { "config_dir",          vtype_stringptr,   &config_main_directory },
477   { "config_file",         vtype_stringptr,   &config_main_filename },
478   { "csa_status",          vtype_stringptr,   &csa_status },
479 #ifdef EXPERIMENTAL_DCC
480   { "dcc_header",          vtype_stringptr,   &dcc_header },
481   { "dcc_result",          vtype_stringptr,   &dcc_result },
482 #endif
483 #ifdef WITH_OLD_DEMIME
484   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
485   { "demime_reason",       vtype_stringptr,   &demime_reason },
486 #endif
487 #ifndef DISABLE_DKIM
488   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
489   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
490   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
491   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
492   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
493   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
494   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
495   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
496   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
497   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
498   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
499   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
500   { "dkim_key_length",     vtype_int,         &dkim_key_length },
501   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
502   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
503   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
504   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
505   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
506   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
507   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
508   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
509 #endif
510 #ifdef EXPERIMENTAL_DMARC
511   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
512   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
513   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
514   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
515   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
516 #endif
517   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
518   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
519   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
520   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
521   { "domain",              vtype_stringptr,   &deliver_domain },
522   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
523 #ifndef DISABLE_EVENT
524   { "event_data",          vtype_stringptr,   &event_data },
525
526   /*XXX want to use generic vars for as many of these as possible*/
527   { "event_defer_errno",   vtype_int,         &event_defer_errno },
528
529   { "event_name",          vtype_stringptr,   &event_name },
530 #endif
531   { "exim_gid",            vtype_gid,         &exim_gid },
532   { "exim_path",           vtype_stringptr,   &exim_path },
533   { "exim_uid",            vtype_uid,         &exim_uid },
534   { "exim_version",        vtype_stringptr,   &version_string },
535 #ifdef WITH_OLD_DEMIME
536   { "found_extension",     vtype_stringptr,   &found_extension },
537 #endif
538   { "headers_added",       vtype_string_func, &fn_hdrs_added },
539   { "home",                vtype_stringptr,   &deliver_home },
540   { "host",                vtype_stringptr,   &deliver_host },
541   { "host_address",        vtype_stringptr,   &deliver_host_address },
542   { "host_data",           vtype_stringptr,   &host_data },
543   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
544   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
545   { "host_port",           vtype_int,         &deliver_host_port },
546   { "inode",               vtype_ino,         &deliver_inode },
547   { "interface_address",   vtype_stringptr,   &interface_address },
548   { "interface_port",      vtype_int,         &interface_port },
549   { "item",                vtype_stringptr,   &iterate_item },
550   #ifdef LOOKUP_LDAP
551   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
552   #endif
553   { "load_average",        vtype_load_avg,    NULL },
554   { "local_part",          vtype_stringptr,   &deliver_localpart },
555   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
556   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
557   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
558   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
559   { "local_user_gid",      vtype_gid,         &local_user_gid },
560   { "local_user_uid",      vtype_uid,         &local_user_uid },
561   { "localhost_number",    vtype_int,         &host_number },
562   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
563   { "log_space",           vtype_pspace,      (void *)FALSE },
564   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
565   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
566 #ifdef WITH_CONTENT_SCAN
567   { "malware_name",        vtype_stringptr,   &malware_name },
568 #endif
569   { "max_received_linelength", vtype_int,     &max_received_linelength },
570   { "message_age",         vtype_int,         &message_age },
571   { "message_body",        vtype_msgbody,     &message_body },
572   { "message_body_end",    vtype_msgbody_end, &message_body_end },
573   { "message_body_size",   vtype_int,         &message_body_size },
574   { "message_exim_id",     vtype_stringptr,   &message_id },
575   { "message_headers",     vtype_msgheaders,  NULL },
576   { "message_headers_raw", vtype_msgheaders_raw, NULL },
577   { "message_id",          vtype_stringptr,   &message_id },
578   { "message_linecount",   vtype_int,         &message_linecount },
579   { "message_size",        vtype_int,         &message_size },
580 #ifdef SUPPORT_I18N
581   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
582 #endif
583 #ifdef WITH_CONTENT_SCAN
584   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
585   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
586   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
587   { "mime_charset",        vtype_stringptr,   &mime_charset },
588   { "mime_content_description", vtype_stringptr, &mime_content_description },
589   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
590   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
591   { "mime_content_size",   vtype_int,         &mime_content_size },
592   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
593   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
594   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
595   { "mime_filename",       vtype_stringptr,   &mime_filename },
596   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
597   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
598   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
599   { "mime_part_count",     vtype_int,         &mime_part_count },
600 #endif
601   { "n0",                  vtype_filter_int,  &filter_n[0] },
602   { "n1",                  vtype_filter_int,  &filter_n[1] },
603   { "n2",                  vtype_filter_int,  &filter_n[2] },
604   { "n3",                  vtype_filter_int,  &filter_n[3] },
605   { "n4",                  vtype_filter_int,  &filter_n[4] },
606   { "n5",                  vtype_filter_int,  &filter_n[5] },
607   { "n6",                  vtype_filter_int,  &filter_n[6] },
608   { "n7",                  vtype_filter_int,  &filter_n[7] },
609   { "n8",                  vtype_filter_int,  &filter_n[8] },
610   { "n9",                  vtype_filter_int,  &filter_n[9] },
611   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
612   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
613   { "originator_gid",      vtype_gid,         &originator_gid },
614   { "originator_uid",      vtype_uid,         &originator_uid },
615   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
616   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
617   { "pid",                 vtype_pid,         NULL },
618 #ifndef DISABLE_PRDR
619   { "prdr_requested",      vtype_bool,        &prdr_requested },
620 #endif
621   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
622 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
623   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
624   { "proxy_external_port", vtype_int,         &proxy_external_port },
625   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
626   { "proxy_local_port",    vtype_int,         &proxy_local_port },
627   { "proxy_session",       vtype_bool,        &proxy_session },
628 #endif
629   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
630   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
631   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
632   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
633   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
634   { "rcpt_count",          vtype_int,         &rcpt_count },
635   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
636   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
637   { "received_count",      vtype_int,         &received_count },
638   { "received_for",        vtype_stringptr,   &received_for },
639   { "received_ip_address", vtype_stringptr,   &interface_address },
640   { "received_port",       vtype_int,         &interface_port },
641   { "received_protocol",   vtype_stringptr,   &received_protocol },
642   { "received_time",       vtype_int,         &received_time },
643   { "recipient_data",      vtype_stringptr,   &recipient_data },
644   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
645   { "recipients",          vtype_string_func, &fn_recipients },
646   { "recipients_count",    vtype_int,         &recipients_count },
647 #ifdef WITH_CONTENT_SCAN
648   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
649 #endif
650   { "reply_address",       vtype_reply,       NULL },
651   { "return_path",         vtype_stringptr,   &return_path },
652   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
653   { "router_name",         vtype_stringptr,   &router_name },
654   { "runrc",               vtype_int,         &runrc },
655   { "self_hostname",       vtype_stringptr,   &self_hostname },
656   { "sender_address",      vtype_stringptr,   &sender_address },
657   { "sender_address_data", vtype_stringptr,   &sender_address_data },
658   { "sender_address_domain", vtype_domain,    &sender_address },
659   { "sender_address_local_part", vtype_localpart, &sender_address },
660   { "sender_data",         vtype_stringptr,   &sender_data },
661   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
662   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
663   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
664   { "sender_host_address", vtype_stringptr,   &sender_host_address },
665   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
666   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
667   { "sender_host_name",    vtype_host_lookup, NULL },
668   { "sender_host_port",    vtype_int,         &sender_host_port },
669   { "sender_ident",        vtype_stringptr,   &sender_ident },
670   { "sender_rate",         vtype_stringptr,   &sender_rate },
671   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
672   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
673   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
674   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
675   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
676   { "sending_port",        vtype_int,         &sending_port },
677   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
678   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
679   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
680   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
681   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
682   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
683   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
684   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
685   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
686   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
687   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
688   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
689   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
690   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
691   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
692 #ifdef WITH_CONTENT_SCAN
693   { "spam_action",         vtype_stringptr,   &spam_action },
694   { "spam_bar",            vtype_stringptr,   &spam_bar },
695   { "spam_report",         vtype_stringptr,   &spam_report },
696   { "spam_score",          vtype_stringptr,   &spam_score },
697   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
698 #endif
699 #ifdef EXPERIMENTAL_SPF
700   { "spf_guess",           vtype_stringptr,   &spf_guess },
701   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
702   { "spf_received",        vtype_stringptr,   &spf_received },
703   { "spf_result",          vtype_stringptr,   &spf_result },
704   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
705 #endif
706   { "spool_directory",     vtype_stringptr,   &spool_directory },
707   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
708   { "spool_space",         vtype_pspace,      (void *)TRUE },
709 #ifdef EXPERIMENTAL_SRS
710   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
711   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
712   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
713   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
714   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
715   { "srs_status",          vtype_stringptr,   &srs_status },
716 #endif
717   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
718
719   /* The non-(in,out) variables are now deprecated */
720   { "tls_bits",            vtype_int,         &tls_in.bits },
721   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
722   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
723
724   { "tls_in_bits",         vtype_int,         &tls_in.bits },
725   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
726   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
727   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
728   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
729   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
730   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
731 #if defined(SUPPORT_TLS)
732   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
733 #endif
734   { "tls_out_bits",        vtype_int,         &tls_out.bits },
735   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
736   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
737 #ifdef EXPERIMENTAL_DANE
738   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
739 #endif
740   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
741   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
742   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
743   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
744 #if defined(SUPPORT_TLS)
745   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
746 #endif
747 #ifdef EXPERIMENTAL_DANE
748   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
749 #endif
750
751   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
752 #if defined(SUPPORT_TLS)
753   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
754 #endif
755
756   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
757   { "tod_epoch",           vtype_tode,        NULL },
758   { "tod_epoch_l",         vtype_todel,       NULL },
759   { "tod_full",            vtype_todf,        NULL },
760   { "tod_log",             vtype_todl,        NULL },
761   { "tod_logfile",         vtype_todlf,       NULL },
762   { "tod_zone",            vtype_todzone,     NULL },
763   { "tod_zulu",            vtype_todzulu,     NULL },
764   { "transport_name",      vtype_stringptr,   &transport_name },
765   { "value",               vtype_stringptr,   &lookup_value },
766   { "verify_mode",         vtype_stringptr,   &verify_mode },
767   { "version_number",      vtype_stringptr,   &version_string },
768   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
769   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
770   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
771   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
772   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
773   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
774 };
775
776 static int var_table_size = nelem(var_table);
777 static uschar var_buffer[256];
778 static BOOL malformed_header;
779
780 /* For textual hashes */
781
782 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
783                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
784                                "0123456789";
785
786 enum { HMAC_MD5, HMAC_SHA1 };
787
788 /* For numeric hashes */
789
790 static unsigned int prime[] = {
791   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
792  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
793  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
794
795 /* For printing modes in symbolic form */
796
797 static uschar *mtable_normal[] =
798   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
799
800 static uschar *mtable_setid[] =
801   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
802
803 static uschar *mtable_sticky[] =
804   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
805
806
807
808 /*************************************************
809 *           Tables for UTF-8 support             *
810 *************************************************/
811
812 /* Table of the number of extra characters, indexed by the first character
813 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
814 0x3d. */
815
816 static uschar utf8_table1[] = {
817   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
818   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
819   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
820   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
821
822 /* These are the masks for the data bits in the first byte of a character,
823 indexed by the number of additional bytes. */
824
825 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
826
827 /* Get the next UTF-8 character, advancing the pointer. */
828
829 #define GETUTF8INC(c, ptr) \
830   c = *ptr++; \
831   if ((c & 0xc0) == 0xc0) \
832     { \
833     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
834     int s = 6*a; \
835     c = (c & utf8_table2[a]) << s; \
836     while (a-- > 0) \
837       { \
838       s -= 6; \
839       c |= (*ptr++ & 0x3f) << s; \
840       } \
841     }
842
843
844 /*************************************************
845 *           Binary chop search on a table        *
846 *************************************************/
847
848 /* This is used for matching expansion items and operators.
849
850 Arguments:
851   name        the name that is being sought
852   table       the table to search
853   table_size  the number of items in the table
854
855 Returns:      the offset in the table, or -1
856 */
857
858 static int
859 chop_match(uschar *name, uschar **table, int table_size)
860 {
861 uschar **bot = table;
862 uschar **top = table + table_size;
863
864 while (top > bot)
865   {
866   uschar **mid = bot + (top - bot)/2;
867   int c = Ustrcmp(name, *mid);
868   if (c == 0) return mid - table;
869   if (c > 0) bot = mid + 1; else top = mid;
870   }
871
872 return -1;
873 }
874
875
876
877 /*************************************************
878 *          Check a condition string              *
879 *************************************************/
880
881 /* This function is called to expand a string, and test the result for a "true"
882 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
883 forced fail or lookup defer.
884
885 We used to release all store used, but this is not not safe due
886 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
887 is reasonably careful to release what it can.
888
889 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
890
891 Arguments:
892   condition     the condition string
893   m1            text to be incorporated in panic error
894   m2            ditto
895
896 Returns:        TRUE if condition is met, FALSE if not
897 */
898
899 BOOL
900 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
901 {
902 int rc;
903 uschar *ss = expand_string(condition);
904 if (ss == NULL)
905   {
906   if (!expand_string_forcedfail && !search_find_defer)
907     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
908       "for %s %s: %s", condition, m1, m2, expand_string_message);
909   return FALSE;
910   }
911 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
912   strcmpic(ss, US"false") != 0;
913 return rc;
914 }
915
916
917
918
919 /*************************************************
920 *        Pseudo-random number generation         *
921 *************************************************/
922
923 /* Pseudo-random number generation.  The result is not "expected" to be
924 cryptographically strong but not so weak that someone will shoot themselves
925 in the foot using it as a nonce in some email header scheme or whatever
926 weirdness they'll twist this into.  The result should ideally handle fork().
927
928 However, if we're stuck unable to provide this, then we'll fall back to
929 appallingly bad randomness.
930
931 If SUPPORT_TLS is defined then this will not be used except as an emergency
932 fallback.
933
934 Arguments:
935   max       range maximum
936 Returns     a random number in range [0, max-1]
937 */
938
939 #ifdef SUPPORT_TLS
940 # define vaguely_random_number vaguely_random_number_fallback
941 #endif
942 int
943 vaguely_random_number(int max)
944 {
945 #ifdef SUPPORT_TLS
946 # undef vaguely_random_number
947 #endif
948   static pid_t pid = 0;
949   pid_t p2;
950 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
951   struct timeval tv;
952 #endif
953
954   p2 = getpid();
955   if (p2 != pid)
956     {
957     if (pid != 0)
958       {
959
960 #ifdef HAVE_ARC4RANDOM
961       /* cryptographically strong randomness, common on *BSD platforms, not
962       so much elsewhere.  Alas. */
963 #ifndef NOT_HAVE_ARC4RANDOM_STIR
964       arc4random_stir();
965 #endif
966 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
967 #ifdef HAVE_SRANDOMDEV
968       /* uses random(4) for seeding */
969       srandomdev();
970 #else
971       gettimeofday(&tv, NULL);
972       srandom(tv.tv_sec | tv.tv_usec | getpid());
973 #endif
974 #else
975       /* Poor randomness and no seeding here */
976 #endif
977
978       }
979     pid = p2;
980     }
981
982 #ifdef HAVE_ARC4RANDOM
983   return arc4random() % max;
984 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
985   return random() % max;
986 #else
987   /* This one returns a 16-bit number, definitely not crypto-strong */
988   return random_number(max);
989 #endif
990 }
991
992
993
994
995 /*************************************************
996 *             Pick out a name from a string      *
997 *************************************************/
998
999 /* If the name is too long, it is silently truncated.
1000
1001 Arguments:
1002   name      points to a buffer into which to put the name
1003   max       is the length of the buffer
1004   s         points to the first alphabetic character of the name
1005   extras    chars other than alphanumerics to permit
1006
1007 Returns:    pointer to the first character after the name
1008
1009 Note: The test for *s != 0 in the while loop is necessary because
1010 Ustrchr() yields non-NULL if the character is zero (which is not something
1011 I expected). */
1012
1013 static const uschar *
1014 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1015 {
1016 int ptr = 0;
1017 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1018   {
1019   if (ptr < max-1) name[ptr++] = *s;
1020   s++;
1021   }
1022 name[ptr] = 0;
1023 return s;
1024 }
1025
1026
1027
1028 /*************************************************
1029 *     Pick out the rest of a header name         *
1030 *************************************************/
1031
1032 /* A variable name starting $header_ (or just $h_ for those who like
1033 abbreviations) might not be the complete header name because headers can
1034 contain any printing characters in their names, except ':'. This function is
1035 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1036 on the end, if the name was terminated by white space.
1037
1038 Arguments:
1039   name      points to a buffer in which the name read so far exists
1040   max       is the length of the buffer
1041   s         points to the first character after the name so far, i.e. the
1042             first non-alphameric character after $header_xxxxx
1043
1044 Returns:    a pointer to the first character after the header name
1045 */
1046
1047 static const uschar *
1048 read_header_name(uschar *name, int max, const uschar *s)
1049 {
1050 int prelen = Ustrchr(name, '_') - name + 1;
1051 int ptr = Ustrlen(name) - prelen;
1052 if (ptr > 0) memmove(name, name+prelen, ptr);
1053 while (mac_isgraph(*s) && *s != ':')
1054   {
1055   if (ptr < max-1) name[ptr++] = *s;
1056   s++;
1057   }
1058 if (*s == ':') s++;
1059 name[ptr++] = ':';
1060 name[ptr] = 0;
1061 return s;
1062 }
1063
1064
1065
1066 /*************************************************
1067 *           Pick out a number from a string      *
1068 *************************************************/
1069
1070 /* Arguments:
1071   n     points to an integer into which to put the number
1072   s     points to the first digit of the number
1073
1074 Returns:  a pointer to the character after the last digit
1075 */
1076 /*XXX consider expanding to int_eximarith_t.  But the test for
1077 "overbig numbers" in 0002 still needs to overflow it. */
1078
1079 static uschar *
1080 read_number(int *n, uschar *s)
1081 {
1082 *n = 0;
1083 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1084 return s;
1085 }
1086
1087 static const uschar *
1088 read_cnumber(int *n, const uschar *s)
1089 {
1090 *n = 0;
1091 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1092 return s;
1093 }
1094
1095
1096
1097 /*************************************************
1098 *        Extract keyed subfield from a string    *
1099 *************************************************/
1100
1101 /* The yield is in dynamic store; NULL means that the key was not found.
1102
1103 Arguments:
1104   key       points to the name of the key
1105   s         points to the string from which to extract the subfield
1106
1107 Returns:    NULL if the subfield was not found, or
1108             a pointer to the subfield's data
1109 */
1110
1111 static uschar *
1112 expand_getkeyed(uschar *key, const uschar *s)
1113 {
1114 int length = Ustrlen(key);
1115 while (isspace(*s)) s++;
1116
1117 /* Loop to search for the key */
1118
1119 while (*s != 0)
1120   {
1121   int dkeylength;
1122   uschar *data;
1123   const uschar *dkey = s;
1124
1125   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1126   dkeylength = s - dkey;
1127   while (isspace(*s)) s++;
1128   if (*s == '=') while (isspace((*(++s))));
1129
1130   data = string_dequote(&s);
1131   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1132     return data;
1133
1134   while (isspace(*s)) s++;
1135   }
1136
1137 return NULL;
1138 }
1139
1140
1141
1142 static var_entry *
1143 find_var_ent(uschar * name)
1144 {
1145 int first = 0;
1146 int last = var_table_size;
1147
1148 while (last > first)
1149   {
1150   int middle = (first + last)/2;
1151   int c = Ustrcmp(name, var_table[middle].name);
1152
1153   if (c > 0) { first = middle + 1; continue; }
1154   if (c < 0) { last = middle; continue; }
1155   return &var_table[middle];
1156   }
1157 return NULL;
1158 }
1159
1160 /*************************************************
1161 *   Extract numbered subfield from string        *
1162 *************************************************/
1163
1164 /* Extracts a numbered field from a string that is divided by tokens - for
1165 example a line from /etc/passwd is divided by colon characters.  First field is
1166 numbered one.  Negative arguments count from the right. Zero returns the whole
1167 string. Returns NULL if there are insufficient tokens in the string
1168
1169 ***WARNING***
1170 Modifies final argument - this is a dynamically generated string, so that's OK.
1171
1172 Arguments:
1173   field       number of field to be extracted,
1174                 first field = 1, whole string = 0, last field = -1
1175   separators  characters that are used to break string into tokens
1176   s           points to the string from which to extract the subfield
1177
1178 Returns:      NULL if the field was not found,
1179               a pointer to the field's data inside s (modified to add 0)
1180 */
1181
1182 static uschar *
1183 expand_gettokened (int field, uschar *separators, uschar *s)
1184 {
1185 int sep = 1;
1186 int count;
1187 uschar *ss = s;
1188 uschar *fieldtext = NULL;
1189
1190 if (field == 0) return s;
1191
1192 /* Break the line up into fields in place; for field > 0 we stop when we have
1193 done the number of fields we want. For field < 0 we continue till the end of
1194 the string, counting the number of fields. */
1195
1196 count = (field > 0)? field : INT_MAX;
1197
1198 while (count-- > 0)
1199   {
1200   size_t len;
1201
1202   /* Previous field was the last one in the string. For a positive field
1203   number, this means there are not enough fields. For a negative field number,
1204   check that there are enough, and scan back to find the one that is wanted. */
1205
1206   if (sep == 0)
1207     {
1208     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1209     if ((-field) == (INT_MAX - count - 1)) return s;
1210     while (field++ < 0)
1211       {
1212       ss--;
1213       while (ss[-1] != 0) ss--;
1214       }
1215     fieldtext = ss;
1216     break;
1217     }
1218
1219   /* Previous field was not last in the string; save its start and put a
1220   zero at its end. */
1221
1222   fieldtext = ss;
1223   len = Ustrcspn(ss, separators);
1224   sep = ss[len];
1225   ss[len] = 0;
1226   ss += len + 1;
1227   }
1228
1229 return fieldtext;
1230 }
1231
1232
1233 static uschar *
1234 expand_getlistele(int field, const uschar * list)
1235 {
1236 const uschar * tlist= list;
1237 int sep= 0;
1238 uschar dummy;
1239
1240 if(field<0)
1241   {
1242   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1243   sep= 0;
1244   }
1245 if(field==0) return NULL;
1246 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1247 return string_nextinlist(&list, &sep, NULL, 0);
1248 }
1249
1250
1251 /* Certificate fields, by name.  Worry about by-OID later */
1252 /* Names are chosen to not have common prefixes */
1253
1254 #ifdef SUPPORT_TLS
1255 typedef struct
1256 {
1257 uschar * name;
1258 int      namelen;
1259 uschar * (*getfn)(void * cert, uschar * mod);
1260 } certfield;
1261 static certfield certfields[] =
1262 {                       /* linear search; no special order */
1263   { US"version",         7,  &tls_cert_version },
1264   { US"serial_number",   13, &tls_cert_serial_number },
1265   { US"subject",         7,  &tls_cert_subject },
1266   { US"notbefore",       9,  &tls_cert_not_before },
1267   { US"notafter",        8,  &tls_cert_not_after },
1268   { US"issuer",          6,  &tls_cert_issuer },
1269   { US"signature",       9,  &tls_cert_signature },
1270   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1271   { US"subj_altname",    12, &tls_cert_subject_altname },
1272   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1273   { US"crl_uri",         7,  &tls_cert_crl_uri },
1274 };
1275
1276 static uschar *
1277 expand_getcertele(uschar * field, uschar * certvar)
1278 {
1279 var_entry * vp;
1280 certfield * cp;
1281
1282 if (!(vp = find_var_ent(certvar)))
1283   {
1284   expand_string_message =
1285     string_sprintf("no variable named \"%s\"", certvar);
1286   return NULL;          /* Unknown variable name */
1287   }
1288 /* NB this stops us passing certs around in variable.  Might
1289 want to do that in future */
1290 if (vp->type != vtype_cert)
1291   {
1292   expand_string_message =
1293     string_sprintf("\"%s\" is not a certificate", certvar);
1294   return NULL;          /* Unknown variable name */
1295   }
1296 if (!*(void **)vp->value)
1297   return NULL;
1298
1299 if (*field >= '0' && *field <= '9')
1300   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1301
1302 for(cp = certfields;
1303     cp < certfields + nelem(certfields);
1304     cp++)
1305   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1306     {
1307     uschar * modifier = *(field += cp->namelen) == ','
1308       ? ++field : NULL;
1309     return (*cp->getfn)( *(void **)vp->value, modifier );
1310     }
1311
1312 expand_string_message =
1313   string_sprintf("bad field selector \"%s\" for certextract", field);
1314 return NULL;
1315 }
1316 #endif  /*SUPPORT_TLS*/
1317
1318 /*************************************************
1319 *        Extract a substring from a string       *
1320 *************************************************/
1321
1322 /* Perform the ${substr or ${length expansion operations.
1323
1324 Arguments:
1325   subject     the input string
1326   value1      the offset from the start of the input string to the start of
1327                 the output string; if negative, count from the right.
1328   value2      the length of the output string, or negative (-1) for unset
1329                 if value1 is positive, unset means "all after"
1330                 if value1 is negative, unset means "all before"
1331   len         set to the length of the returned string
1332
1333 Returns:      pointer to the output string, or NULL if there is an error
1334 */
1335
1336 static uschar *
1337 extract_substr(uschar *subject, int value1, int value2, int *len)
1338 {
1339 int sublen = Ustrlen(subject);
1340
1341 if (value1 < 0)    /* count from right */
1342   {
1343   value1 += sublen;
1344
1345   /* If the position is before the start, skip to the start, and adjust the
1346   length. If the length ends up negative, the substring is null because nothing
1347   can precede. This falls out naturally when the length is unset, meaning "all
1348   to the left". */
1349
1350   if (value1 < 0)
1351     {
1352     value2 += value1;
1353     if (value2 < 0) value2 = 0;
1354     value1 = 0;
1355     }
1356
1357   /* Otherwise an unset length => characters before value1 */
1358
1359   else if (value2 < 0)
1360     {
1361     value2 = value1;
1362     value1 = 0;
1363     }
1364   }
1365
1366 /* For a non-negative offset, if the starting position is past the end of the
1367 string, the result will be the null string. Otherwise, an unset length means
1368 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1369
1370 else
1371   {
1372   if (value1 > sublen)
1373     {
1374     value1 = sublen;
1375     value2 = 0;
1376     }
1377   else if (value2 < 0) value2 = sublen;
1378   }
1379
1380 /* Cut the length down to the maximum possible for the offset value, and get
1381 the required characters. */
1382
1383 if (value1 + value2 > sublen) value2 = sublen - value1;
1384 *len = value2;
1385 return subject + value1;
1386 }
1387
1388
1389
1390
1391 /*************************************************
1392 *            Old-style hash of a string          *
1393 *************************************************/
1394
1395 /* Perform the ${hash expansion operation.
1396
1397 Arguments:
1398   subject     the input string (an expanded substring)
1399   value1      the length of the output string; if greater or equal to the
1400                 length of the input string, the input string is returned
1401   value2      the number of hash characters to use, or 26 if negative
1402   len         set to the length of the returned string
1403
1404 Returns:      pointer to the output string, or NULL if there is an error
1405 */
1406
1407 static uschar *
1408 compute_hash(uschar *subject, int value1, int value2, int *len)
1409 {
1410 int sublen = Ustrlen(subject);
1411
1412 if (value2 < 0) value2 = 26;
1413 else if (value2 > Ustrlen(hashcodes))
1414   {
1415   expand_string_message =
1416     string_sprintf("hash count \"%d\" too big", value2);
1417   return NULL;
1418   }
1419
1420 /* Calculate the hash text. We know it is shorter than the original string, so
1421 can safely place it in subject[] (we know that subject is always itself an
1422 expanded substring). */
1423
1424 if (value1 < sublen)
1425   {
1426   int c;
1427   int i = 0;
1428   int j = value1;
1429   while ((c = (subject[j])) != 0)
1430     {
1431     int shift = (c + j++) & 7;
1432     subject[i] ^= (c << shift) | (c >> (8-shift));
1433     if (++i >= value1) i = 0;
1434     }
1435   for (i = 0; i < value1; i++)
1436     subject[i] = hashcodes[(subject[i]) % value2];
1437   }
1438 else value1 = sublen;
1439
1440 *len = value1;
1441 return subject;
1442 }
1443
1444
1445
1446
1447 /*************************************************
1448 *             Numeric hash of a string           *
1449 *************************************************/
1450
1451 /* Perform the ${nhash expansion operation. The first characters of the
1452 string are treated as most important, and get the highest prime numbers.
1453
1454 Arguments:
1455   subject     the input string
1456   value1      the maximum value of the first part of the result
1457   value2      the maximum value of the second part of the result,
1458                 or negative to produce only a one-part result
1459   len         set to the length of the returned string
1460
1461 Returns:  pointer to the output string, or NULL if there is an error.
1462 */
1463
1464 static uschar *
1465 compute_nhash (uschar *subject, int value1, int value2, int *len)
1466 {
1467 uschar *s = subject;
1468 int i = 0;
1469 unsigned long int total = 0; /* no overflow */
1470
1471 while (*s != 0)
1472   {
1473   if (i == 0) i = nelem(prime) - 1;
1474   total += prime[i--] * (unsigned int)(*s++);
1475   }
1476
1477 /* If value2 is unset, just compute one number */
1478
1479 if (value2 < 0)
1480   {
1481   s = string_sprintf("%d", total % value1);
1482   }
1483
1484 /* Otherwise do a div/mod hash */
1485
1486 else
1487   {
1488   total = total % (value1 * value2);
1489   s = string_sprintf("%d/%d", total/value2, total % value2);
1490   }
1491
1492 *len = Ustrlen(s);
1493 return s;
1494 }
1495
1496
1497
1498
1499
1500 /*************************************************
1501 *     Find the value of a header or headers      *
1502 *************************************************/
1503
1504 /* Multiple instances of the same header get concatenated, and this function
1505 can also return a concatenation of all the header lines. When concatenating
1506 specific headers that contain lists of addresses, a comma is inserted between
1507 them. Otherwise we use a straight concatenation. Because some messages can have
1508 pathologically large number of lines, there is a limit on the length that is
1509 returned. Also, to avoid massive store use which would result from using
1510 string_cat() as it copies and extends strings, we do a preliminary pass to find
1511 out exactly how much store will be needed. On "normal" messages this will be
1512 pretty trivial.
1513
1514 Arguments:
1515   name          the name of the header, without the leading $header_ or $h_,
1516                 or NULL if a concatenation of all headers is required
1517   exists_only   TRUE if called from a def: test; don't need to build a string;
1518                 just return a string that is not "" and not "0" if the header
1519                 exists
1520   newsize       return the size of memory block that was obtained; may be NULL
1521                 if exists_only is TRUE
1522   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1523                 other than concatenating, will be done on the header. Also used
1524                 for $message_headers_raw.
1525   charset       name of charset to translate MIME words to; used only if
1526                 want_raw is false; if NULL, no translation is done (this is
1527                 used for $bh_ and $bheader_)
1528
1529 Returns:        NULL if the header does not exist, else a pointer to a new
1530                 store block
1531 */
1532
1533 static uschar *
1534 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1535   uschar *charset)
1536 {
1537 BOOL found = name == NULL;
1538 int comma = 0;
1539 int len = found? 0 : Ustrlen(name);
1540 int i;
1541 uschar *yield = NULL;
1542 uschar *ptr = NULL;
1543
1544 /* Loop for two passes - saves code repetition */
1545
1546 for (i = 0; i < 2; i++)
1547   {
1548   int size = 0;
1549   header_line *h;
1550
1551   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1552     {
1553     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1554       {
1555       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1556         {
1557         int ilen;
1558         uschar *t;
1559
1560         if (exists_only) return US"1";      /* don't need actual string */
1561         found = TRUE;
1562         t = h->text + len;                  /* text to insert */
1563         if (!want_raw)                      /* unless wanted raw, */
1564           while (isspace(*t)) t++;          /* remove leading white space */
1565         ilen = h->slen - (t - h->text);     /* length to insert */
1566
1567         /* Unless wanted raw, remove trailing whitespace, including the
1568         newline. */
1569
1570         if (!want_raw)
1571           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1572
1573         /* Set comma = 1 if handling a single header and it's one of those
1574         that contains an address list, except when asked for raw headers. Only
1575         need to do this once. */
1576
1577         if (!want_raw && name != NULL && comma == 0 &&
1578             Ustrchr("BCFRST", h->type) != NULL)
1579           comma = 1;
1580
1581         /* First pass - compute total store needed; second pass - compute
1582         total store used, including this header. */
1583
1584         size += ilen + comma + 1;  /* +1 for the newline */
1585
1586         /* Second pass - concatentate the data, up to a maximum. Note that
1587         the loop stops when size hits the limit. */
1588
1589         if (i != 0)
1590           {
1591           if (size > header_insert_maxlen)
1592             {
1593             ilen -= size - header_insert_maxlen - 1;
1594             comma = 0;
1595             }
1596           Ustrncpy(ptr, t, ilen);
1597           ptr += ilen;
1598
1599           /* For a non-raw header, put in the comma if needed, then add
1600           back the newline we removed above, provided there was some text in
1601           the header. */
1602
1603           if (!want_raw && ilen > 0)
1604             {
1605             if (comma != 0) *ptr++ = ',';
1606             *ptr++ = '\n';
1607             }
1608           }
1609         }
1610       }
1611     }
1612
1613   /* At end of first pass, return NULL if no header found. Then truncate size
1614   if necessary, and get the buffer to hold the data, returning the buffer size.
1615   */
1616
1617   if (i == 0)
1618     {
1619     if (!found) return NULL;
1620     if (size > header_insert_maxlen) size = header_insert_maxlen;
1621     *newsize = size + 1;
1622     ptr = yield = store_get(*newsize);
1623     }
1624   }
1625
1626 /* That's all we do for raw header expansion. */
1627
1628 if (want_raw)
1629   {
1630   *ptr = 0;
1631   }
1632
1633 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1634 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1635 function can return an error with decoded data if the charset translation
1636 fails. If decoding fails, it returns NULL. */
1637
1638 else
1639   {
1640   uschar *decoded, *error;
1641   if (ptr > yield && ptr[-1] == '\n') ptr--;
1642   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1643   *ptr = 0;
1644   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1645     newsize, &error);
1646   if (error != NULL)
1647     {
1648     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1649       "    input was: %s\n", error, yield);
1650     }
1651   if (decoded != NULL) yield = decoded;
1652   }
1653
1654 return yield;
1655 }
1656
1657
1658
1659
1660 /*************************************************
1661 *               Return list of recipients        *
1662 *************************************************/
1663 /* A recipients list is available only during system message filtering,
1664 during ACL processing after DATA, and while expanding pipe commands
1665 generated from a system filter, but not elsewhere. */
1666
1667 static uschar *
1668 fn_recipients(void)
1669 {
1670 if (!enable_dollar_recipients) return NULL; else
1671   {
1672   int size = 128;
1673   int ptr = 0;
1674   int i;
1675   uschar * s = store_get(size);
1676   for (i = 0; i < recipients_count; i++)
1677     {
1678     if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1679     s = string_cat(s, &size, &ptr, recipients_list[i].address,
1680       Ustrlen(recipients_list[i].address));
1681     }
1682   s[ptr] = 0;     /* string_cat() leaves room */
1683   return s;
1684   }
1685 }
1686
1687
1688 /*************************************************
1689 *               Find value of a variable         *
1690 *************************************************/
1691
1692 /* The table of variables is kept in alphabetic order, so we can search it
1693 using a binary chop. The "choplen" variable is nothing to do with the binary
1694 chop.
1695
1696 Arguments:
1697   name          the name of the variable being sought
1698   exists_only   TRUE if this is a def: test; passed on to find_header()
1699   skipping      TRUE => skip any processing evaluation; this is not the same as
1700                   exists_only because def: may test for values that are first
1701                   evaluated here
1702   newsize       pointer to an int which is initially zero; if the answer is in
1703                 a new memory buffer, *newsize is set to its size
1704
1705 Returns:        NULL if the variable does not exist, or
1706                 a pointer to the variable's contents, or
1707                 something non-NULL if exists_only is TRUE
1708 */
1709
1710 static uschar *
1711 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1712 {
1713 var_entry * vp;
1714 uschar *s, *domain;
1715 uschar **ss;
1716 void * val;
1717
1718 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1719 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1720 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1721 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1722 (this gave backwards compatibility at the changeover). There may be built-in
1723 variables whose names start acl_ but they should never start in this way. This
1724 slightly messy specification is a consequence of the history, needless to say.
1725
1726 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1727 set, in which case give an error. */
1728
1729 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1730      !isalpha(name[5]))
1731   {
1732   tree_node *node =
1733     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1734   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1735   }
1736
1737 /* Handle $auth<n> variables. */
1738
1739 if (Ustrncmp(name, "auth", 4) == 0)
1740   {
1741   uschar *endptr;
1742   int n = Ustrtoul(name + 4, &endptr, 10);
1743   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1744     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1745   }
1746 else if (Ustrncmp(name, "regex", 5) == 0)
1747   {
1748   uschar *endptr;
1749   int n = Ustrtoul(name + 5, &endptr, 10);
1750   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1751     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1752   }
1753
1754 /* For all other variables, search the table */
1755
1756 if (!(vp = find_var_ent(name)))
1757   return NULL;          /* Unknown variable name */
1758
1759 /* Found an existing variable. If in skipping state, the value isn't needed,
1760 and we want to avoid processing (such as looking up the host name). */
1761
1762 if (skipping)
1763   return US"";
1764
1765 val = vp->value;
1766 switch (vp->type)
1767   {
1768   case vtype_filter_int:
1769     if (!filter_running) return NULL;
1770     /* Fall through */
1771     /* VVVVVVVVVVVV */
1772   case vtype_int:
1773     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1774     return var_buffer;
1775
1776   case vtype_ino:
1777     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1778     return var_buffer;
1779
1780   case vtype_gid:
1781     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1782     return var_buffer;
1783
1784   case vtype_uid:
1785     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1786     return var_buffer;
1787
1788   case vtype_bool:
1789     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1790     return var_buffer;
1791
1792   case vtype_stringptr:                      /* Pointer to string */
1793     return (s = *((uschar **)(val))) ? s : US"";
1794
1795   case vtype_pid:
1796     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1797     return var_buffer;
1798
1799   case vtype_load_avg:
1800     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1801     return var_buffer;
1802
1803   case vtype_host_lookup:                    /* Lookup if not done so */
1804     if (sender_host_name == NULL && sender_host_address != NULL &&
1805         !host_lookup_failed && host_name_lookup() == OK)
1806       host_build_sender_fullhost();
1807     return (sender_host_name == NULL)? US"" : sender_host_name;
1808
1809   case vtype_localpart:                      /* Get local part from address */
1810     s = *((uschar **)(val));
1811     if (s == NULL) return US"";
1812     domain = Ustrrchr(s, '@');
1813     if (domain == NULL) return s;
1814     if (domain - s > sizeof(var_buffer) - 1)
1815       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1816           " in string expansion", sizeof(var_buffer));
1817     Ustrncpy(var_buffer, s, domain - s);
1818     var_buffer[domain - s] = 0;
1819     return var_buffer;
1820
1821   case vtype_domain:                         /* Get domain from address */
1822     s = *((uschar **)(val));
1823     if (s == NULL) return US"";
1824     domain = Ustrrchr(s, '@');
1825     return (domain == NULL)? US"" : domain + 1;
1826
1827   case vtype_msgheaders:
1828     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1829
1830   case vtype_msgheaders_raw:
1831     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1832
1833   case vtype_msgbody:                        /* Pointer to msgbody string */
1834   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1835     ss = (uschar **)(val);
1836     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1837       {
1838       uschar *body;
1839       off_t start_offset = SPOOL_DATA_START_OFFSET;
1840       int len = message_body_visible;
1841       if (len > message_size) len = message_size;
1842       *ss = body = store_malloc(len+1);
1843       body[0] = 0;
1844       if (vp->type == vtype_msgbody_end)
1845         {
1846         struct stat statbuf;
1847         if (fstat(deliver_datafile, &statbuf) == 0)
1848           {
1849           start_offset = statbuf.st_size - len;
1850           if (start_offset < SPOOL_DATA_START_OFFSET)
1851             start_offset = SPOOL_DATA_START_OFFSET;
1852           }
1853         }
1854       lseek(deliver_datafile, start_offset, SEEK_SET);
1855       len = read(deliver_datafile, body, len);
1856       if (len > 0)
1857         {
1858         body[len] = 0;
1859         if (message_body_newlines)   /* Separate loops for efficiency */
1860           while (len > 0)
1861             { if (body[--len] == 0) body[len] = ' '; }
1862         else
1863           while (len > 0)
1864             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1865         }
1866       }
1867     return (*ss == NULL)? US"" : *ss;
1868
1869   case vtype_todbsdin:                       /* BSD inbox time of day */
1870     return tod_stamp(tod_bsdin);
1871
1872   case vtype_tode:                           /* Unix epoch time of day */
1873     return tod_stamp(tod_epoch);
1874
1875   case vtype_todel:                          /* Unix epoch/usec time of day */
1876     return tod_stamp(tod_epoch_l);
1877
1878   case vtype_todf:                           /* Full time of day */
1879     return tod_stamp(tod_full);
1880
1881   case vtype_todl:                           /* Log format time of day */
1882     return tod_stamp(tod_log_bare);            /* (without timezone) */
1883
1884   case vtype_todzone:                        /* Time zone offset only */
1885     return tod_stamp(tod_zone);
1886
1887   case vtype_todzulu:                        /* Zulu time */
1888     return tod_stamp(tod_zulu);
1889
1890   case vtype_todlf:                          /* Log file datestamp tod */
1891     return tod_stamp(tod_log_datestamp_daily);
1892
1893   case vtype_reply:                          /* Get reply address */
1894     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1895       headers_charset);
1896     if (s != NULL) while (isspace(*s)) s++;
1897     if (s == NULL || *s == 0)
1898       {
1899       *newsize = 0;                            /* For the *s==0 case */
1900       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1901       }
1902     if (s != NULL)
1903       {
1904       uschar *t;
1905       while (isspace(*s)) s++;
1906       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1907       while (t > s && isspace(t[-1])) t--;
1908       *t = 0;
1909       }
1910     return (s == NULL)? US"" : s;
1911
1912   case vtype_string_func:
1913     {
1914     uschar * (*fn)() = val;
1915     return fn();
1916     }
1917
1918   case vtype_pspace:
1919     {
1920     int inodes;
1921     sprintf(CS var_buffer, "%d",
1922       receive_statvfs(val == (void *)TRUE, &inodes));
1923     }
1924   return var_buffer;
1925
1926   case vtype_pinodes:
1927     {
1928     int inodes;
1929     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1930     sprintf(CS var_buffer, "%d", inodes);
1931     }
1932   return var_buffer;
1933
1934   case vtype_cert:
1935     return *(void **)val ? US"<cert>" : US"";
1936
1937 #ifndef DISABLE_DKIM
1938   case vtype_dkim:
1939     return dkim_exim_expand_query((int)(long)val);
1940 #endif
1941
1942   }
1943
1944 return NULL;  /* Unknown variable. Silences static checkers. */
1945 }
1946
1947
1948
1949
1950 void
1951 modify_variable(uschar *name, void * value)
1952 {
1953 var_entry * vp;
1954 if ((vp = find_var_ent(name))) vp->value = value;
1955 return;          /* Unknown variable name, fail silently */
1956 }
1957
1958
1959
1960
1961
1962 /*************************************************
1963 *           Read and expand substrings           *
1964 *************************************************/
1965
1966 /* This function is called to read and expand argument substrings for various
1967 expansion items. Some have a minimum requirement that is less than the maximum;
1968 in these cases, the first non-present one is set to NULL.
1969
1970 Arguments:
1971   sub        points to vector of pointers to set
1972   n          maximum number of substrings
1973   m          minimum required
1974   sptr       points to current string pointer
1975   skipping   the skipping flag
1976   check_end  if TRUE, check for final '}'
1977   name       name of item, for error message
1978   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1979              the store.
1980
1981 Returns:     0 OK; string pointer updated
1982              1 curly bracketing error (too few arguments)
1983              2 too many arguments (only if check_end is set); message set
1984              3 other error (expansion failure)
1985 */
1986
1987 static int
1988 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1989   BOOL check_end, uschar *name, BOOL *resetok)
1990 {
1991 int i;
1992 const uschar *s = *sptr;
1993
1994 while (isspace(*s)) s++;
1995 for (i = 0; i < n; i++)
1996   {
1997   if (*s != '{')
1998     {
1999     if (i < m) return 1;
2000     sub[i] = NULL;
2001     break;
2002     }
2003   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok);
2004   if (sub[i] == NULL) return 3;
2005   if (*s++ != '}') return 1;
2006   while (isspace(*s)) s++;
2007   }
2008 if (check_end && *s++ != '}')
2009   {
2010   if (s[-1] == '{')
2011     {
2012     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
2013       "(max is %d)", name, n);
2014     return 2;
2015     }
2016   return 1;
2017   }
2018
2019 *sptr = s;
2020 return 0;
2021 }
2022
2023
2024
2025
2026 /*************************************************
2027 *     Elaborate message for bad variable         *
2028 *************************************************/
2029
2030 /* For the "unknown variable" message, take a look at the variable's name, and
2031 give additional information about possible ACL variables. The extra information
2032 is added on to expand_string_message.
2033
2034 Argument:   the name of the variable
2035 Returns:    nothing
2036 */
2037
2038 static void
2039 check_variable_error_message(uschar *name)
2040 {
2041 if (Ustrncmp(name, "acl_", 4) == 0)
2042   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2043     (name[4] == 'c' || name[4] == 'm')?
2044       (isalpha(name[5])?
2045         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2046         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2047       ) :
2048       US"user-defined ACL variables must start acl_c or acl_m");
2049 }
2050
2051
2052
2053 /*
2054 Load args from sub array to globals, and call acl_check().
2055 Sub array will be corrupted on return.
2056
2057 Returns:       OK         access is granted by an ACCEPT verb
2058                DISCARD    access is granted by a DISCARD verb
2059                FAIL       access is denied
2060                FAIL_DROP  access is denied; drop the connection
2061                DEFER      can't tell at the moment
2062                ERROR      disaster
2063 */
2064 static int
2065 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2066 {
2067 int i;
2068 int sav_narg = acl_narg;
2069 int ret;
2070 uschar * dummy_logmsg;
2071 extern int acl_where;
2072
2073 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2074 for (i = 0; i < nsub && sub[i+1]; i++)
2075   {
2076   uschar * tmp = acl_arg[i];
2077   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2078   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2079   }
2080 acl_narg = i;
2081 while (i < nsub)
2082   {
2083   sub[i+1] = acl_arg[i];
2084   acl_arg[i++] = NULL;
2085   }
2086
2087 DEBUG(D_expand)
2088   debug_printf("expanding: acl: %s  arg: %s%s\n",
2089     sub[0],
2090     acl_narg>0 ? acl_arg[0] : US"<none>",
2091     acl_narg>1 ? " +more"   : "");
2092
2093 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2094
2095 for (i = 0; i < nsub; i++)
2096   acl_arg[i] = sub[i+1];        /* restore old args */
2097 acl_narg = sav_narg;
2098
2099 return ret;
2100 }
2101
2102
2103
2104
2105 /*************************************************
2106 *        Read and evaluate a condition           *
2107 *************************************************/
2108
2109 /*
2110 Arguments:
2111   s        points to the start of the condition text
2112   resetok  points to a BOOL which is written false if it is unsafe to
2113            free memory. Certain condition types (acl) may have side-effect
2114            allocation which must be preserved.
2115   yield    points to a BOOL to hold the result of the condition test;
2116            if NULL, we are just reading through a condition that is
2117            part of an "or" combination to check syntax, or in a state
2118            where the answer isn't required
2119
2120 Returns:   a pointer to the first character after the condition, or
2121            NULL after an error
2122 */
2123
2124 static const uschar *
2125 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2126 {
2127 BOOL testfor = TRUE;
2128 BOOL tempcond, combined_cond;
2129 BOOL *subcondptr;
2130 BOOL sub2_honour_dollar = TRUE;
2131 int i, rc, cond_type, roffset;
2132 int_eximarith_t num[2];
2133 struct stat statbuf;
2134 uschar name[256];
2135 const uschar *sub[10];
2136
2137 const pcre *re;
2138 const uschar *rerror;
2139
2140 for (;;)
2141   {
2142   while (isspace(*s)) s++;
2143   if (*s == '!') { testfor = !testfor; s++; } else break;
2144   }
2145
2146 /* Numeric comparisons are symbolic */
2147
2148 if (*s == '=' || *s == '>' || *s == '<')
2149   {
2150   int p = 0;
2151   name[p++] = *s++;
2152   if (*s == '=')
2153     {
2154     name[p++] = '=';
2155     s++;
2156     }
2157   name[p] = 0;
2158   }
2159
2160 /* All other conditions are named */
2161
2162 else s = read_name(name, 256, s, US"_");
2163
2164 /* If we haven't read a name, it means some non-alpha character is first. */
2165
2166 if (name[0] == 0)
2167   {
2168   expand_string_message = string_sprintf("condition name expected, "
2169     "but found \"%.16s\"", s);
2170   return NULL;
2171   }
2172
2173 /* Find which condition we are dealing with, and switch on it */
2174
2175 cond_type = chop_match(name, cond_table, nelem(cond_table));
2176 switch(cond_type)
2177   {
2178   /* def: tests for a non-empty variable, or for the existence of a header. If
2179   yield == NULL we are in a skipping state, and don't care about the answer. */
2180
2181   case ECOND_DEF:
2182   if (*s != ':')
2183     {
2184     expand_string_message = US"\":\" expected after \"def\"";
2185     return NULL;
2186     }
2187
2188   s = read_name(name, 256, s+1, US"_");
2189
2190   /* Test for a header's existence. If the name contains a closing brace
2191   character, this may be a user error where the terminating colon has been
2192   omitted. Set a flag to adjust a subsequent error message in this case. */
2193
2194   if (Ustrncmp(name, "h_", 2) == 0 ||
2195       Ustrncmp(name, "rh_", 3) == 0 ||
2196       Ustrncmp(name, "bh_", 3) == 0 ||
2197       Ustrncmp(name, "header_", 7) == 0 ||
2198       Ustrncmp(name, "rheader_", 8) == 0 ||
2199       Ustrncmp(name, "bheader_", 8) == 0)
2200     {
2201     s = read_header_name(name, 256, s);
2202     /* {-for-text-editors */
2203     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2204     if (yield != NULL) *yield =
2205       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2206     }
2207
2208   /* Test for a variable's having a non-empty value. A non-existent variable
2209   causes an expansion failure. */
2210
2211   else
2212     {
2213     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2214     if (value == NULL)
2215       {
2216       expand_string_message = (name[0] == 0)?
2217         string_sprintf("variable name omitted after \"def:\"") :
2218         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2219       check_variable_error_message(name);
2220       return NULL;
2221       }
2222     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2223     }
2224
2225   return s;
2226
2227
2228   /* first_delivery tests for first delivery attempt */
2229
2230   case ECOND_FIRST_DELIVERY:
2231   if (yield != NULL) *yield = deliver_firsttime == testfor;
2232   return s;
2233
2234
2235   /* queue_running tests for any process started by a queue runner */
2236
2237   case ECOND_QUEUE_RUNNING:
2238   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2239   return s;
2240
2241
2242   /* exists:  tests for file existence
2243        isip:  tests for any IP address
2244       isip4:  tests for an IPv4 address
2245       isip6:  tests for an IPv6 address
2246         pam:  does PAM authentication
2247      radius:  does RADIUS authentication
2248    ldapauth:  does LDAP authentication
2249     pwcheck:  does Cyrus SASL pwcheck authentication
2250   */
2251
2252   case ECOND_EXISTS:
2253   case ECOND_ISIP:
2254   case ECOND_ISIP4:
2255   case ECOND_ISIP6:
2256   case ECOND_PAM:
2257   case ECOND_RADIUS:
2258   case ECOND_LDAPAUTH:
2259   case ECOND_PWCHECK:
2260
2261   while (isspace(*s)) s++;
2262   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2263
2264   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2265   if (sub[0] == NULL) return NULL;
2266   /* {-for-text-editors */
2267   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2268
2269   if (yield == NULL) return s;   /* No need to run the test if skipping */
2270
2271   switch(cond_type)
2272     {
2273     case ECOND_EXISTS:
2274     if ((expand_forbid & RDO_EXISTS) != 0)
2275       {
2276       expand_string_message = US"File existence tests are not permitted";
2277       return NULL;
2278       }
2279     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2280     break;
2281
2282     case ECOND_ISIP:
2283     case ECOND_ISIP4:
2284     case ECOND_ISIP6:
2285     rc = string_is_ip_address(sub[0], NULL);
2286     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2287              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2288     break;
2289
2290     /* Various authentication tests - all optionally compiled */
2291
2292     case ECOND_PAM:
2293     #ifdef SUPPORT_PAM
2294     rc = auth_call_pam(sub[0], &expand_string_message);
2295     goto END_AUTH;
2296     #else
2297     goto COND_FAILED_NOT_COMPILED;
2298     #endif  /* SUPPORT_PAM */
2299
2300     case ECOND_RADIUS:
2301     #ifdef RADIUS_CONFIG_FILE
2302     rc = auth_call_radius(sub[0], &expand_string_message);
2303     goto END_AUTH;
2304     #else
2305     goto COND_FAILED_NOT_COMPILED;
2306     #endif  /* RADIUS_CONFIG_FILE */
2307
2308     case ECOND_LDAPAUTH:
2309     #ifdef LOOKUP_LDAP
2310       {
2311       /* Just to keep the interface the same */
2312       BOOL do_cache;
2313       int old_pool = store_pool;
2314       store_pool = POOL_SEARCH;
2315       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2316         &expand_string_message, &do_cache);
2317       store_pool = old_pool;
2318       }
2319     goto END_AUTH;
2320     #else
2321     goto COND_FAILED_NOT_COMPILED;
2322     #endif  /* LOOKUP_LDAP */
2323
2324     case ECOND_PWCHECK:
2325     #ifdef CYRUS_PWCHECK_SOCKET
2326     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2327     goto END_AUTH;
2328     #else
2329     goto COND_FAILED_NOT_COMPILED;
2330     #endif  /* CYRUS_PWCHECK_SOCKET */
2331
2332     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2333         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2334     END_AUTH:
2335     if (rc == ERROR || rc == DEFER) return NULL;
2336     *yield = (rc == OK) == testfor;
2337     #endif
2338     }
2339   return s;
2340
2341
2342   /* call ACL (in a conditional context).  Accept true, deny false.
2343   Defer is a forced-fail.  Anything set by message= goes to $value.
2344   Up to ten parameters are used; we use the braces round the name+args
2345   like the saslauthd condition does, to permit a variable number of args.
2346   See also the expansion-item version EITEM_ACL and the traditional
2347   acl modifier ACLC_ACL.
2348   Since the ACL may allocate new global variables, tell our caller to not
2349   reclaim memory.
2350   */
2351
2352   case ECOND_ACL:
2353     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2354     {
2355     uschar *sub[10];
2356     uschar *user_msg;
2357     BOOL cond = FALSE;
2358     int size = 0;
2359     int ptr = 0;
2360
2361     while (isspace(*s)) s++;
2362     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2363
2364     switch(read_subs(sub, nelem(sub), 1,
2365       &s, yield == NULL, TRUE, US"acl", resetok))
2366       {
2367       case 1: expand_string_message = US"too few arguments or bracketing "
2368         "error for acl";
2369       case 2:
2370       case 3: return NULL;
2371       }
2372
2373     *resetok = FALSE;
2374     if (yield != NULL) switch(eval_acl(sub, nelem(sub), &user_msg))
2375         {
2376         case OK:
2377           cond = TRUE;
2378         case FAIL:
2379           lookup_value = NULL;
2380           if (user_msg)
2381             {
2382             lookup_value = string_cat(NULL, &size, &ptr, user_msg, Ustrlen(user_msg));
2383             lookup_value[ptr] = '\0';
2384             }
2385           *yield = cond == testfor;
2386           break;
2387
2388         case DEFER:
2389           expand_string_forcedfail = TRUE;
2390         default:
2391           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2392           return NULL;
2393         }
2394     return s;
2395     }
2396
2397
2398   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2399
2400      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2401
2402   However, the last two are optional. That is why the whole set is enclosed
2403   in their own set of braces. */
2404
2405   case ECOND_SASLAUTHD:
2406 #ifndef CYRUS_SASLAUTHD_SOCKET
2407     goto COND_FAILED_NOT_COMPILED;
2408 #else
2409     {
2410     uschar *sub[4];
2411     while (isspace(*s)) s++;
2412     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2413     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2414                     resetok))
2415       {
2416       case 1: expand_string_message = US"too few arguments or bracketing "
2417         "error for saslauthd";
2418       case 2:
2419       case 3: return NULL;
2420       }
2421     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2422     if (yield != NULL)
2423       {
2424       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2425         &expand_string_message);
2426       if (rc == ERROR || rc == DEFER) return NULL;
2427       *yield = (rc == OK) == testfor;
2428       }
2429     return s;
2430     }
2431 #endif /* CYRUS_SASLAUTHD_SOCKET */
2432
2433
2434   /* symbolic operators for numeric and string comparison, and a number of
2435   other operators, all requiring two arguments.
2436
2437   crypteq:           encrypts plaintext and compares against an encrypted text,
2438                        using crypt(), crypt16(), MD5 or SHA-1
2439   inlist/inlisti:    checks if first argument is in the list of the second
2440   match:             does a regular expression match and sets up the numerical
2441                        variables if it succeeds
2442   match_address:     matches in an address list
2443   match_domain:      matches in a domain list
2444   match_ip:          matches a host list that is restricted to IP addresses
2445   match_local_part:  matches in a local part list
2446   */
2447
2448   case ECOND_MATCH_ADDRESS:
2449   case ECOND_MATCH_DOMAIN:
2450   case ECOND_MATCH_IP:
2451   case ECOND_MATCH_LOCAL_PART:
2452 #ifndef EXPAND_LISTMATCH_RHS
2453     sub2_honour_dollar = FALSE;
2454 #endif
2455     /* FALLTHROUGH */
2456
2457   case ECOND_CRYPTEQ:
2458   case ECOND_INLIST:
2459   case ECOND_INLISTI:
2460   case ECOND_MATCH:
2461
2462   case ECOND_NUM_L:     /* Numerical comparisons */
2463   case ECOND_NUM_LE:
2464   case ECOND_NUM_E:
2465   case ECOND_NUM_EE:
2466   case ECOND_NUM_G:
2467   case ECOND_NUM_GE:
2468
2469   case ECOND_STR_LT:    /* String comparisons */
2470   case ECOND_STR_LTI:
2471   case ECOND_STR_LE:
2472   case ECOND_STR_LEI:
2473   case ECOND_STR_EQ:
2474   case ECOND_STR_EQI:
2475   case ECOND_STR_GT:
2476   case ECOND_STR_GTI:
2477   case ECOND_STR_GE:
2478   case ECOND_STR_GEI:
2479
2480   for (i = 0; i < 2; i++)
2481     {
2482     /* Sometimes, we don't expand substrings; too many insecure configurations
2483     created using match_address{}{} and friends, where the second param
2484     includes information from untrustworthy sources. */
2485     BOOL honour_dollar = TRUE;
2486     if ((i > 0) && !sub2_honour_dollar)
2487       honour_dollar = FALSE;
2488
2489     while (isspace(*s)) s++;
2490     if (*s != '{')
2491       {
2492       if (i == 0) goto COND_FAILED_CURLY_START;
2493       expand_string_message = string_sprintf("missing 2nd string in {} "
2494         "after \"%s\"", name);
2495       return NULL;
2496       }
2497     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2498         honour_dollar, resetok);
2499     if (sub[i] == NULL) return NULL;
2500     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2501
2502     /* Convert to numerical if required; we know that the names of all the
2503     conditions that compare numbers do not start with a letter. This just saves
2504     checking for them individually. */
2505
2506     if (!isalpha(name[0]) && yield != NULL)
2507       {
2508       if (sub[i][0] == 0)
2509         {
2510         num[i] = 0;
2511         DEBUG(D_expand)
2512           debug_printf("empty string cast to zero for numerical comparison\n");
2513         }
2514       else
2515         {
2516         num[i] = expanded_string_integer(sub[i], FALSE);
2517         if (expand_string_message != NULL) return NULL;
2518         }
2519       }
2520     }
2521
2522   /* Result not required */
2523
2524   if (yield == NULL) return s;
2525
2526   /* Do an appropriate comparison */
2527
2528   switch(cond_type)
2529     {
2530     case ECOND_NUM_E:
2531     case ECOND_NUM_EE:
2532     tempcond = (num[0] == num[1]);
2533     break;
2534
2535     case ECOND_NUM_G:
2536     tempcond = (num[0] > num[1]);
2537     break;
2538
2539     case ECOND_NUM_GE:
2540     tempcond = (num[0] >= num[1]);
2541     break;
2542
2543     case ECOND_NUM_L:
2544     tempcond = (num[0] < num[1]);
2545     break;
2546
2547     case ECOND_NUM_LE:
2548     tempcond = (num[0] <= num[1]);
2549     break;
2550
2551     case ECOND_STR_LT:
2552     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2553     break;
2554
2555     case ECOND_STR_LTI:
2556     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2557     break;
2558
2559     case ECOND_STR_LE:
2560     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2561     break;
2562
2563     case ECOND_STR_LEI:
2564     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2565     break;
2566
2567     case ECOND_STR_EQ:
2568     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2569     break;
2570
2571     case ECOND_STR_EQI:
2572     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2573     break;
2574
2575     case ECOND_STR_GT:
2576     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2577     break;
2578
2579     case ECOND_STR_GTI:
2580     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2581     break;
2582
2583     case ECOND_STR_GE:
2584     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2585     break;
2586
2587     case ECOND_STR_GEI:
2588     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2589     break;
2590
2591     case ECOND_MATCH:   /* Regular expression match */
2592     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2593       NULL);
2594     if (re == NULL)
2595       {
2596       expand_string_message = string_sprintf("regular expression error in "
2597         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2598       return NULL;
2599       }
2600     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2601     break;
2602
2603     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2604     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2605     goto MATCHED_SOMETHING;
2606
2607     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2608     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2609       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2610     goto MATCHED_SOMETHING;
2611
2612     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2613     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2614       {
2615       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2616         sub[0]);
2617       return NULL;
2618       }
2619     else
2620       {
2621       unsigned int *nullcache = NULL;
2622       check_host_block cb;
2623
2624       cb.host_name = US"";
2625       cb.host_address = sub[0];
2626
2627       /* If the host address starts off ::ffff: it is an IPv6 address in
2628       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2629       addresses. */
2630
2631       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2632         cb.host_address + 7 : cb.host_address;
2633
2634       rc = match_check_list(
2635              &sub[1],                   /* the list */
2636              0,                         /* separator character */
2637              &hostlist_anchor,          /* anchor pointer */
2638              &nullcache,                /* cache pointer */
2639              check_host,                /* function for testing */
2640              &cb,                       /* argument for function */
2641              MCL_HOST,                  /* type of check */
2642              sub[0],                    /* text for debugging */
2643              NULL);                     /* where to pass back data */
2644       }
2645     goto MATCHED_SOMETHING;
2646
2647     case ECOND_MATCH_LOCAL_PART:
2648     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2649       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2650     /* Fall through */
2651     /* VVVVVVVVVVVV */
2652     MATCHED_SOMETHING:
2653     switch(rc)
2654       {
2655       case OK:
2656       tempcond = TRUE;
2657       break;
2658
2659       case FAIL:
2660       tempcond = FALSE;
2661       break;
2662
2663       case DEFER:
2664       expand_string_message = string_sprintf("unable to complete match "
2665         "against \"%s\": %s", sub[1], search_error_message);
2666       return NULL;
2667       }
2668
2669     break;
2670
2671     /* Various "encrypted" comparisons. If the second string starts with
2672     "{" then an encryption type is given. Default to crypt() or crypt16()
2673     (build-time choice). */
2674     /* }-for-text-editors */
2675
2676     case ECOND_CRYPTEQ:
2677     #ifndef SUPPORT_CRYPTEQ
2678     goto COND_FAILED_NOT_COMPILED;
2679     #else
2680     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2681       {
2682       int sublen = Ustrlen(sub[1]+5);
2683       md5 base;
2684       uschar digest[16];
2685
2686       md5_start(&base);
2687       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2688
2689       /* If the length that we are comparing against is 24, the MD5 digest
2690       is expressed as a base64 string. This is the way LDAP does it. However,
2691       some other software uses a straightforward hex representation. We assume
2692       this if the length is 32. Other lengths fail. */
2693
2694       if (sublen == 24)
2695         {
2696         uschar *coded = b64encode((uschar *)digest, 16);
2697         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2698           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2699         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2700         }
2701       else if (sublen == 32)
2702         {
2703         int i;
2704         uschar coded[36];
2705         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2706         coded[32] = 0;
2707         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2708           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2709         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2710         }
2711       else
2712         {
2713         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2714           "fail\n  crypted=%s\n", sub[1]+5);
2715         tempcond = FALSE;
2716         }
2717       }
2718
2719     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2720       {
2721       int sublen = Ustrlen(sub[1]+6);
2722       sha1 base;
2723       uschar digest[20];
2724
2725       sha1_start(&base);
2726       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2727
2728       /* If the length that we are comparing against is 28, assume the SHA1
2729       digest is expressed as a base64 string. If the length is 40, assume a
2730       straightforward hex representation. Other lengths fail. */
2731
2732       if (sublen == 28)
2733         {
2734         uschar *coded = b64encode((uschar *)digest, 20);
2735         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2736           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2737         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2738         }
2739       else if (sublen == 40)
2740         {
2741         int i;
2742         uschar coded[44];
2743         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2744         coded[40] = 0;
2745         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2746           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2747         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2748         }
2749       else
2750         {
2751         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2752           "fail\n  crypted=%s\n", sub[1]+6);
2753         tempcond = FALSE;
2754         }
2755       }
2756
2757     else   /* {crypt} or {crypt16} and non-{ at start */
2758            /* }-for-text-editors */
2759       {
2760       int which = 0;
2761       uschar *coded;
2762
2763       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2764         {
2765         sub[1] += 7;
2766         which = 1;
2767         }
2768       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2769         {
2770         sub[1] += 9;
2771         which = 2;
2772         }
2773       else if (sub[1][0] == '{')                /* }-for-text-editors */
2774         {
2775         expand_string_message = string_sprintf("unknown encryption mechanism "
2776           "in \"%s\"", sub[1]);
2777         return NULL;
2778         }
2779
2780       switch(which)
2781         {
2782         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2783         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2784         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2785         }
2786
2787       #define STR(s) # s
2788       #define XSTR(s) STR(s)
2789       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2790         "  subject=%s\n  crypted=%s\n",
2791         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2792         coded, sub[1]);
2793       #undef STR
2794       #undef XSTR
2795
2796       /* If the encrypted string contains fewer than two characters (for the
2797       salt), force failure. Otherwise we get false positives: with an empty
2798       string the yield of crypt() is an empty string! */
2799
2800       if (coded)
2801         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2802       else if (errno == EINVAL)
2803         tempcond = FALSE;
2804       else
2805         {
2806         expand_string_message = string_sprintf("crypt error: %s\n",
2807           US strerror(errno));
2808         return NULL;
2809         }
2810       }
2811     break;
2812     #endif  /* SUPPORT_CRYPTEQ */
2813
2814     case ECOND_INLIST:
2815     case ECOND_INLISTI:
2816       {
2817       const uschar * list = sub[1];
2818       int sep = 0;
2819       uschar *save_iterate_item = iterate_item;
2820       int (*compare)(const uschar *, const uschar *);
2821
2822       DEBUG(D_expand) debug_printf("condition: %s\n", name);
2823
2824       tempcond = FALSE;
2825       compare = cond_type == ECOND_INLISTI
2826         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2827
2828       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2829         if (compare(sub[0], iterate_item) == 0)
2830           {
2831           tempcond = TRUE;
2832           break;
2833           }
2834       iterate_item = save_iterate_item;
2835       }
2836
2837     }   /* Switch for comparison conditions */
2838
2839   *yield = tempcond == testfor;
2840   return s;    /* End of comparison conditions */
2841
2842
2843   /* and/or: computes logical and/or of several conditions */
2844
2845   case ECOND_AND:
2846   case ECOND_OR:
2847   subcondptr = (yield == NULL)? NULL : &tempcond;
2848   combined_cond = (cond_type == ECOND_AND);
2849
2850   while (isspace(*s)) s++;
2851   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2852
2853   for (;;)
2854     {
2855     while (isspace(*s)) s++;
2856     /* {-for-text-editors */
2857     if (*s == '}') break;
2858     if (*s != '{')                                      /* }-for-text-editors */
2859       {
2860       expand_string_message = string_sprintf("each subcondition "
2861         "inside an \"%s{...}\" condition must be in its own {}", name);
2862       return NULL;
2863       }
2864
2865     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2866       {
2867       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2868         expand_string_message, name);
2869       return NULL;
2870       }
2871     while (isspace(*s)) s++;
2872
2873     /* {-for-text-editors */
2874     if (*s++ != '}')
2875       {
2876       /* {-for-text-editors */
2877       expand_string_message = string_sprintf("missing } at end of condition "
2878         "inside \"%s\" group", name);
2879       return NULL;
2880       }
2881
2882     if (yield != NULL)
2883       {
2884       if (cond_type == ECOND_AND)
2885         {
2886         combined_cond &= tempcond;
2887         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2888         }                                       /* evaluate any more */
2889       else
2890         {
2891         combined_cond |= tempcond;
2892         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2893         }                                       /* evaluate any more */
2894       }
2895     }
2896
2897   if (yield != NULL) *yield = (combined_cond == testfor);
2898   return ++s;
2899
2900
2901   /* forall/forany: iterates a condition with different values */
2902
2903   case ECOND_FORALL:
2904   case ECOND_FORANY:
2905     {
2906     const uschar * list;
2907     int sep = 0;
2908     uschar *save_iterate_item = iterate_item;
2909
2910     DEBUG(D_expand) debug_printf("condition: %s\n", name);
2911
2912     while (isspace(*s)) s++;
2913     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2914     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2915     if (sub[0] == NULL) return NULL;
2916     /* {-for-text-editors */
2917     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2918
2919     while (isspace(*s)) s++;
2920     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2921
2922     sub[1] = s;
2923
2924     /* Call eval_condition once, with result discarded (as if scanning a
2925     "false" part). This allows us to find the end of the condition, because if
2926     the list it empty, we won't actually evaluate the condition for real. */
2927
2928     if (!(s = eval_condition(sub[1], resetok, NULL)))
2929       {
2930       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2931         expand_string_message, name);
2932       return NULL;
2933       }
2934     while (isspace(*s)) s++;
2935
2936     /* {-for-text-editors */
2937     if (*s++ != '}')
2938       {
2939       /* {-for-text-editors */
2940       expand_string_message = string_sprintf("missing } at end of condition "
2941         "inside \"%s\"", name);
2942       return NULL;
2943       }
2944
2945     if (yield != NULL) *yield = !testfor;
2946     list = sub[0];
2947     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2948       {
2949       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2950       if (!eval_condition(sub[1], resetok, &tempcond))
2951         {
2952         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2953           expand_string_message, name);
2954         iterate_item = save_iterate_item;
2955         return NULL;
2956         }
2957       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2958         tempcond? "true":"false");
2959
2960       if (yield != NULL) *yield = (tempcond == testfor);
2961       if (tempcond == (cond_type == ECOND_FORANY)) break;
2962       }
2963
2964     iterate_item = save_iterate_item;
2965     return s;
2966     }
2967
2968
2969   /* The bool{} expansion condition maps a string to boolean.
2970   The values supported should match those supported by the ACL condition
2971   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2972   of true/false.  Note that Router "condition" rules have a different
2973   interpretation, where general data can be used and only a few values
2974   map to FALSE.
2975   Note that readconf.c boolean matching, for boolean configuration options,
2976   only matches true/yes/false/no.
2977   The bool_lax{} condition matches the Router logic, which is much more
2978   liberal. */
2979   case ECOND_BOOL:
2980   case ECOND_BOOL_LAX:
2981     {
2982     uschar *sub_arg[1];
2983     uschar *t, *t2;
2984     uschar *ourname;
2985     size_t len;
2986     BOOL boolvalue = FALSE;
2987     while (isspace(*s)) s++;
2988     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2989     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2990     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2991       {
2992       case 1: expand_string_message = string_sprintf(
2993                   "too few arguments or bracketing error for %s",
2994                   ourname);
2995       /*FALLTHROUGH*/
2996       case 2:
2997       case 3: return NULL;
2998       }
2999     t = sub_arg[0];
3000     while (isspace(*t)) t++;
3001     len = Ustrlen(t);
3002     if (len)
3003       {
3004       /* trailing whitespace: seems like a good idea to ignore it too */
3005       t2 = t + len - 1;
3006       while (isspace(*t2)) t2--;
3007       if (t2 != (t + len))
3008         {
3009         *++t2 = '\0';
3010         len = t2 - t;
3011         }
3012       }
3013     DEBUG(D_expand)
3014       debug_printf("considering %s: %s\n", ourname, len ? t : US"<empty>");
3015     /* logic for the lax case from expand_check_condition(), which also does
3016     expands, and the logic is both short and stable enough that there should
3017     be no maintenance burden from replicating it. */
3018     if (len == 0)
3019       boolvalue = FALSE;
3020     else if (*t == '-'
3021              ? Ustrspn(t+1, "0123456789") == len-1
3022              : Ustrspn(t,   "0123456789") == len)
3023       {
3024       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3025       /* expand_check_condition only does a literal string "0" check */
3026       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3027         boolvalue = TRUE;
3028       }
3029     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3030       boolvalue = TRUE;
3031     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3032       boolvalue = FALSE;
3033     else if (cond_type == ECOND_BOOL_LAX)
3034       boolvalue = TRUE;
3035     else
3036       {
3037       expand_string_message = string_sprintf("unrecognised boolean "
3038        "value \"%s\"", t);
3039       return NULL;
3040       }
3041     if (yield != NULL) *yield = (boolvalue == testfor);
3042     return s;
3043     }
3044
3045   /* Unknown condition */
3046
3047   default:
3048   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3049   return NULL;
3050   }   /* End switch on condition type */
3051
3052 /* Missing braces at start and end of data */
3053
3054 COND_FAILED_CURLY_START:
3055 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3056 return NULL;
3057
3058 COND_FAILED_CURLY_END:
3059 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3060   name);
3061 return NULL;
3062
3063 /* A condition requires code that is not compiled */
3064
3065 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3066     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3067     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3068 COND_FAILED_NOT_COMPILED:
3069 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3070   name);
3071 return NULL;
3072 #endif
3073 }
3074
3075
3076
3077
3078 /*************************************************
3079 *          Save numerical variables              *
3080 *************************************************/
3081
3082 /* This function is called from items such as "if" that want to preserve and
3083 restore the numbered variables.
3084
3085 Arguments:
3086   save_expand_string    points to an array of pointers to set
3087   save_expand_nlength   points to an array of ints for the lengths
3088
3089 Returns:                the value of expand max to save
3090 */
3091
3092 static int
3093 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3094 {
3095 int i;
3096 for (i = 0; i <= expand_nmax; i++)
3097   {
3098   save_expand_nstring[i] = expand_nstring[i];
3099   save_expand_nlength[i] = expand_nlength[i];
3100   }
3101 return expand_nmax;
3102 }
3103
3104
3105
3106 /*************************************************
3107 *           Restore numerical variables          *
3108 *************************************************/
3109
3110 /* This function restored saved values of numerical strings.
3111
3112 Arguments:
3113   save_expand_nmax      the number of strings to restore
3114   save_expand_string    points to an array of pointers
3115   save_expand_nlength   points to an array of ints
3116
3117 Returns:                nothing
3118 */
3119
3120 static void
3121 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3122   int *save_expand_nlength)
3123 {
3124 int i;
3125 expand_nmax = save_expand_nmax;
3126 for (i = 0; i <= expand_nmax; i++)
3127   {
3128   expand_nstring[i] = save_expand_nstring[i];
3129   expand_nlength[i] = save_expand_nlength[i];
3130   }
3131 }
3132
3133
3134
3135
3136
3137 /*************************************************
3138 *            Handle yes/no substrings            *
3139 *************************************************/
3140
3141 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3142 alternative substrings that depend on whether or not the condition was true,
3143 or the lookup or extraction succeeded. The substrings always have to be
3144 expanded, to check their syntax, but "skipping" is set when the result is not
3145 needed - this avoids unnecessary nested lookups.
3146
3147 Arguments:
3148   skipping       TRUE if we were skipping when this item was reached
3149   yes            TRUE if the first string is to be used, else use the second
3150   save_lookup    a value to put back into lookup_value before the 2nd expansion
3151   sptr           points to the input string pointer
3152   yieldptr       points to the output string pointer
3153   sizeptr        points to the output string size
3154   ptrptr         points to the output string pointer
3155   type           "lookup", "if", "extract", "run", "env", "listextract" or
3156                  "certextract" for error message
3157   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3158                 the store.
3159
3160 Returns:         0 OK; lookup_value has been reset to save_lookup
3161                  1 expansion failed
3162                  2 expansion failed because of bracketing error
3163 */
3164
3165 static int
3166 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3167   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3168 {
3169 int rc = 0;
3170 const uschar *s = *sptr;    /* Local value */
3171 uschar *sub1, *sub2;
3172
3173 /* If there are no following strings, we substitute the contents of $value for
3174 lookups and for extractions in the success case. For the ${if item, the string
3175 "true" is substituted. In the fail case, nothing is substituted for all three
3176 items. */
3177
3178 while (isspace(*s)) s++;
3179 if (*s == '}')
3180   {
3181   if (type[0] == 'i')
3182     {
3183     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
3184     }
3185   else
3186     {
3187     if (yes && lookup_value)
3188       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
3189         Ustrlen(lookup_value));
3190     lookup_value = save_lookup;
3191     }
3192   s++;
3193   goto RETURN;
3194   }
3195
3196 /* The first following string must be braced. */
3197
3198 if (*s++ != '{') goto FAILED_CURLY;
3199
3200 /* Expand the first substring. Forced failures are noticed only if we actually
3201 want this string. Set skipping in the call in the fail case (this will always
3202 be the case if we were already skipping). */
3203
3204 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3205 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3206 expand_string_forcedfail = FALSE;
3207 if (*s++ != '}') goto FAILED_CURLY;
3208
3209 /* If we want the first string, add it to the output */
3210
3211 if (yes)
3212   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
3213
3214 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3215 $value to what it was at the start of the item, so that it has this value
3216 during the second string expansion. For the call from "if" or "run" to this
3217 function, save_lookup is set to lookup_value, so that this statement does
3218 nothing. */
3219
3220 lookup_value = save_lookup;
3221
3222 /* There now follows either another substring, or "fail", or nothing. This
3223 time, forced failures are noticed only if we want the second string. We must
3224 set skipping in the nested call if we don't want this string, or if we were
3225 already skipping. */
3226
3227 while (isspace(*s)) s++;
3228 if (*s == '{')
3229   {
3230   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3231   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3232   expand_string_forcedfail = FALSE;
3233   if (*s++ != '}') goto FAILED_CURLY;
3234
3235   /* If we want the second string, add it to the output */
3236
3237   if (!yes)
3238     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
3239   }
3240
3241 /* If there is no second string, but the word "fail" is present when the use of
3242 the second string is wanted, set a flag indicating it was a forced failure
3243 rather than a syntactic error. Swallow the terminating } in case this is nested
3244 inside another lookup or if or extract. */
3245
3246 else if (*s != '}')
3247   {
3248   uschar name[256];
3249   /* deconst cast ok here as source is s anyway */
3250   s = US read_name(name, sizeof(name), s, US"_");
3251   if (Ustrcmp(name, "fail") == 0)
3252     {
3253     if (!yes && !skipping)
3254       {
3255       while (isspace(*s)) s++;
3256       if (*s++ != '}') goto FAILED_CURLY;
3257       expand_string_message =
3258         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3259       expand_string_forcedfail = TRUE;
3260       goto FAILED;
3261       }
3262     }
3263   else
3264     {
3265     expand_string_message =
3266       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3267     goto FAILED;
3268     }
3269   }
3270
3271 /* All we have to do now is to check on the final closing brace. */
3272
3273 while (isspace(*s)) s++;
3274 if (*s++ == '}') goto RETURN;
3275
3276 /* Get here if there is a bracketing failure */
3277
3278 FAILED_CURLY:
3279 rc++;
3280
3281 /* Get here for other failures */
3282
3283 FAILED:
3284 rc++;
3285
3286 /* Update the input pointer value before returning */
3287
3288 RETURN:
3289 *sptr = s;
3290 return rc;
3291 }
3292
3293
3294
3295
3296 /*************************************************
3297 *    Handle MD5 or SHA-1 computation for HMAC    *
3298 *************************************************/
3299
3300 /* These are some wrapping functions that enable the HMAC code to be a bit
3301 cleaner. A good compiler will spot the tail recursion.
3302
3303 Arguments:
3304   type         HMAC_MD5 or HMAC_SHA1
3305   remaining    are as for the cryptographic hash functions
3306
3307 Returns:       nothing
3308 */
3309
3310 static void
3311 chash_start(int type, void *base)
3312 {
3313 if (type == HMAC_MD5)
3314   md5_start((md5 *)base);
3315 else
3316   sha1_start((sha1 *)base);
3317 }
3318
3319 static void
3320 chash_mid(int type, void *base, uschar *string)
3321 {
3322 if (type == HMAC_MD5)
3323   md5_mid((md5 *)base, string);
3324 else
3325   sha1_mid((sha1 *)base, string);
3326 }
3327
3328 static void
3329 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3330 {
3331 if (type == HMAC_MD5)
3332   md5_end((md5 *)base, string, length, digest);
3333 else
3334   sha1_end((sha1 *)base, string, length, digest);
3335 }
3336
3337
3338
3339
3340
3341 /********************************************************
3342 * prvs: Get last three digits of days since Jan 1, 1970 *
3343 ********************************************************/
3344
3345 /* This is needed to implement the "prvs" BATV reverse
3346    path signing scheme
3347
3348 Argument: integer "days" offset to add or substract to
3349           or from the current number of days.
3350
3351 Returns:  pointer to string containing the last three
3352           digits of the number of days since Jan 1, 1970,
3353           modified by the offset argument, NULL if there
3354           was an error in the conversion.
3355
3356 */
3357
3358 static uschar *
3359 prvs_daystamp(int day_offset)
3360 {
3361 uschar *days = store_get(32);                /* Need at least 24 for cases */
3362 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3363   (time(NULL) + day_offset*86400)/86400);
3364 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3365 }
3366
3367
3368
3369 /********************************************************
3370 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3371 ********************************************************/
3372
3373 /* This is needed to implement the "prvs" BATV reverse
3374    path signing scheme
3375
3376 Arguments:
3377   address RFC2821 Address to use
3378       key The key to use (must be less than 64 characters
3379           in size)
3380   key_num Single-digit key number to use. Defaults to
3381           '0' when NULL.
3382
3383 Returns:  pointer to string containing the first three
3384           bytes of the final hash in hex format, NULL if
3385           there was an error in the process.
3386 */
3387
3388 static uschar *
3389 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3390 {
3391 uschar *hash_source, *p;
3392 int size = 0,offset = 0,i;
3393 sha1 sha1_base;
3394 void *use_base = &sha1_base;
3395 uschar innerhash[20];
3396 uschar finalhash[20];
3397 uschar innerkey[64];
3398 uschar outerkey[64];
3399 uschar *finalhash_hex = store_get(40);
3400
3401 if (key_num == NULL)
3402   key_num = US"0";
3403
3404 if (Ustrlen(key) > 64)
3405   return NULL;
3406
3407 hash_source = string_cat(NULL,&size,&offset,key_num,1);
3408 string_cat(hash_source,&size,&offset,daystamp,3);
3409 string_cat(hash_source,&size,&offset,address,Ustrlen(address));
3410 hash_source[offset] = '\0';
3411
3412 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
3413
3414 memset(innerkey, 0x36, 64);
3415 memset(outerkey, 0x5c, 64);
3416
3417 for (i = 0; i < Ustrlen(key); i++)
3418   {
3419   innerkey[i] ^= key[i];
3420   outerkey[i] ^= key[i];
3421   }
3422
3423 chash_start(HMAC_SHA1, use_base);
3424 chash_mid(HMAC_SHA1, use_base, innerkey);
3425 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
3426
3427 chash_start(HMAC_SHA1, use_base);
3428 chash_mid(HMAC_SHA1, use_base, outerkey);
3429 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
3430
3431 p = finalhash_hex;
3432 for (i = 0; i < 3; i++)
3433   {
3434   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3435   *p++ = hex_digits[finalhash[i] & 0x0f];
3436   }
3437 *p = '\0';
3438
3439 return finalhash_hex;
3440 }
3441
3442
3443
3444
3445 /*************************************************
3446 *        Join a file onto the output string      *
3447 *************************************************/
3448
3449 /* This is used for readfile/readsock and after a run expansion.
3450 It joins the contents of a file onto the output string, globally replacing
3451 newlines with a given string (optionally).
3452
3453 Arguments:
3454   f            the FILE
3455   yield        pointer to the expandable string
3456   sizep        pointer to the current size
3457   ptrp         pointer to the current position
3458   eol          newline replacement string, or NULL
3459
3460 Returns:       new value of string pointer
3461 */
3462
3463 static uschar *
3464 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3465 {
3466 int eollen = eol ? Ustrlen(eol) : 0;
3467 uschar buffer[1024];
3468
3469 while (Ufgets(buffer, sizeof(buffer), f))
3470   {
3471   int len = Ustrlen(buffer);
3472   if (eol && buffer[len-1] == '\n') len--;
3473   yield = string_cat(yield, sizep, ptrp, buffer, len);
3474   if (buffer[len] != 0)
3475     yield = string_cat(yield, sizep, ptrp, eol, eollen);
3476   }
3477
3478 if (yield) yield[*ptrp] = 0;
3479
3480 return yield;
3481 }
3482
3483
3484
3485
3486 /*************************************************
3487 *          Evaluate numeric expression           *
3488 *************************************************/
3489
3490 /* This is a set of mutually recursive functions that evaluate an arithmetic
3491 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3492 these functions that is called from elsewhere is eval_expr, whose interface is:
3493
3494 Arguments:
3495   sptr        pointer to the pointer to the string - gets updated
3496   decimal     TRUE if numbers are to be assumed decimal
3497   error       pointer to where to put an error message - must be NULL on input
3498   endket      TRUE if ')' must terminate - FALSE for external call
3499
3500 Returns:      on success: the value of the expression, with *error still NULL
3501               on failure: an undefined value, with *error = a message
3502 */
3503
3504 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3505
3506
3507 static int_eximarith_t
3508 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3509 {
3510 uschar *s = *sptr;
3511 int_eximarith_t x = eval_op_or(&s, decimal, error);
3512 if (*error == NULL)
3513   {
3514   if (endket)
3515     {
3516     if (*s != ')')
3517       *error = US"expecting closing parenthesis";
3518     else
3519       while (isspace(*(++s)));
3520     }
3521   else if (*s != 0) *error = US"expecting operator";
3522   }
3523 *sptr = s;
3524 return x;
3525 }
3526
3527
3528 static int_eximarith_t
3529 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3530 {
3531 register int c;
3532 int_eximarith_t n;
3533 uschar *s = *sptr;
3534 while (isspace(*s)) s++;
3535 c = *s;
3536 if (isdigit(c))
3537   {
3538   int count;
3539   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3540   s += count;
3541   switch (tolower(*s))
3542     {
3543     default: break;
3544     case 'k': n *= 1024; s++; break;
3545     case 'm': n *= 1024*1024; s++; break;
3546     case 'g': n *= 1024*1024*1024; s++; break;
3547     }
3548   while (isspace (*s)) s++;
3549   }
3550 else if (c == '(')
3551   {
3552   s++;
3553   n = eval_expr(&s, decimal, error, 1);
3554   }
3555 else
3556   {
3557   *error = US"expecting number or opening parenthesis";
3558   n = 0;
3559   }
3560 *sptr = s;
3561 return n;
3562 }
3563
3564
3565 static int_eximarith_t
3566 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3567 {
3568 uschar *s = *sptr;
3569 int_eximarith_t x;
3570 while (isspace(*s)) s++;
3571 if (*s == '+' || *s == '-' || *s == '~')
3572   {
3573   int op = *s++;
3574   x = eval_op_unary(&s, decimal, error);
3575   if (op == '-') x = -x;
3576     else if (op == '~') x = ~x;
3577   }
3578 else
3579   {
3580   x = eval_number(&s, decimal, error);
3581   }
3582 *sptr = s;
3583 return x;
3584 }
3585
3586
3587 static int_eximarith_t
3588 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3589 {
3590 uschar *s = *sptr;
3591 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3592 if (*error == NULL)
3593   {
3594   while (*s == '*' || *s == '/' || *s == '%')
3595     {
3596     int op = *s++;
3597     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3598     if (*error != NULL) break;
3599     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3600      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3601      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3602      * -N*M is INT_MIN will yielf INT_MIN.
3603      * Since we don't support floating point, this is somewhat simpler.
3604      * Ideally, we'd return an error, but since we overflow for all other
3605      * arithmetic, consistency suggests otherwise, but what's the correct value
3606      * to use?  There is none.
3607      * The C standard guarantees overflow for unsigned arithmetic but signed
3608      * overflow invokes undefined behaviour; in practice, this is overflow
3609      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3610      * that long/longlong larger than int are available, or we could just work
3611      * with larger types.  We should consider whether to guarantee 32bit eval
3612      * and 64-bit working variables, with errors returned.  For now ...
3613      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3614      * can just let the other invalid results occur otherwise, as they have
3615      * until now.  For this one case, we can coerce.
3616      */
3617     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3618       {
3619       DEBUG(D_expand)
3620         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3621             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3622       x = EXIM_ARITH_MAX;
3623       continue;
3624       }
3625     if (op == '*')
3626       x *= y;
3627     else
3628       {
3629       if (y == 0)
3630         {
3631         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3632         x = 0;
3633         break;
3634         }
3635       if (op == '/')
3636         x /= y;
3637       else
3638         x %= y;
3639       }
3640     }
3641   }
3642 *sptr = s;
3643 return x;
3644 }
3645
3646
3647 static int_eximarith_t
3648 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3649 {
3650 uschar *s = *sptr;
3651 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3652 if (*error == NULL)
3653   {
3654   while (*s == '+' || *s == '-')
3655     {
3656     int op = *s++;
3657     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3658     if (*error != NULL) break;
3659     if (op == '+') x += y; else x -= y;
3660     }
3661   }
3662 *sptr = s;
3663 return x;
3664 }
3665
3666
3667 static int_eximarith_t
3668 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3669 {
3670 uschar *s = *sptr;
3671 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3672 if (*error == NULL)
3673   {
3674   while ((*s == '<' || *s == '>') && s[1] == s[0])
3675     {
3676     int_eximarith_t y;
3677     int op = *s++;
3678     s++;
3679     y = eval_op_sum(&s, decimal, error);
3680     if (*error != NULL) break;
3681     if (op == '<') x <<= y; else x >>= y;
3682     }
3683   }
3684 *sptr = s;
3685 return x;
3686 }
3687
3688
3689 static int_eximarith_t
3690 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3691 {
3692 uschar *s = *sptr;
3693 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3694 if (*error == NULL)
3695   {
3696   while (*s == '&')
3697     {
3698     int_eximarith_t y;
3699     s++;
3700     y = eval_op_shift(&s, decimal, error);
3701     if (*error != NULL) break;
3702     x &= y;
3703     }
3704   }
3705 *sptr = s;
3706 return x;
3707 }
3708
3709
3710 static int_eximarith_t
3711 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3712 {
3713 uschar *s = *sptr;
3714 int_eximarith_t x = eval_op_and(&s, decimal, error);
3715 if (*error == NULL)
3716   {
3717   while (*s == '^')
3718     {
3719     int_eximarith_t y;
3720     s++;
3721     y = eval_op_and(&s, decimal, error);
3722     if (*error != NULL) break;
3723     x ^= y;
3724     }
3725   }
3726 *sptr = s;
3727 return x;
3728 }
3729
3730
3731 static int_eximarith_t
3732 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3733 {
3734 uschar *s = *sptr;
3735 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3736 if (*error == NULL)
3737   {
3738   while (*s == '|')
3739     {
3740     int_eximarith_t y;
3741     s++;
3742     y = eval_op_xor(&s, decimal, error);
3743     if (*error != NULL) break;
3744     x |= y;
3745     }
3746   }
3747 *sptr = s;
3748 return x;
3749 }
3750
3751
3752
3753 /*************************************************
3754 *                 Expand string                  *
3755 *************************************************/
3756
3757 /* Returns either an unchanged string, or the expanded string in stacking pool
3758 store. Interpreted sequences are:
3759
3760    \...                    normal escaping rules
3761    $name                   substitutes the variable
3762    ${name}                 ditto
3763    ${op:string}            operates on the expanded string value
3764    ${item{arg1}{arg2}...}  expands the args and then does the business
3765                              some literal args are not enclosed in {}
3766
3767 There are now far too many operators and item types to make it worth listing
3768 them here in detail any more.
3769
3770 We use an internal routine recursively to handle embedded substrings. The
3771 external function follows. The yield is NULL if the expansion failed, and there
3772 are two cases: if something collapsed syntactically, or if "fail" was given
3773 as the action on a lookup failure. These can be distinguised by looking at the
3774 variable expand_string_forcedfail, which is TRUE in the latter case.
3775
3776 The skipping flag is set true when expanding a substring that isn't actually
3777 going to be used (after "if" or "lookup") and it prevents lookups from
3778 happening lower down.
3779
3780 Store usage: At start, a store block of the length of the input plus 64
3781 is obtained. This is expanded as necessary by string_cat(), which might have to
3782 get a new block, or might be able to expand the original. At the end of the
3783 function we can release any store above that portion of the yield block that
3784 was actually used. In many cases this will be optimal.
3785
3786 However: if the first item in the expansion is a variable name or header name,
3787 we reset the store before processing it; if the result is in fresh store, we
3788 use that without copying. This is helpful for expanding strings like
3789 $message_headers which can get very long.
3790
3791 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3792 since resetting the store at the end of the expansion will free store that was
3793 allocated by the plugin code as well as the slop after the expanded string. So
3794 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3795 and, given the acl condition, ${if }. This is an unfortunate consequence of
3796 string expansion becoming too powerful.
3797
3798 Arguments:
3799   string         the string to be expanded
3800   ket_ends       true if expansion is to stop at }
3801   left           if not NULL, a pointer to the first character after the
3802                  expansion is placed here (typically used with ket_ends)
3803   skipping       TRUE for recursive calls when the value isn't actually going
3804                  to be used (to allow for optimisation)
3805   honour_dollar  TRUE if $ is to be expanded,
3806                  FALSE if it's just another character
3807   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3808                  the store.
3809
3810 Returns:         NULL if expansion fails:
3811                    expand_string_forcedfail is set TRUE if failure was forced
3812                    expand_string_message contains a textual error message
3813                  a pointer to the expanded string on success
3814 */
3815
3816 static uschar *
3817 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3818   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3819 {
3820 int ptr = 0;
3821 int size = Ustrlen(string)+ 64;
3822 int item_type;
3823 uschar *yield = store_get(size);
3824 const uschar *s = string;
3825 uschar *save_expand_nstring[EXPAND_MAXN+1];
3826 int save_expand_nlength[EXPAND_MAXN+1];
3827 BOOL resetok = TRUE;
3828
3829 expand_string_forcedfail = FALSE;
3830 expand_string_message = US"";
3831
3832 while (*s != 0)
3833   {
3834   uschar *value;
3835   uschar name[256];
3836
3837   /* \ escapes the next character, which must exist, or else
3838   the expansion fails. There's a special escape, \N, which causes
3839   copying of the subject verbatim up to the next \N. Otherwise,
3840   the escapes are the standard set. */
3841
3842   if (*s == '\\')
3843     {
3844     if (s[1] == 0)
3845       {
3846       expand_string_message = US"\\ at end of string";
3847       goto EXPAND_FAILED;
3848       }
3849
3850     if (s[1] == 'N')
3851       {
3852       const uschar * t = s + 2;
3853       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3854       yield = string_cat(yield, &size, &ptr, t, s - t);
3855       if (*s != 0) s += 2;
3856       }
3857
3858     else
3859       {
3860       uschar ch[1];
3861       ch[0] = string_interpret_escape(&s);
3862       s++;
3863       yield = string_cat(yield, &size, &ptr, ch, 1);
3864       }
3865
3866     continue;
3867     }
3868
3869   /*{*/
3870   /* Anything other than $ is just copied verbatim, unless we are
3871   looking for a terminating } character. */
3872
3873   /*{*/
3874   if (ket_ends && *s == '}') break;
3875
3876   if (*s != '$' || !honour_dollar)
3877     {
3878     yield = string_cat(yield, &size, &ptr, s++, 1);
3879     continue;
3880     }
3881
3882   /* No { after the $ - must be a plain name or a number for string
3883   match variable. There has to be a fudge for variables that are the
3884   names of header fields preceded by "$header_" because header field
3885   names can contain any printing characters except space and colon.
3886   For those that don't like typing this much, "$h_" is a synonym for
3887   "$header_". A non-existent header yields a NULL value; nothing is
3888   inserted. */  /*}*/
3889
3890   if (isalpha((*(++s))))
3891     {
3892     int len;
3893     int newsize = 0;
3894
3895     s = read_name(name, sizeof(name), s, US"_");
3896
3897     /* If this is the first thing to be expanded, release the pre-allocated
3898     buffer. */
3899
3900     if (ptr == 0 && yield != NULL)
3901       {
3902       if (resetok) store_reset(yield);
3903       yield = NULL;
3904       size = 0;
3905       }
3906
3907     /* Header */
3908
3909     if (Ustrncmp(name, "h_", 2) == 0 ||
3910         Ustrncmp(name, "rh_", 3) == 0 ||
3911         Ustrncmp(name, "bh_", 3) == 0 ||
3912         Ustrncmp(name, "header_", 7) == 0 ||
3913         Ustrncmp(name, "rheader_", 8) == 0 ||
3914         Ustrncmp(name, "bheader_", 8) == 0)
3915       {
3916       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3917       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3918       s = read_header_name(name, sizeof(name), s);
3919       value = find_header(name, FALSE, &newsize, want_raw, charset);
3920
3921       /* If we didn't find the header, and the header contains a closing brace
3922       character, this may be a user error where the terminating colon
3923       has been omitted. Set a flag to adjust the error message in this case.
3924       But there is no error here - nothing gets inserted. */
3925
3926       if (value == NULL)
3927         {
3928         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3929         continue;
3930         }
3931       }
3932
3933     /* Variable */
3934
3935     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
3936       {
3937       expand_string_message =
3938         string_sprintf("unknown variable name \"%s\"", name);
3939         check_variable_error_message(name);
3940       goto EXPAND_FAILED;
3941       }
3942
3943     /* If the data is known to be in a new buffer, newsize will be set to the
3944     size of that buffer. If this is the first thing in an expansion string,
3945     yield will be NULL; just point it at the new store instead of copying. Many
3946     expansion strings contain just one reference, so this is a useful
3947     optimization, especially for humungous headers. */
3948
3949     len = Ustrlen(value);
3950     if (yield == NULL && newsize != 0)
3951       {
3952       yield = value;
3953       size = newsize;
3954       ptr = len;
3955       }
3956     else yield = string_cat(yield, &size, &ptr, value, len);
3957
3958     continue;
3959     }
3960
3961   if (isdigit(*s))
3962     {
3963     int n;
3964     s = read_cnumber(&n, s);
3965     if (n >= 0 && n <= expand_nmax)
3966       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3967         expand_nlength[n]);
3968     continue;
3969     }
3970
3971   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
3972
3973   if (*s != '{')                                                        /*}*/
3974     {
3975     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
3976     goto EXPAND_FAILED;
3977     }
3978
3979   /* After { there can be various things, but they all start with
3980   an initial word, except for a number for a string match variable. */
3981
3982   if (isdigit((*(++s))))
3983     {
3984     int n;
3985     s = read_cnumber(&n, s);            /*{*/
3986     if (*s++ != '}')
3987       {                                 /*{*/
3988       expand_string_message = US"} expected after number";
3989       goto EXPAND_FAILED;
3990       }
3991     if (n >= 0 && n <= expand_nmax)
3992       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3993         expand_nlength[n]);
3994     continue;
3995     }
3996
3997   if (!isalpha(*s))
3998     {
3999     expand_string_message = US"letter or digit expected after ${";      /*}*/
4000     goto EXPAND_FAILED;
4001     }
4002
4003   /* Allow "-" in names to cater for substrings with negative
4004   arguments. Since we are checking for known names after { this is
4005   OK. */
4006
4007   s = read_name(name, sizeof(name), s, US"_-");
4008   item_type = chop_match(name, item_table, nelem(item_table));
4009
4010   switch(item_type)
4011     {
4012     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4013     If the ACL returns accept or reject we return content set by "message ="
4014     There is currently no limit on recursion; this would have us call
4015     acl_check_internal() directly and get a current level from somewhere.
4016     See also the acl expansion condition ECOND_ACL and the traditional
4017     acl modifier ACLC_ACL.
4018     Assume that the function has side-effects on the store that must be preserved.
4019     */
4020
4021     case EITEM_ACL:
4022       /* ${acl {name} {arg1}{arg2}...} */
4023       {
4024       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4025       uschar *user_msg;
4026
4027       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4028                       &resetok))
4029         {
4030         case 1: goto EXPAND_FAILED_CURLY;
4031         case 2:
4032         case 3: goto EXPAND_FAILED;
4033         }
4034       if (skipping) continue;
4035
4036       resetok = FALSE;
4037       switch(eval_acl(sub, nelem(sub), &user_msg))
4038         {
4039         case OK:
4040         case FAIL:
4041           DEBUG(D_expand)
4042             debug_printf("acl expansion yield: %s\n", user_msg);
4043           if (user_msg)
4044             yield = string_cat(yield, &size, &ptr, user_msg, Ustrlen(user_msg));
4045           continue;
4046
4047         case DEFER:
4048           expand_string_forcedfail = TRUE;
4049         default:
4050           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4051           goto EXPAND_FAILED;
4052         }
4053       }
4054
4055     /* Handle conditionals - preserve the values of the numerical expansion
4056     variables in case they get changed by a regular expression match in the
4057     condition. If not, they retain their external settings. At the end
4058     of this "if" section, they get restored to their previous values. */
4059
4060     case EITEM_IF:
4061       {
4062       BOOL cond = FALSE;
4063       const uschar *next_s;
4064       int save_expand_nmax =
4065         save_expand_strings(save_expand_nstring, save_expand_nlength);
4066
4067       while (isspace(*s)) s++;
4068       next_s = eval_condition(s, &resetok, skipping? NULL : &cond);
4069       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4070
4071       DEBUG(D_expand)
4072         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
4073           cond? "true" : "false");
4074
4075       s = next_s;
4076
4077       /* The handling of "yes" and "no" result strings is now in a separate
4078       function that is also used by ${lookup} and ${extract} and ${run}. */
4079
4080       switch(process_yesno(
4081                skipping,                     /* were previously skipping */
4082                cond,                         /* success/failure indicator */
4083                lookup_value,                 /* value to reset for string2 */
4084                &s,                           /* input pointer */
4085                &yield,                       /* output pointer */
4086                &size,                        /* output size */
4087                &ptr,                         /* output current point */
4088                US"if",                       /* condition type */
4089                &resetok))
4090         {
4091         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4092         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4093         }
4094
4095       /* Restore external setting of expansion variables for continuation
4096       at this level. */
4097
4098       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4099         save_expand_nlength);
4100       continue;
4101       }
4102
4103 #ifdef SUPPORT_I18N
4104     case EITEM_IMAPFOLDER:
4105       {                         /* ${imapfolder {name}{sep]{specials}} */
4106       uschar *sub_arg[3];
4107       uschar *encoded;
4108
4109       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4110                       &resetok))
4111         {
4112         case 1: goto EXPAND_FAILED_CURLY;
4113         case 2:
4114         case 3: goto EXPAND_FAILED;
4115         }
4116
4117       if (sub_arg[1] == NULL)           /* One argument */
4118         {
4119         sub_arg[1] = US"/";             /* default separator */
4120         sub_arg[2] = NULL;
4121         }
4122       else if (Ustrlen(sub_arg[1]) != 1)
4123         {
4124         expand_string_message =
4125           string_sprintf(
4126                 "IMAP folder separator must be one character, found \"%s\"",
4127                 sub_arg[1]);
4128         goto EXPAND_FAILED;
4129         }
4130
4131       if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4132                           sub_arg[1][0], sub_arg[2], &expand_string_message)))
4133         goto EXPAND_FAILED;
4134       if (!skipping)
4135         yield = string_cat(yield, &size, &ptr, encoded, Ustrlen(encoded));
4136       continue;
4137       }
4138 #endif
4139
4140     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4141     expanding an internal string that isn't actually going to be used. All we
4142     need to do is check the syntax, so don't do a lookup at all. Preserve the
4143     values of the numerical expansion variables in case they get changed by a
4144     partial lookup. If not, they retain their external settings. At the end
4145     of this "lookup" section, they get restored to their previous values. */
4146
4147     case EITEM_LOOKUP:
4148       {
4149       int stype, partial, affixlen, starflags;
4150       int expand_setup = 0;
4151       int nameptr = 0;
4152       uschar *key, *filename;
4153       const uschar *affix;
4154       uschar *save_lookup_value = lookup_value;
4155       int save_expand_nmax =
4156         save_expand_strings(save_expand_nstring, save_expand_nlength);
4157
4158       if ((expand_forbid & RDO_LOOKUP) != 0)
4159         {
4160         expand_string_message = US"lookup expansions are not permitted";
4161         goto EXPAND_FAILED;
4162         }
4163
4164       /* Get the key we are to look up for single-key+file style lookups.
4165       Otherwise set the key NULL pro-tem. */
4166
4167       while (isspace(*s)) s++;
4168       if (*s == '{')                                    /*}*/
4169         {
4170         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4171         if (key == NULL) goto EXPAND_FAILED;            /*{*/
4172         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4173         while (isspace(*s)) s++;
4174         }
4175       else key = NULL;
4176
4177       /* Find out the type of database */
4178
4179       if (!isalpha(*s))
4180         {
4181         expand_string_message = US"missing lookup type";
4182         goto EXPAND_FAILED;
4183         }
4184
4185       /* The type is a string that may contain special characters of various
4186       kinds. Allow everything except space or { to appear; the actual content
4187       is checked by search_findtype_partial. */         /*}*/
4188
4189       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4190         {
4191         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4192         s++;
4193         }
4194       name[nameptr] = 0;
4195       while (isspace(*s)) s++;
4196
4197       /* Now check for the individual search type and any partial or default
4198       options. Only those types that are actually in the binary are valid. */
4199
4200       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4201         &starflags);
4202       if (stype < 0)
4203         {
4204         expand_string_message = search_error_message;
4205         goto EXPAND_FAILED;
4206         }
4207
4208       /* Check that a key was provided for those lookup types that need it,
4209       and was not supplied for those that use the query style. */
4210
4211       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4212         {
4213         if (key == NULL)
4214           {
4215           expand_string_message = string_sprintf("missing {key} for single-"
4216             "key \"%s\" lookup", name);
4217           goto EXPAND_FAILED;
4218           }
4219         }
4220       else
4221         {
4222         if (key != NULL)
4223           {
4224           expand_string_message = string_sprintf("a single key was given for "
4225             "lookup type \"%s\", which is not a single-key lookup type", name);
4226           goto EXPAND_FAILED;
4227           }
4228         }
4229
4230       /* Get the next string in brackets and expand it. It is the file name for
4231       single-key+file lookups, and the whole query otherwise. In the case of
4232       queries that also require a file name (e.g. sqlite), the file name comes
4233       first. */
4234
4235       if (*s != '{') goto EXPAND_FAILED_CURLY;
4236       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4237       if (filename == NULL) goto EXPAND_FAILED;
4238       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4239       while (isspace(*s)) s++;
4240
4241       /* If this isn't a single-key+file lookup, re-arrange the variables
4242       to be appropriate for the search_ functions. For query-style lookups,
4243       there is just a "key", and no file name. For the special query-style +
4244       file types, the query (i.e. "key") starts with a file name. */
4245
4246       if (key == NULL)
4247         {
4248         while (isspace(*filename)) filename++;
4249         key = filename;
4250
4251         if (mac_islookup(stype, lookup_querystyle))
4252           {
4253           filename = NULL;
4254           }
4255         else
4256           {
4257           if (*filename != '/')
4258             {
4259             expand_string_message = string_sprintf(
4260               "absolute file name expected for \"%s\" lookup", name);
4261             goto EXPAND_FAILED;
4262             }
4263           while (*key != 0 && !isspace(*key)) key++;
4264           if (*key != 0) *key++ = 0;
4265           }
4266         }
4267
4268       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4269       the entry was not found. Note that there is no search_close() function.
4270       Files are left open in case of re-use. At suitable places in higher logic,
4271       search_tidyup() is called to tidy all open files. This can save opening
4272       the same file several times. However, files may also get closed when
4273       others are opened, if too many are open at once. The rule is that a
4274       handle should not be used after a second search_open().
4275
4276       Request that a partial search sets up $1 and maybe $2 by passing
4277       expand_setup containing zero. If its value changes, reset expand_nmax,
4278       since new variables will have been set. Note that at the end of this
4279       "lookup" section, the old numeric variables are restored. */
4280
4281       if (skipping)
4282         lookup_value = NULL;
4283       else
4284         {
4285         void *handle = search_open(filename, stype, 0, NULL, NULL);
4286         if (handle == NULL)
4287           {
4288           expand_string_message = search_error_message;
4289           goto EXPAND_FAILED;
4290           }
4291         lookup_value = search_find(handle, filename, key, partial, affix,
4292           affixlen, starflags, &expand_setup);
4293         if (search_find_defer)
4294           {
4295           expand_string_message =
4296             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4297               string_printing2(key, FALSE), search_error_message);
4298           goto EXPAND_FAILED;
4299           }
4300         if (expand_setup > 0) expand_nmax = expand_setup;
4301         }
4302
4303       /* The handling of "yes" and "no" result strings is now in a separate
4304       function that is also used by ${if} and ${extract}. */
4305
4306       switch(process_yesno(
4307                skipping,                     /* were previously skipping */
4308                lookup_value != NULL,         /* success/failure indicator */
4309                save_lookup_value,            /* value to reset for string2 */
4310                &s,                           /* input pointer */
4311                &yield,                       /* output pointer */
4312                &size,                        /* output size */
4313                &ptr,                         /* output current point */
4314                US"lookup",                   /* condition type */
4315                &resetok))
4316         {
4317         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4318         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4319         }
4320
4321       /* Restore external setting of expansion variables for carrying on
4322       at this level, and continue. */
4323
4324       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4325         save_expand_nlength);
4326       continue;
4327       }
4328
4329     /* If Perl support is configured, handle calling embedded perl subroutines,
4330     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4331     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4332     arguments (defined below). */
4333
4334     #define EXIM_PERL_MAX_ARGS 8
4335
4336     case EITEM_PERL:
4337     #ifndef EXIM_PERL
4338     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4339       "is not included in this binary";
4340     goto EXPAND_FAILED;
4341
4342     #else   /* EXIM_PERL */
4343       {
4344       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4345       uschar *new_yield;
4346
4347       if ((expand_forbid & RDO_PERL) != 0)
4348         {
4349         expand_string_message = US"Perl calls are not permitted";
4350         goto EXPAND_FAILED;
4351         }
4352
4353       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4354            US"perl", &resetok))
4355         {
4356         case 1: goto EXPAND_FAILED_CURLY;
4357         case 2:
4358         case 3: goto EXPAND_FAILED;
4359         }
4360
4361       /* If skipping, we don't actually do anything */
4362
4363       if (skipping) continue;
4364
4365       /* Start the interpreter if necessary */
4366
4367       if (!opt_perl_started)
4368         {
4369         uschar *initerror;
4370         if (opt_perl_startup == NULL)
4371           {
4372           expand_string_message = US"A setting of perl_startup is needed when "
4373             "using the Perl interpreter";
4374           goto EXPAND_FAILED;
4375           }
4376         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4377         initerror = init_perl(opt_perl_startup);
4378         if (initerror != NULL)
4379           {
4380           expand_string_message =
4381             string_sprintf("error in perl_startup code: %s\n", initerror);
4382           goto EXPAND_FAILED;
4383           }
4384         opt_perl_started = TRUE;
4385         }
4386
4387       /* Call the function */
4388
4389       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4390       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4391         sub_arg[0], sub_arg + 1);
4392
4393       /* NULL yield indicates failure; if the message pointer has been set to
4394       NULL, the yield was undef, indicating a forced failure. Otherwise the
4395       message will indicate some kind of Perl error. */
4396
4397       if (new_yield == NULL)
4398         {
4399         if (expand_string_message == NULL)
4400           {
4401           expand_string_message =
4402             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4403               "failure", sub_arg[0]);
4404           expand_string_forcedfail = TRUE;
4405           }
4406         goto EXPAND_FAILED;
4407         }
4408
4409       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4410       set during a callback from Perl. */
4411
4412       expand_string_forcedfail = FALSE;
4413       yield = new_yield;
4414       continue;
4415       }
4416     #endif /* EXIM_PERL */
4417
4418     /* Transform email address to "prvs" scheme to use
4419        as BATV-signed return path */
4420
4421     case EITEM_PRVS:
4422       {
4423       uschar *sub_arg[3];
4424       uschar *p,*domain;
4425
4426       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4427         {
4428         case 1: goto EXPAND_FAILED_CURLY;
4429         case 2:
4430         case 3: goto EXPAND_FAILED;
4431         }
4432
4433       /* If skipping, we don't actually do anything */
4434       if (skipping) continue;
4435
4436       /* sub_arg[0] is the address */
4437       domain = Ustrrchr(sub_arg[0],'@');
4438       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4439         {
4440         expand_string_message = US"prvs first argument must be a qualified email address";
4441         goto EXPAND_FAILED;
4442         }
4443
4444       /* Calculate the hash. The second argument must be a single-digit
4445       key number, or unset. */
4446
4447       if (sub_arg[2] != NULL &&
4448           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4449         {
4450         expand_string_message = US"prvs second argument must be a single digit";
4451         goto EXPAND_FAILED;
4452         }
4453
4454       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4455       if (p == NULL)
4456         {
4457         expand_string_message = US"prvs hmac-sha1 conversion failed";
4458         goto EXPAND_FAILED;
4459         }
4460
4461       /* Now separate the domain from the local part */
4462       *domain++ = '\0';
4463
4464       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
4465       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
4466       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
4467       string_cat(yield,&size,&ptr,p,6);
4468       string_cat(yield,&size,&ptr,US"=",1);
4469       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4470       string_cat(yield,&size,&ptr,US"@",1);
4471       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
4472
4473       continue;
4474       }
4475
4476     /* Check a prvs-encoded address for validity */
4477
4478     case EITEM_PRVSCHECK:
4479       {
4480       uschar *sub_arg[3];
4481       int mysize = 0, myptr = 0;
4482       const pcre *re;
4483       uschar *p;
4484
4485       /* TF: Ugliness: We want to expand parameter 1 first, then set
4486          up expansion variables that are used in the expansion of
4487          parameter 2. So we clone the string for the first
4488          expansion, where we only expand parameter 1.
4489
4490          PH: Actually, that isn't necessary. The read_subs() function is
4491          designed to work this way for the ${if and ${lookup expansions. I've
4492          tidied the code.
4493       */
4494
4495       /* Reset expansion variables */
4496       prvscheck_result = NULL;
4497       prvscheck_address = NULL;
4498       prvscheck_keynum = NULL;
4499
4500       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4501         {
4502         case 1: goto EXPAND_FAILED_CURLY;
4503         case 2:
4504         case 3: goto EXPAND_FAILED;
4505         }
4506
4507       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4508                               TRUE,FALSE);
4509
4510       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4511         {
4512         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4513         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4514         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4515         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4516         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4517
4518         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
4519         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
4520         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
4521         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
4522         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
4523
4524         /* Set up expansion variables */
4525         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
4526         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
4527         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
4528         prvscheck_address[myptr] = '\0';
4529         prvscheck_keynum = string_copy(key_num);
4530
4531         /* Now expand the second argument */
4532         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4533           {
4534           case 1: goto EXPAND_FAILED_CURLY;
4535           case 2:
4536           case 3: goto EXPAND_FAILED;
4537           }
4538
4539         /* Now we have the key and can check the address. */
4540
4541         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4542           daystamp);
4543
4544         if (p == NULL)
4545           {
4546           expand_string_message = US"hmac-sha1 conversion failed";
4547           goto EXPAND_FAILED;
4548           }
4549
4550         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
4551         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
4552
4553         if (Ustrcmp(p,hash) == 0)
4554           {
4555           /* Success, valid BATV address. Now check the expiry date. */
4556           uschar *now = prvs_daystamp(0);
4557           unsigned int inow = 0,iexpire = 1;
4558
4559           (void)sscanf(CS now,"%u",&inow);
4560           (void)sscanf(CS daystamp,"%u",&iexpire);
4561
4562           /* When "iexpire" is < 7, a "flip" has occured.
4563              Adjust "inow" accordingly. */
4564           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4565
4566           if (iexpire >= inow)
4567             {
4568             prvscheck_result = US"1";
4569             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
4570             }
4571             else
4572             {
4573             prvscheck_result = NULL;
4574             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
4575             }
4576           }
4577         else
4578           {
4579           prvscheck_result = NULL;
4580           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
4581           }
4582
4583         /* Now expand the final argument. We leave this till now so that
4584         it can include $prvscheck_result. */
4585
4586         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4587           {
4588           case 1: goto EXPAND_FAILED_CURLY;
4589           case 2:
4590           case 3: goto EXPAND_FAILED;
4591           }
4592
4593         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
4594           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
4595         else
4596           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4597
4598         /* Reset the "internal" variables afterwards, because they are in
4599         dynamic store that will be reclaimed if the expansion succeeded. */
4600
4601         prvscheck_address = NULL;
4602         prvscheck_keynum = NULL;
4603         }
4604       else
4605         {
4606         /* Does not look like a prvs encoded address, return the empty string.
4607            We need to make sure all subs are expanded first, so as to skip over
4608            the entire item. */
4609
4610         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4611           {
4612           case 1: goto EXPAND_FAILED_CURLY;
4613           case 2:
4614           case 3: goto EXPAND_FAILED;
4615           }
4616         }
4617
4618       continue;
4619       }
4620
4621     /* Handle "readfile" to insert an entire file */
4622
4623     case EITEM_READFILE:
4624       {
4625       FILE *f;
4626       uschar *sub_arg[2];
4627
4628       if ((expand_forbid & RDO_READFILE) != 0)
4629         {
4630         expand_string_message = US"file insertions are not permitted";
4631         goto EXPAND_FAILED;
4632         }
4633
4634       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4635         {
4636         case 1: goto EXPAND_FAILED_CURLY;
4637         case 2:
4638         case 3: goto EXPAND_FAILED;
4639         }
4640
4641       /* If skipping, we don't actually do anything */
4642
4643       if (skipping) continue;
4644
4645       /* Open the file and read it */
4646
4647       f = Ufopen(sub_arg[0], "rb");
4648       if (f == NULL)
4649         {
4650         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4651         goto EXPAND_FAILED;
4652         }
4653
4654       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4655       (void)fclose(f);
4656       continue;
4657       }
4658
4659     /* Handle "readsocket" to insert data from a Unix domain socket */
4660
4661     case EITEM_READSOCK:
4662       {
4663       int fd;
4664       int timeout = 5;
4665       int save_ptr = ptr;
4666       FILE *f;
4667       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4668       uschar *arg;
4669       uschar *sub_arg[4];
4670
4671       if ((expand_forbid & RDO_READSOCK) != 0)
4672         {
4673         expand_string_message = US"socket insertions are not permitted";
4674         goto EXPAND_FAILED;
4675         }
4676
4677       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4678       because there may be a string for expansion on failure. */
4679
4680       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4681         {
4682         case 1: goto EXPAND_FAILED_CURLY;
4683         case 2:                             /* Won't occur: no end check */
4684         case 3: goto EXPAND_FAILED;
4685         }
4686
4687       /* Sort out timeout, if given */
4688
4689       if (sub_arg[2] != NULL)
4690         {
4691         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
4692         if (timeout < 0)
4693           {
4694           expand_string_message = string_sprintf("bad time value %s",
4695             sub_arg[2]);
4696           goto EXPAND_FAILED;
4697           }
4698         }
4699       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4700
4701       /* If skipping, we don't actually do anything. Otherwise, arrange to
4702       connect to either an IP or a Unix socket. */
4703
4704       if (!skipping)
4705         {
4706         /* Handle an IP (internet) domain */
4707
4708         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4709           {
4710           int port;
4711           uschar *server_name = sub_arg[0] + 5;
4712           uschar *port_name = Ustrrchr(server_name, ':');
4713
4714           /* Sort out the port */
4715
4716           if (port_name == NULL)
4717             {
4718             expand_string_message =
4719               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4720             goto EXPAND_FAILED;
4721             }
4722           *port_name++ = 0;           /* Terminate server name */
4723
4724           if (isdigit(*port_name))
4725             {
4726             uschar *end;
4727             port = Ustrtol(port_name, &end, 0);
4728             if (end != port_name + Ustrlen(port_name))
4729               {
4730               expand_string_message =
4731                 string_sprintf("invalid port number %s", port_name);
4732               goto EXPAND_FAILED;
4733               }
4734             }
4735           else
4736             {
4737             struct servent *service_info = getservbyname(CS port_name, "tcp");
4738             if (service_info == NULL)
4739               {
4740               expand_string_message = string_sprintf("unknown port \"%s\"",
4741                 port_name);
4742               goto EXPAND_FAILED;
4743               }
4744             port = ntohs(service_info->s_port);
4745             }
4746
4747           if ((fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4748                   timeout, NULL, &expand_string_message)) < 0)
4749               goto SOCK_FAIL;
4750           }
4751
4752         /* Handle a Unix domain socket */
4753
4754         else
4755           {
4756           int rc;
4757           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4758             {
4759             expand_string_message = string_sprintf("failed to create socket: %s",
4760               strerror(errno));
4761             goto SOCK_FAIL;
4762             }
4763
4764           sockun.sun_family = AF_UNIX;
4765           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4766             sub_arg[0]);
4767
4768           sigalrm_seen = FALSE;
4769           alarm(timeout);
4770           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4771           alarm(0);
4772           if (sigalrm_seen)
4773             {
4774             expand_string_message = US "socket connect timed out";
4775             goto SOCK_FAIL;
4776             }
4777           if (rc < 0)
4778             {
4779             expand_string_message = string_sprintf("failed to connect to socket "
4780               "%s: %s", sub_arg[0], strerror(errno));
4781             goto SOCK_FAIL;
4782             }
4783           }
4784
4785         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4786
4787         /* Allow sequencing of test actions */
4788         if (running_in_test_harness) millisleep(100);
4789
4790         /* Write the request string, if not empty */
4791
4792         if (sub_arg[1][0] != 0)
4793           {
4794           int len = Ustrlen(sub_arg[1]);
4795           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4796             sub_arg[1]);
4797           if (write(fd, sub_arg[1], len) != len)
4798             {
4799             expand_string_message = string_sprintf("request write to socket "
4800               "failed: %s", strerror(errno));
4801             goto SOCK_FAIL;
4802             }
4803           }
4804
4805         /* Shut down the sending side of the socket. This helps some servers to
4806         recognise that it is their turn to do some work. Just in case some
4807         system doesn't have this function, make it conditional. */
4808
4809         #ifdef SHUT_WR
4810         shutdown(fd, SHUT_WR);
4811         #endif
4812
4813         if (running_in_test_harness) millisleep(100);
4814
4815         /* Now we need to read from the socket, under a timeout. The function
4816         that reads a file can be used. */
4817
4818         f = fdopen(fd, "rb");
4819         sigalrm_seen = FALSE;
4820         alarm(timeout);
4821         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4822         alarm(0);
4823         (void)fclose(f);
4824
4825         /* After a timeout, we restore the pointer in the result, that is,
4826         make sure we add nothing from the socket. */
4827
4828         if (sigalrm_seen)
4829           {
4830           ptr = save_ptr;
4831           expand_string_message = US "socket read timed out";
4832           goto SOCK_FAIL;
4833           }
4834         }
4835
4836       /* The whole thing has worked (or we were skipping). If there is a
4837       failure string following, we need to skip it. */
4838
4839       if (*s == '{')
4840         {
4841         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4842           goto EXPAND_FAILED;
4843         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4844         while (isspace(*s)) s++;
4845         }
4846       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4847       continue;
4848
4849       /* Come here on failure to create socket, connect socket, write to the
4850       socket, or timeout on reading. If another substring follows, expand and
4851       use it. Otherwise, those conditions give expand errors. */
4852
4853       SOCK_FAIL:
4854       if (*s != '{') goto EXPAND_FAILED;
4855       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4856       arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok);
4857       if (arg == NULL) goto EXPAND_FAILED;
4858       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4859       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4860       while (isspace(*s)) s++;
4861       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4862       continue;
4863       }
4864
4865     /* Handle "run" to execute a program. */
4866
4867     case EITEM_RUN:
4868       {
4869       FILE *f;
4870       uschar *arg;
4871       const uschar **argv;
4872       pid_t pid;
4873       int fd_in, fd_out;
4874       int lsize = 0, lptr = 0;
4875
4876       if ((expand_forbid & RDO_RUN) != 0)
4877         {
4878         expand_string_message = US"running a command is not permitted";
4879         goto EXPAND_FAILED;
4880         }
4881
4882       while (isspace(*s)) s++;
4883       if (*s != '{') goto EXPAND_FAILED_CURLY;
4884       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4885       if (arg == NULL) goto EXPAND_FAILED;
4886       while (isspace(*s)) s++;
4887       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4888
4889       if (skipping)   /* Just pretend it worked when we're skipping */
4890         {
4891         runrc = 0;
4892         }
4893       else
4894         {
4895         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4896             arg,                                /* raw command */
4897             FALSE,                              /* don't expand the arguments */
4898             0,                                  /* not relevant when... */
4899             NULL,                               /* no transporting address */
4900             US"${run} expansion",               /* for error messages */
4901             &expand_string_message))            /* where to put error message */
4902           goto EXPAND_FAILED;
4903
4904         /* Create the child process, making it a group leader. */
4905
4906         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
4907           {
4908           expand_string_message =
4909             string_sprintf("couldn't create child process: %s", strerror(errno));
4910           goto EXPAND_FAILED;
4911           }
4912
4913         /* Nothing is written to the standard input. */
4914
4915         (void)close(fd_in);
4916
4917         /* Read the pipe to get the command's output into $value (which is kept
4918         in lookup_value). Read during execution, so that if the output exceeds
4919         the OS pipe buffer limit, we don't block forever. Remember to not release
4920         memory just allocated for $value. */
4921
4922         resetok = FALSE;
4923         f = fdopen(fd_out, "rb");
4924         sigalrm_seen = FALSE;
4925         alarm(60);
4926         lookup_value = cat_file(f, NULL, &lsize, &lptr, NULL);
4927         alarm(0);
4928         (void)fclose(f);
4929
4930         /* Wait for the process to finish, applying the timeout, and inspect its
4931         return code for serious disasters. Simple non-zero returns are passed on.
4932         */
4933
4934         if (sigalrm_seen == TRUE || (runrc = child_close(pid, 30)) < 0)
4935           {
4936           if (sigalrm_seen == TRUE || runrc == -256)
4937             {
4938             expand_string_message = string_sprintf("command timed out");
4939             killpg(pid, SIGKILL);       /* Kill the whole process group */
4940             }
4941
4942           else if (runrc == -257)
4943             expand_string_message = string_sprintf("wait() failed: %s",
4944               strerror(errno));
4945
4946           else
4947             expand_string_message = string_sprintf("command killed by signal %d",
4948               -runrc);
4949
4950           goto EXPAND_FAILED;
4951           }
4952         }
4953
4954       /* Process the yes/no strings; $value may be useful in both cases */
4955
4956       switch(process_yesno(
4957                skipping,                     /* were previously skipping */
4958                runrc == 0,                   /* success/failure indicator */
4959                lookup_value,                 /* value to reset for string2 */
4960                &s,                           /* input pointer */
4961                &yield,                       /* output pointer */
4962                &size,                        /* output size */
4963                &ptr,                         /* output current point */
4964                US"run",                      /* condition type */
4965                &resetok))
4966         {
4967         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4968         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4969         }
4970
4971       continue;
4972       }
4973
4974     /* Handle character translation for "tr" */
4975
4976     case EITEM_TR:
4977       {
4978       int oldptr = ptr;
4979       int o2m;
4980       uschar *sub[3];
4981
4982       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
4983         {
4984         case 1: goto EXPAND_FAILED_CURLY;
4985         case 2:
4986         case 3: goto EXPAND_FAILED;
4987         }
4988
4989       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
4990       o2m = Ustrlen(sub[2]) - 1;
4991
4992       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
4993         {
4994         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
4995         if (m != NULL)
4996           {
4997           int o = m - sub[1];
4998           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
4999           }
5000         }
5001
5002       continue;
5003       }
5004
5005     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5006     expanded arguments. */
5007
5008     case EITEM_HASH:
5009     case EITEM_LENGTH:
5010     case EITEM_NHASH:
5011     case EITEM_SUBSTR:
5012       {
5013       int i;
5014       int len;
5015       uschar *ret;
5016       int val[2] = { 0, -1 };
5017       uschar *sub[3];
5018
5019       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5020       Ensure that sub[2] is set in the ${length } case. */
5021
5022       sub[2] = NULL;
5023       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5024              TRUE, name, &resetok))
5025         {
5026         case 1: goto EXPAND_FAILED_CURLY;
5027         case 2:
5028         case 3: goto EXPAND_FAILED;
5029         }
5030
5031       /* Juggle the arguments if there are only two of them: always move the
5032       string to the last position and make ${length{n}{str}} equivalent to
5033       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5034
5035       if (sub[2] == NULL)
5036         {
5037         sub[2] = sub[1];
5038         sub[1] = NULL;
5039         if (item_type == EITEM_LENGTH)
5040           {
5041           sub[1] = sub[0];
5042           sub[0] = NULL;
5043           }
5044         }
5045
5046       for (i = 0; i < 2; i++)
5047         {
5048         if (sub[i] == NULL) continue;
5049         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5050         if (*ret != 0 || (i != 0 && val[i] < 0))
5051           {
5052           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5053             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5054           goto EXPAND_FAILED;
5055           }
5056         }
5057
5058       ret =
5059         (item_type == EITEM_HASH)?
5060           compute_hash(sub[2], val[0], val[1], &len) :
5061         (item_type == EITEM_NHASH)?
5062           compute_nhash(sub[2], val[0], val[1], &len) :
5063           extract_substr(sub[2], val[0], val[1], &len);
5064
5065       if (ret == NULL) goto EXPAND_FAILED;
5066       yield = string_cat(yield, &size, &ptr, ret, len);
5067       continue;
5068       }
5069
5070     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5071     This code originally contributed by Steve Haslam. It currently supports
5072     the use of MD5 and SHA-1 hashes.
5073
5074     We need some workspace that is large enough to handle all the supported
5075     hash types. Use macros to set the sizes rather than be too elaborate. */
5076
5077     #define MAX_HASHLEN      20
5078     #define MAX_HASHBLOCKLEN 64
5079
5080     case EITEM_HMAC:
5081       {
5082       uschar *sub[3];
5083       md5 md5_base;
5084       sha1 sha1_base;
5085       void *use_base;
5086       int type, i;
5087       int hashlen;      /* Number of octets for the hash algorithm's output */
5088       int hashblocklen; /* Number of octets the hash algorithm processes */
5089       uschar *keyptr, *p;
5090       unsigned int keylen;
5091
5092       uschar keyhash[MAX_HASHLEN];
5093       uschar innerhash[MAX_HASHLEN];
5094       uschar finalhash[MAX_HASHLEN];
5095       uschar finalhash_hex[2*MAX_HASHLEN];
5096       uschar innerkey[MAX_HASHBLOCKLEN];
5097       uschar outerkey[MAX_HASHBLOCKLEN];
5098
5099       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5100         {
5101         case 1: goto EXPAND_FAILED_CURLY;
5102         case 2:
5103         case 3: goto EXPAND_FAILED;
5104         }
5105
5106       if (Ustrcmp(sub[0], "md5") == 0)
5107         {
5108         type = HMAC_MD5;
5109         use_base = &md5_base;
5110         hashlen = 16;
5111         hashblocklen = 64;
5112         }
5113       else if (Ustrcmp(sub[0], "sha1") == 0)
5114         {
5115         type = HMAC_SHA1;
5116         use_base = &sha1_base;
5117         hashlen = 20;
5118         hashblocklen = 64;
5119         }
5120       else
5121         {
5122         expand_string_message =
5123           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5124         goto EXPAND_FAILED;
5125         }
5126
5127       keyptr = sub[1];
5128       keylen = Ustrlen(keyptr);
5129
5130       /* If the key is longer than the hash block length, then hash the key
5131       first */
5132
5133       if (keylen > hashblocklen)
5134         {
5135         chash_start(type, use_base);
5136         chash_end(type, use_base, keyptr, keylen, keyhash);
5137         keyptr = keyhash;
5138         keylen = hashlen;
5139         }
5140
5141       /* Now make the inner and outer key values */
5142
5143       memset(innerkey, 0x36, hashblocklen);
5144       memset(outerkey, 0x5c, hashblocklen);
5145
5146       for (i = 0; i < keylen; i++)
5147         {
5148         innerkey[i] ^= keyptr[i];
5149         outerkey[i] ^= keyptr[i];
5150         }
5151
5152       /* Now do the hashes */
5153
5154       chash_start(type, use_base);
5155       chash_mid(type, use_base, innerkey);
5156       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5157
5158       chash_start(type, use_base);
5159       chash_mid(type, use_base, outerkey);
5160       chash_end(type, use_base, innerhash, hashlen, finalhash);
5161
5162       /* Encode the final hash as a hex string */
5163
5164       p = finalhash_hex;
5165       for (i = 0; i < hashlen; i++)
5166         {
5167         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5168         *p++ = hex_digits[finalhash[i] & 0x0f];
5169         }
5170
5171       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
5172         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
5173
5174       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
5175       }
5176
5177     continue;
5178
5179     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5180     We have to save the numerical variables and restore them afterwards. */
5181
5182     case EITEM_SG:
5183       {
5184       const pcre *re;
5185       int moffset, moffsetextra, slen;
5186       int roffset;
5187       int emptyopt;
5188       const uschar *rerror;
5189       uschar *subject;
5190       uschar *sub[3];
5191       int save_expand_nmax =
5192         save_expand_strings(save_expand_nstring, save_expand_nlength);
5193
5194       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5195         {
5196         case 1: goto EXPAND_FAILED_CURLY;
5197         case 2:
5198         case 3: goto EXPAND_FAILED;
5199         }
5200
5201       /* Compile the regular expression */
5202
5203       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5204         NULL);
5205
5206       if (re == NULL)
5207         {
5208         expand_string_message = string_sprintf("regular expression error in "
5209           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5210         goto EXPAND_FAILED;
5211         }
5212
5213       /* Now run a loop to do the substitutions as often as necessary. It ends
5214       when there are no more matches. Take care over matches of the null string;
5215       do the same thing as Perl does. */
5216
5217       subject = sub[0];
5218       slen = Ustrlen(sub[0]);
5219       moffset = moffsetextra = 0;
5220       emptyopt = 0;
5221
5222       for (;;)
5223         {
5224         int ovector[3*(EXPAND_MAXN+1)];
5225         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5226           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5227         int nn;
5228         uschar *insert;
5229
5230         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5231         is not necessarily the end. We want to repeat the match from one
5232         character further along, but leaving the basic offset the same (for
5233         copying below). We can't be at the end of the string - that was checked
5234         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5235         finished; copy the remaining string and end the loop. */
5236
5237         if (n < 0)
5238           {
5239           if (emptyopt != 0)
5240             {
5241             moffsetextra = 1;
5242             emptyopt = 0;
5243             continue;
5244             }
5245           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
5246           break;
5247           }
5248
5249         /* Match - set up for expanding the replacement. */
5250
5251         if (n == 0) n = EXPAND_MAXN + 1;
5252         expand_nmax = 0;
5253         for (nn = 0; nn < n*2; nn += 2)
5254           {
5255           expand_nstring[expand_nmax] = subject + ovector[nn];
5256           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5257           }
5258         expand_nmax--;
5259
5260         /* Copy the characters before the match, plus the expanded insertion. */
5261
5262         yield = string_cat(yield, &size, &ptr, subject + moffset,
5263           ovector[0] - moffset);
5264         insert = expand_string(sub[2]);
5265         if (insert == NULL) goto EXPAND_FAILED;
5266         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
5267
5268         moffset = ovector[1];
5269         moffsetextra = 0;
5270         emptyopt = 0;
5271
5272         /* If we have matched an empty string, first check to see if we are at
5273         the end of the subject. If so, the loop is over. Otherwise, mimic
5274         what Perl's /g options does. This turns out to be rather cunning. First
5275         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5276         string at the same point. If this fails (picked up above) we advance to
5277         the next character. */
5278
5279         if (ovector[0] == ovector[1])
5280           {
5281           if (ovector[0] == slen) break;
5282           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5283           }
5284         }
5285
5286       /* All done - restore numerical variables. */
5287
5288       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5289         save_expand_nlength);
5290       continue;
5291       }
5292
5293     /* Handle keyed and numbered substring extraction. If the first argument
5294     consists entirely of digits, then a numerical extraction is assumed. */
5295
5296     case EITEM_EXTRACT:
5297       {
5298       int i;
5299       int j = 2;
5300       int field_number = 1;
5301       BOOL field_number_set = FALSE;
5302       uschar *save_lookup_value = lookup_value;
5303       uschar *sub[3];
5304       int save_expand_nmax =
5305         save_expand_strings(save_expand_nstring, save_expand_nlength);
5306
5307       /* Read the arguments */
5308
5309       for (i = 0; i < j; i++)
5310         {
5311         while (isspace(*s)) s++;
5312         if (*s == '{')                                          /*}*/
5313           {
5314           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5315           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5316           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5317
5318           /* After removal of leading and trailing white space, the first
5319           argument must not be empty; if it consists entirely of digits
5320           (optionally preceded by a minus sign), this is a numerical
5321           extraction, and we expect 3 arguments. */
5322
5323           if (i == 0)
5324             {
5325             int len;
5326             int x = 0;
5327             uschar *p = sub[0];
5328
5329             while (isspace(*p)) p++;
5330             sub[0] = p;
5331
5332             len = Ustrlen(p);
5333             while (len > 0 && isspace(p[len-1])) len--;
5334             p[len] = 0;
5335
5336             if (!skipping)
5337               {
5338               if (*p == 0)
5339                 {
5340                 expand_string_message = US"first argument of \"extract\" must "
5341                   "not be empty";
5342                 goto EXPAND_FAILED;
5343                 }
5344
5345               if (*p == '-')
5346                 {
5347                 field_number = -1;
5348                 p++;
5349                 }
5350               while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5351               if (*p == 0)
5352                 {
5353                 field_number *= x;
5354                 j = 3;               /* Need 3 args */
5355                 field_number_set = TRUE;
5356                 }
5357               }
5358             }
5359           }
5360         else goto EXPAND_FAILED_CURLY;
5361         }
5362
5363       /* Extract either the numbered or the keyed substring into $value. If
5364       skipping, just pretend the extraction failed. */
5365
5366       lookup_value = skipping? NULL : field_number_set?
5367         expand_gettokened(field_number, sub[1], sub[2]) :
5368         expand_getkeyed(sub[0], sub[1]);
5369
5370       /* If no string follows, $value gets substituted; otherwise there can
5371       be yes/no strings, as for lookup or if. */
5372
5373       switch(process_yesno(
5374                skipping,                     /* were previously skipping */
5375                lookup_value != NULL,         /* success/failure indicator */
5376                save_lookup_value,            /* value to reset for string2 */
5377                &s,                           /* input pointer */
5378                &yield,                       /* output pointer */
5379                &size,                        /* output size */
5380                &ptr,                         /* output current point */
5381                US"extract",                  /* condition type */
5382                &resetok))
5383         {
5384         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5385         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5386         }
5387
5388       /* All done - restore numerical variables. */
5389
5390       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5391         save_expand_nlength);
5392
5393       continue;
5394       }
5395
5396     /* return the Nth item from a list */
5397
5398     case EITEM_LISTEXTRACT:
5399       {
5400       int i;
5401       int field_number = 1;
5402       uschar *save_lookup_value = lookup_value;
5403       uschar *sub[2];
5404       int save_expand_nmax =
5405         save_expand_strings(save_expand_nstring, save_expand_nlength);
5406
5407       /* Read the field & list arguments */
5408
5409       for (i = 0; i < 2; i++)
5410         {
5411         while (isspace(*s)) s++;
5412         if (*s != '{')                                  /*}*/
5413           goto EXPAND_FAILED_CURLY;
5414
5415         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5416         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5417         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5418
5419         /* After removal of leading and trailing white space, the first
5420         argument must be numeric and nonempty. */
5421
5422         if (i == 0)
5423           {
5424           int len;
5425           int x = 0;
5426           uschar *p = sub[0];
5427
5428           while (isspace(*p)) p++;
5429           sub[0] = p;
5430
5431           len = Ustrlen(p);
5432           while (len > 0 && isspace(p[len-1])) len--;
5433           p[len] = 0;
5434
5435           if (!*p && !skipping)
5436             {
5437             expand_string_message = US"first argument of \"listextract\" must "
5438               "not be empty";
5439             goto EXPAND_FAILED;
5440             }
5441
5442           if (*p == '-')
5443             {
5444             field_number = -1;
5445             p++;
5446             }
5447           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5448           if (*p)
5449             {
5450             expand_string_message = US"first argument of \"listextract\" must "
5451               "be numeric";
5452             goto EXPAND_FAILED;
5453             }
5454           field_number *= x;
5455           }
5456         }
5457
5458       /* Extract the numbered element into $value. If
5459       skipping, just pretend the extraction failed. */
5460
5461       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5462
5463       /* If no string follows, $value gets substituted; otherwise there can
5464       be yes/no strings, as for lookup or if. */
5465
5466       switch(process_yesno(
5467                skipping,                     /* were previously skipping */
5468                lookup_value != NULL,         /* success/failure indicator */
5469                save_lookup_value,            /* value to reset for string2 */
5470                &s,                           /* input pointer */
5471                &yield,                       /* output pointer */
5472                &size,                        /* output size */
5473                &ptr,                         /* output current point */
5474                US"listextract",              /* condition type */
5475                &resetok))
5476         {
5477         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5478         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5479         }
5480
5481       /* All done - restore numerical variables. */
5482
5483       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5484         save_expand_nlength);
5485
5486       continue;
5487       }
5488
5489 #ifdef SUPPORT_TLS
5490     case EITEM_CERTEXTRACT:
5491       {
5492       uschar *save_lookup_value = lookup_value;
5493       uschar *sub[2];
5494       int save_expand_nmax =
5495         save_expand_strings(save_expand_nstring, save_expand_nlength);
5496
5497       /* Read the field argument */
5498       while (isspace(*s)) s++;
5499       if (*s != '{')                                    /*}*/
5500         goto EXPAND_FAILED_CURLY;
5501       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5502       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5503       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5504       /* strip spaces fore & aft */
5505       {
5506       int len;
5507       uschar *p = sub[0];
5508
5509       while (isspace(*p)) p++;
5510       sub[0] = p;
5511
5512       len = Ustrlen(p);
5513       while (len > 0 && isspace(p[len-1])) len--;
5514       p[len] = 0;
5515       }
5516
5517       /* inspect the cert argument */
5518       while (isspace(*s)) s++;
5519       if (*s != '{')                                    /*}*/
5520         goto EXPAND_FAILED_CURLY;
5521       if (*++s != '$')
5522         {
5523         expand_string_message = US"second argument of \"certextract\" must "
5524           "be a certificate variable";
5525         goto EXPAND_FAILED;
5526         }
5527       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5528       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5529       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5530
5531       if (skipping)
5532         lookup_value = NULL;
5533       else
5534         {
5535         lookup_value = expand_getcertele(sub[0], sub[1]);
5536         if (*expand_string_message) goto EXPAND_FAILED;
5537         }
5538       switch(process_yesno(
5539                skipping,                     /* were previously skipping */
5540                lookup_value != NULL,         /* success/failure indicator */
5541                save_lookup_value,            /* value to reset for string2 */
5542                &s,                           /* input pointer */
5543                &yield,                       /* output pointer */
5544                &size,                        /* output size */
5545                &ptr,                         /* output current point */
5546                US"certextract",              /* condition type */
5547                &resetok))
5548         {
5549         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5550         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5551         }
5552
5553       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5554         save_expand_nlength);
5555       continue;
5556       }
5557 #endif  /*SUPPORT_TLS*/
5558
5559     /* Handle list operations */
5560
5561     case EITEM_FILTER:
5562     case EITEM_MAP:
5563     case EITEM_REDUCE:
5564       {
5565       int sep = 0;
5566       int save_ptr = ptr;
5567       uschar outsep[2] = { '\0', '\0' };
5568       const uschar *list, *expr, *temp;
5569       uschar *save_iterate_item = iterate_item;
5570       uschar *save_lookup_value = lookup_value;
5571
5572       while (isspace(*s)) s++;
5573       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5574
5575       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5576       if (list == NULL) goto EXPAND_FAILED;
5577       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5578
5579       if (item_type == EITEM_REDUCE)
5580         {
5581         uschar * t;
5582         while (isspace(*s)) s++;
5583         if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5584         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5585         if (!t) goto EXPAND_FAILED;
5586         lookup_value = t;
5587         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5588         }
5589
5590       while (isspace(*s)) s++;
5591       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5592
5593       expr = s;
5594
5595       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5596       if scanning a "false" part). This allows us to find the end of the
5597       condition, because if the list is empty, we won't actually evaluate the
5598       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5599       the normal internal expansion function. */
5600
5601       if (item_type == EITEM_FILTER)
5602         {
5603         temp = eval_condition(expr, &resetok, NULL);
5604         if (temp != NULL) s = temp;
5605         }
5606       else
5607         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5608
5609       if (temp == NULL)
5610         {
5611         expand_string_message = string_sprintf("%s inside \"%s\" item",
5612           expand_string_message, name);
5613         goto EXPAND_FAILED;
5614         }
5615
5616       while (isspace(*s)) s++;
5617       if (*s++ != '}')
5618         {                                               /*{*/
5619         expand_string_message = string_sprintf("missing } at end of condition "
5620           "or expression inside \"%s\"", name);
5621         goto EXPAND_FAILED;
5622         }
5623
5624       while (isspace(*s)) s++;                          /*{*/
5625       if (*s++ != '}')
5626         {                                               /*{*/
5627         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5628           name);
5629         goto EXPAND_FAILED;
5630         }
5631
5632       /* If we are skipping, we can now just move on to the next item. When
5633       processing for real, we perform the iteration. */
5634
5635       if (skipping) continue;
5636       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
5637         {
5638         *outsep = (uschar)sep;      /* Separator as a string */
5639
5640         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
5641
5642         if (item_type == EITEM_FILTER)
5643           {
5644           BOOL condresult;
5645           if (eval_condition(expr, &resetok, &condresult) == NULL)
5646             {
5647             iterate_item = save_iterate_item;
5648             lookup_value = save_lookup_value;
5649             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5650               expand_string_message, name);
5651             goto EXPAND_FAILED;
5652             }
5653           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
5654             condresult? "true":"false");
5655           if (condresult)
5656             temp = iterate_item;    /* TRUE => include this item */
5657           else
5658             continue;               /* FALSE => skip this item */
5659           }
5660
5661         /* EITEM_MAP and EITEM_REDUCE */
5662
5663         else
5664           {
5665           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5666           temp = t;
5667           if (temp == NULL)
5668             {
5669             iterate_item = save_iterate_item;
5670             expand_string_message = string_sprintf("%s inside \"%s\" item",
5671               expand_string_message, name);
5672             goto EXPAND_FAILED;
5673             }
5674           if (item_type == EITEM_REDUCE)
5675             {
5676             lookup_value = t;         /* Update the value of $value */
5677             continue;                 /* and continue the iteration */
5678             }
5679           }
5680
5681         /* We reach here for FILTER if the condition is true, always for MAP,
5682         and never for REDUCE. The value in "temp" is to be added to the output
5683         list that is being created, ensuring that any occurrences of the
5684         separator character are doubled. Unless we are dealing with the first
5685         item of the output list, add in a space if the new item begins with the
5686         separator character, or is an empty string. */
5687
5688         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5689           yield = string_cat(yield, &size, &ptr, US" ", 1);
5690
5691         /* Add the string in "temp" to the output list that we are building,
5692         This is done in chunks by searching for the separator character. */
5693
5694         for (;;)
5695           {
5696           size_t seglen = Ustrcspn(temp, outsep);
5697             yield = string_cat(yield, &size, &ptr, temp, seglen + 1);
5698
5699           /* If we got to the end of the string we output one character
5700           too many; backup and end the loop. Otherwise arrange to double the
5701           separator. */
5702
5703           if (temp[seglen] == '\0') { ptr--; break; }
5704           yield = string_cat(yield, &size, &ptr, outsep, 1);
5705           temp += seglen + 1;
5706           }
5707
5708         /* Output a separator after the string: we will remove the redundant
5709         final one at the end. */
5710
5711         yield = string_cat(yield, &size, &ptr, outsep, 1);
5712         }   /* End of iteration over the list loop */
5713
5714       /* REDUCE has generated no output above: output the final value of
5715       $value. */
5716
5717       if (item_type == EITEM_REDUCE)
5718         {
5719         yield = string_cat(yield, &size, &ptr, lookup_value,
5720           Ustrlen(lookup_value));
5721         lookup_value = save_lookup_value;  /* Restore $value */
5722         }
5723
5724       /* FILTER and MAP generate lists: if they have generated anything, remove
5725       the redundant final separator. Even though an empty item at the end of a
5726       list does not count, this is tidier. */
5727
5728       else if (ptr != save_ptr) ptr--;
5729
5730       /* Restore preserved $item */
5731
5732       iterate_item = save_iterate_item;
5733       continue;
5734       }
5735
5736     case EITEM_SORT:
5737       {
5738       int sep = 0;
5739       const uschar *srclist, *cmp, *xtract;
5740       uschar *srcitem;
5741       const uschar *dstlist = NULL, *dstkeylist = NULL;
5742       uschar * tmp;
5743       uschar *save_iterate_item = iterate_item;
5744
5745       while (isspace(*s)) s++;
5746       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5747
5748       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5749       if (!srclist) goto EXPAND_FAILED;
5750       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5751
5752       while (isspace(*s)) s++;
5753       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5754
5755       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5756       if (!cmp) goto EXPAND_FAILED;
5757       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5758
5759       while (isspace(*s)) s++;
5760       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5761
5762       xtract = s;
5763       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5764       if (!tmp) goto EXPAND_FAILED;
5765       xtract = string_copyn(xtract, s - xtract);
5766
5767       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5768                                                         /*{*/
5769       if (*s++ != '}')
5770         {                                               /*{*/
5771         expand_string_message = US"missing } at end of \"sort\"";
5772         goto EXPAND_FAILED;
5773         }
5774
5775       if (skipping) continue;
5776
5777       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5778         {
5779         uschar * dstitem;
5780         uschar * newlist = NULL;
5781         uschar * newkeylist = NULL;
5782         uschar * srcfield;
5783
5784         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, srcitem);
5785
5786         /* extract field for comparisons */
5787         iterate_item = srcitem;
5788         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5789                                           TRUE, &resetok))
5790            || !*srcfield)
5791           {
5792           expand_string_message = string_sprintf(
5793               "field-extract in sort: \"%s\"", xtract);
5794           goto EXPAND_FAILED;
5795           }
5796
5797         /* Insertion sort */
5798
5799         /* copy output list until new-item < list-item */
5800         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5801           {
5802           uschar * dstfield;
5803           uschar * expr;
5804           BOOL before;
5805
5806           /* field for comparison */
5807           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5808             goto sort_mismatch;
5809
5810           /* build and run condition string */
5811           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
5812
5813           DEBUG(D_expand) debug_printf("%s: cond = \"%s\"\n", name, expr);
5814           if (!eval_condition(expr, &resetok, &before))
5815             {
5816             expand_string_message = string_sprintf("comparison in sort: %s",
5817                 expr);
5818             goto EXPAND_FAILED;
5819             }
5820
5821           if (before)
5822             {
5823             /* New-item sorts before this dst-item.  Append new-item,
5824             then dst-item, then remainder of dst list. */
5825
5826             newlist = string_append_listele(newlist, sep, srcitem);
5827             newkeylist = string_append_listele(newkeylist, sep, srcfield);
5828             srcitem = NULL;
5829
5830             newlist = string_append_listele(newlist, sep, dstitem);
5831             newkeylist = string_append_listele(newkeylist, sep, dstfield);
5832
5833             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5834               {
5835               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5836                 goto sort_mismatch;
5837               newlist = string_append_listele(newlist, sep, dstitem);
5838               newkeylist = string_append_listele(newkeylist, sep, dstfield);
5839               }
5840
5841             break;
5842             }
5843
5844           newlist = string_append_listele(newlist, sep, dstitem);
5845           newkeylist = string_append_listele(newkeylist, sep, dstfield);
5846           }
5847
5848         /* If we ran out of dstlist without consuming srcitem, append it */
5849         if (srcitem)
5850           {
5851           newlist = string_append_listele(newlist, sep, srcitem);
5852           newkeylist = string_append_listele(newkeylist, sep, srcfield);
5853           }
5854
5855         dstlist = newlist;
5856         dstkeylist = newkeylist;
5857
5858         DEBUG(D_expand) debug_printf("%s: dstlist = \"%s\"\n", name, dstlist);
5859         DEBUG(D_expand) debug_printf("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
5860         }
5861
5862       if (dstlist)
5863         yield = string_cat(yield, &size, &ptr, dstlist, Ustrlen(dstlist));
5864
5865       /* Restore preserved $item */
5866       iterate_item = save_iterate_item;
5867       continue;
5868
5869       sort_mismatch:
5870         expand_string_message = US"Internal error in sort (list mismatch)";
5871         goto EXPAND_FAILED;
5872       }
5873
5874
5875     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
5876     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
5877     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
5878     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
5879
5880     #define EXPAND_DLFUNC_MAX_ARGS 8
5881
5882     case EITEM_DLFUNC:
5883 #ifndef EXPAND_DLFUNC
5884       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
5885         "is not included in this binary";
5886       goto EXPAND_FAILED;
5887
5888 #else   /* EXPAND_DLFUNC */
5889       {
5890       tree_node *t;
5891       exim_dlfunc_t *func;
5892       uschar *result;
5893       int status, argc;
5894       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
5895
5896       if ((expand_forbid & RDO_DLFUNC) != 0)
5897         {
5898         expand_string_message =
5899           US"dynamically-loaded functions are not permitted";
5900         goto EXPAND_FAILED;
5901         }
5902
5903       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
5904            TRUE, US"dlfunc", &resetok))
5905         {
5906         case 1: goto EXPAND_FAILED_CURLY;
5907         case 2:
5908         case 3: goto EXPAND_FAILED;
5909         }
5910
5911       /* If skipping, we don't actually do anything */
5912
5913       if (skipping) continue;
5914
5915       /* Look up the dynamically loaded object handle in the tree. If it isn't
5916       found, dlopen() the file and put the handle in the tree for next time. */
5917
5918       t = tree_search(dlobj_anchor, argv[0]);
5919       if (t == NULL)
5920         {
5921         void *handle = dlopen(CS argv[0], RTLD_LAZY);
5922         if (handle == NULL)
5923           {
5924           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
5925             argv[0], dlerror());
5926           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5927           goto EXPAND_FAILED;
5928           }
5929         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
5930         Ustrcpy(t->name, argv[0]);
5931         t->data.ptr = handle;
5932         (void)tree_insertnode(&dlobj_anchor, t);
5933         }
5934
5935       /* Having obtained the dynamically loaded object handle, look up the
5936       function pointer. */
5937
5938       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
5939       if (func == NULL)
5940         {
5941         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
5942           "%s", argv[1], argv[0], dlerror());
5943         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5944         goto EXPAND_FAILED;
5945         }
5946
5947       /* Call the function and work out what to do with the result. If it
5948       returns OK, we have a replacement string; if it returns DEFER then
5949       expansion has failed in a non-forced manner; if it returns FAIL then
5950       failure was forced; if it returns ERROR or any other value there's a
5951       problem, so panic slightly. In any case, assume that the function has
5952       side-effects on the store that must be preserved. */
5953
5954       resetok = FALSE;
5955       result = NULL;
5956       for (argc = 0; argv[argc] != NULL; argc++);
5957       status = func(&result, argc - 2, &argv[2]);
5958       if(status == OK)
5959         {
5960         if (result == NULL) result = US"";
5961         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
5962         continue;
5963         }
5964       else
5965         {
5966         expand_string_message = result == NULL ? US"(no message)" : result;
5967         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
5968           else if(status != FAIL)
5969             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
5970               argv[0], argv[1], status, expand_string_message);
5971         goto EXPAND_FAILED;
5972         }
5973       }
5974 #endif /* EXPAND_DLFUNC */
5975
5976     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
5977       {
5978       uschar * key;
5979       uschar *save_lookup_value = lookup_value;
5980
5981       while (isspace(*s)) s++;
5982       if (*s != '{')                                    /*}*/
5983         goto EXPAND_FAILED;
5984
5985       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5986       if (!key) goto EXPAND_FAILED;                     /*{*/
5987       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5988
5989       lookup_value = US getenv(CS key);
5990
5991       switch(process_yesno(
5992                skipping,                     /* were previously skipping */
5993                lookup_value != NULL,         /* success/failure indicator */
5994                save_lookup_value,            /* value to reset for string2 */
5995                &s,                           /* input pointer */
5996                &yield,                       /* output pointer */
5997                &size,                        /* output size */
5998                &ptr,                         /* output current point */
5999                US"env",                      /* condition type */
6000                &resetok))
6001         {
6002         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6003         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6004         }
6005       continue;
6006       }
6007     }   /* EITEM_* switch */
6008
6009   /* Control reaches here if the name is not recognized as one of the more
6010   complicated expansion items. Check for the "operator" syntax (name terminated
6011   by a colon). Some of the operators have arguments, separated by _ from the
6012   name. */
6013
6014   if (*s == ':')
6015     {
6016     int c;
6017     uschar *arg = NULL;
6018     uschar *sub;
6019     var_entry *vp = NULL;
6020
6021     /* Owing to an historical mis-design, an underscore may be part of the
6022     operator name, or it may introduce arguments.  We therefore first scan the
6023     table of names that contain underscores. If there is no match, we cut off
6024     the arguments and then scan the main table. */
6025
6026     if ((c = chop_match(name, op_table_underscore,
6027                         nelem(op_table_underscore))) < 0)
6028       {
6029       arg = Ustrchr(name, '_');
6030       if (arg != NULL) *arg = 0;
6031       c = chop_match(name, op_table_main, nelem(op_table_main));
6032       if (c >= 0) c += nelem(op_table_underscore);
6033       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6034       }
6035
6036     /* Deal specially with operators that might take a certificate variable
6037     as we do not want to do the usual expansion. For most, expand the string.*/
6038     switch(c)
6039       {
6040 #ifdef SUPPORT_TLS
6041       case EOP_MD5:
6042       case EOP_SHA1:
6043       case EOP_SHA256:
6044       case EOP_BASE64:
6045         if (s[1] == '$')
6046           {
6047           const uschar * s1 = s;
6048           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6049                   FALSE, &resetok);
6050           if (!sub)       goto EXPAND_FAILED;           /*{*/
6051           if (*s1 != '}') goto EXPAND_FAILED_CURLY;
6052           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6053             {
6054             s = s1+1;
6055             break;
6056             }
6057           vp = NULL;
6058           }
6059         /*FALLTHROUGH*/
6060 #endif
6061       default:
6062         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6063         if (!sub) goto EXPAND_FAILED;
6064         s++;
6065         break;
6066       }
6067
6068     /* If we are skipping, we don't need to perform the operation at all.
6069     This matters for operations like "mask", because the data may not be
6070     in the correct format when skipping. For example, the expression may test
6071     for the existence of $sender_host_address before trying to mask it. For
6072     other operations, doing them may not fail, but it is a waste of time. */
6073
6074     if (skipping && c >= 0) continue;
6075
6076     /* Otherwise, switch on the operator type */
6077
6078     switch(c)
6079       {
6080       case EOP_BASE62:
6081         {
6082         uschar *t;
6083         unsigned long int n = Ustrtoul(sub, &t, 10);
6084         if (*t != 0)
6085           {
6086           expand_string_message = string_sprintf("argument for base62 "
6087             "operator is \"%s\", which is not a decimal number", sub);
6088           goto EXPAND_FAILED;
6089           }
6090         t = string_base62(n);
6091         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6092         continue;
6093         }
6094
6095       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6096
6097       case EOP_BASE62D:
6098         {
6099         uschar buf[16];
6100         uschar *tt = sub;
6101         unsigned long int n = 0;
6102         while (*tt != 0)
6103           {
6104           uschar *t = Ustrchr(base62_chars, *tt++);
6105           if (t == NULL)
6106             {
6107             expand_string_message = string_sprintf("argument for base62d "
6108               "operator is \"%s\", which is not a base %d number", sub,
6109               BASE_62);
6110             goto EXPAND_FAILED;
6111             }
6112           n = n * BASE_62 + (t - base62_chars);
6113           }
6114         (void)sprintf(CS buf, "%ld", n);
6115         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
6116         continue;
6117         }
6118
6119       case EOP_EXPAND:
6120         {
6121         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6122         if (expanded == NULL)
6123           {
6124           expand_string_message =
6125             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6126               expand_string_message);
6127           goto EXPAND_FAILED;
6128           }
6129         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
6130         continue;
6131         }
6132
6133       case EOP_LC:
6134         {
6135         int count = 0;
6136         uschar *t = sub - 1;
6137         while (*(++t) != 0) { *t = tolower(*t); count++; }
6138         yield = string_cat(yield, &size, &ptr, sub, count);
6139         continue;
6140         }
6141
6142       case EOP_UC:
6143         {
6144         int count = 0;
6145         uschar *t = sub - 1;
6146         while (*(++t) != 0) { *t = toupper(*t); count++; }
6147         yield = string_cat(yield, &size, &ptr, sub, count);
6148         continue;
6149         }
6150
6151       case EOP_MD5:
6152 #ifdef SUPPORT_TLS
6153         if (vp && *(void **)vp->value)
6154           {
6155           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6156           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6157           }
6158         else
6159 #endif
6160           {
6161           md5 base;
6162           uschar digest[16];
6163           int j;
6164           char st[33];
6165           md5_start(&base);
6166           md5_end(&base, sub, Ustrlen(sub), digest);
6167           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6168           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6169           }
6170         continue;
6171
6172       case EOP_SHA1:
6173 #ifdef SUPPORT_TLS
6174         if (vp && *(void **)vp->value)
6175           {
6176           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6177           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6178           }
6179         else
6180 #endif
6181           {
6182           sha1 base;
6183           uschar digest[20];
6184           int j;
6185           char st[41];
6186           sha1_start(&base);
6187           sha1_end(&base, sub, Ustrlen(sub), digest);
6188           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6189           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6190           }
6191         continue;
6192
6193       case EOP_SHA256:
6194 #ifdef SUPPORT_TLS
6195         if (vp && *(void **)vp->value)
6196           {
6197           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6198           yield = string_cat(yield, &size, &ptr, cp, (int)Ustrlen(cp));
6199           }
6200         else
6201 #endif
6202           expand_string_message = US"sha256 only supported for certificates";
6203         continue;
6204
6205       /* Convert hex encoding to base64 encoding */
6206
6207       case EOP_HEX2B64:
6208         {
6209         int c = 0;
6210         int b = -1;
6211         uschar *in = sub;
6212         uschar *out = sub;
6213         uschar *enc;
6214
6215         for (enc = sub; *enc != 0; enc++)
6216           {
6217           if (!isxdigit(*enc))
6218             {
6219             expand_string_message = string_sprintf("\"%s\" is not a hex "
6220               "string", sub);
6221             goto EXPAND_FAILED;
6222             }
6223           c++;
6224           }
6225
6226         if ((c & 1) != 0)
6227           {
6228           expand_string_message = string_sprintf("\"%s\" contains an odd "
6229             "number of characters", sub);
6230           goto EXPAND_FAILED;
6231           }
6232
6233         while ((c = *in++) != 0)
6234           {
6235           if (isdigit(c)) c -= '0';
6236           else c = toupper(c) - 'A' + 10;
6237           if (b == -1)
6238             {
6239             b = c << 4;
6240             }
6241           else
6242             {
6243             *out++ = b | c;
6244             b = -1;
6245             }
6246           }
6247
6248         enc = b64encode(sub, out - sub);
6249         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
6250         continue;
6251         }
6252
6253       /* Convert octets outside 0x21..0x7E to \xXX form */
6254
6255       case EOP_HEXQUOTE:
6256         {
6257         uschar *t = sub - 1;
6258         while (*(++t) != 0)
6259           {
6260           if (*t < 0x21 || 0x7E < *t)
6261             yield = string_cat(yield, &size, &ptr,
6262               string_sprintf("\\x%02x", *t), 4);
6263           else
6264             yield = string_cat(yield, &size, &ptr, t, 1);
6265           }
6266         continue;
6267         }
6268
6269       /* count the number of list elements */
6270
6271       case EOP_LISTCOUNT:
6272         {
6273         int cnt = 0;
6274         int sep = 0;
6275         uschar * cp;
6276         uschar buffer[256];
6277
6278         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6279         cp = string_sprintf("%d", cnt);
6280         yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6281         continue;
6282         }
6283
6284       /* expand a named list given the name */
6285       /* handles nested named lists; requotes as colon-sep list */
6286
6287       case EOP_LISTNAMED:
6288         {
6289         tree_node *t = NULL;
6290         const uschar * list;
6291         int sep = 0;
6292         uschar * item;
6293         uschar * suffix = US"";
6294         BOOL needsep = FALSE;
6295         uschar buffer[256];
6296
6297         if (*sub == '+') sub++;
6298         if (arg == NULL)        /* no-argument version */
6299           {
6300           if (!(t = tree_search(addresslist_anchor, sub)) &&
6301               !(t = tree_search(domainlist_anchor,  sub)) &&
6302               !(t = tree_search(hostlist_anchor,    sub)))
6303             t = tree_search(localpartlist_anchor, sub);
6304           }
6305         else switch(*arg)       /* specific list-type version */
6306           {
6307           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6308           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6309           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6310           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6311           default:
6312             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6313             goto EXPAND_FAILED;
6314           }
6315
6316         if(!t)
6317           {
6318           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6319             sub, !arg?""
6320               : *arg=='a'?"address "
6321               : *arg=='d'?"domain "
6322               : *arg=='h'?"host "
6323               : *arg=='l'?"localpart "
6324               : 0);
6325           goto EXPAND_FAILED;
6326           }
6327
6328         list = ((namedlist_block *)(t->data.ptr))->string;
6329
6330         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6331           {
6332           uschar * buf = US" : ";
6333           if (needsep)
6334             yield = string_cat(yield, &size, &ptr, buf, 3);
6335           else
6336             needsep = TRUE;
6337
6338           if (*item == '+')     /* list item is itself a named list */
6339             {
6340             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6341             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6342             }
6343           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6344             {
6345             char * cp;
6346             char tok[3];
6347             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6348             while ((cp= strpbrk((const char *)item, tok)))
6349               {
6350               yield = string_cat(yield, &size, &ptr, item, cp-(char *)item);
6351               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6352                 {
6353                 yield = string_cat(yield, &size, &ptr, US"::", 2);
6354                 item = (uschar *)cp;
6355                 }
6356               else              /* sep in item; should already be doubled; emit once */
6357                 {
6358                 yield = string_cat(yield, &size, &ptr, (uschar *)tok, 1);
6359                 if (*cp == sep) cp++;
6360                 item = (uschar *)cp;
6361                 }
6362               }
6363             }
6364           yield = string_cat(yield, &size, &ptr, item, Ustrlen(item));
6365           }
6366         continue;
6367         }
6368
6369       /* mask applies a mask to an IP address; for example the result of
6370       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6371
6372       case EOP_MASK:
6373         {
6374         int count;
6375         uschar *endptr;
6376         int binary[4];
6377         int mask, maskoffset;
6378         int type = string_is_ip_address(sub, &maskoffset);
6379         uschar buffer[64];
6380
6381         if (type == 0)
6382           {
6383           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6384            sub);
6385           goto EXPAND_FAILED;
6386           }
6387
6388         if (maskoffset == 0)
6389           {
6390           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6391             sub);
6392           goto EXPAND_FAILED;
6393           }
6394
6395         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6396
6397         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6398           {
6399           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6400             sub);
6401           goto EXPAND_FAILED;
6402           }
6403
6404         /* Convert the address to binary integer(s) and apply the mask */
6405
6406         sub[maskoffset] = 0;
6407         count = host_aton(sub, binary);
6408         host_mask(count, binary, mask);
6409
6410         /* Convert to masked textual format and add to output. */
6411
6412         yield = string_cat(yield, &size, &ptr, buffer,
6413           host_nmtoa(count, binary, mask, buffer, '.'));
6414         continue;
6415         }
6416
6417       case EOP_IPV6NORM:
6418       case EOP_IPV6DENORM:
6419         {
6420         int type = string_is_ip_address(sub, NULL);
6421         int binary[4];
6422         uschar buffer[44];
6423
6424         switch (type)
6425           {
6426           case 6:
6427             (void) host_aton(sub, binary);
6428             break;
6429
6430           case 4:       /* convert to IPv4-mapped IPv6 */
6431             binary[0] = binary[1] = 0;
6432             binary[2] = 0x0000ffff;
6433             (void) host_aton(sub, binary+3);
6434             break;
6435
6436           case 0:
6437             expand_string_message =
6438               string_sprintf("\"%s\" is not an IP address", sub);
6439             goto EXPAND_FAILED;
6440           }
6441
6442         yield = string_cat(yield, &size, &ptr, buffer,
6443                   c == EOP_IPV6NORM
6444                     ? ipv6_nmtoa(binary, buffer)
6445                     : host_nmtoa(4, binary, -1, buffer, ':')
6446                   );
6447         continue;
6448         }
6449
6450       case EOP_ADDRESS:
6451       case EOP_LOCAL_PART:
6452       case EOP_DOMAIN:
6453         {
6454         uschar *error;
6455         int start, end, domain;
6456         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
6457           FALSE);
6458         if (t != NULL)
6459           {
6460           if (c != EOP_DOMAIN)
6461             {
6462             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6463             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
6464             }
6465           else if (domain != 0)
6466             {
6467             domain += start;
6468             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
6469             }
6470           }
6471         continue;
6472         }
6473
6474       case EOP_ADDRESSES:
6475         {
6476         uschar outsep[2] = { ':', '\0' };
6477         uschar *address, *error;
6478         int save_ptr = ptr;
6479         int start, end, domain;  /* Not really used */
6480
6481         while (isspace(*sub)) sub++;
6482         if (*sub == '>') { *outsep = *++sub; ++sub; }
6483         parse_allow_group = TRUE;
6484
6485         for (;;)
6486           {
6487           uschar *p = parse_find_address_end(sub, FALSE);
6488           uschar saveend = *p;
6489           *p = '\0';
6490           address = parse_extract_address(sub, &error, &start, &end, &domain,
6491             FALSE);
6492           *p = saveend;
6493
6494           /* Add the address to the output list that we are building. This is
6495           done in chunks by searching for the separator character. At the
6496           start, unless we are dealing with the first address of the output
6497           list, add in a space if the new address begins with the separator
6498           character, or is an empty string. */
6499
6500           if (address != NULL)
6501             {
6502             if (ptr != save_ptr && address[0] == *outsep)
6503               yield = string_cat(yield, &size, &ptr, US" ", 1);
6504
6505             for (;;)
6506               {
6507               size_t seglen = Ustrcspn(address, outsep);
6508               yield = string_cat(yield, &size, &ptr, address, seglen + 1);
6509
6510               /* If we got to the end of the string we output one character
6511               too many. */
6512
6513               if (address[seglen] == '\0') { ptr--; break; }
6514               yield = string_cat(yield, &size, &ptr, outsep, 1);
6515               address += seglen + 1;
6516               }
6517
6518             /* Output a separator after the string: we will remove the
6519             redundant final one at the end. */
6520
6521             yield = string_cat(yield, &size, &ptr, outsep, 1);
6522             }
6523
6524           if (saveend == '\0') break;
6525           sub = p + 1;
6526           }
6527
6528         /* If we have generated anything, remove the redundant final
6529         separator. */
6530
6531         if (ptr != save_ptr) ptr--;
6532         parse_allow_group = FALSE;
6533         continue;
6534         }
6535
6536
6537       /* quote puts a string in quotes if it is empty or contains anything
6538       other than alphamerics, underscore, dot, or hyphen.
6539
6540       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6541       be quoted in order to be a valid local part.
6542
6543       In both cases, newlines and carriage returns are converted into \n and \r
6544       respectively */
6545
6546       case EOP_QUOTE:
6547       case EOP_QUOTE_LOCAL_PART:
6548       if (arg == NULL)
6549         {
6550         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6551         uschar *t = sub - 1;
6552
6553         if (c == EOP_QUOTE)
6554           {
6555           while (!needs_quote && *(++t) != 0)
6556             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6557           }
6558         else  /* EOP_QUOTE_LOCAL_PART */
6559           {
6560           while (!needs_quote && *(++t) != 0)
6561             needs_quote = !isalnum(*t) &&
6562               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6563               (*t != '.' || t == sub || t[1] == 0);
6564           }
6565
6566         if (needs_quote)
6567           {
6568           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6569           t = sub - 1;
6570           while (*(++t) != 0)
6571             {
6572             if (*t == '\n')
6573               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
6574             else if (*t == '\r')
6575               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
6576             else
6577               {
6578               if (*t == '\\' || *t == '"')
6579                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
6580               yield = string_cat(yield, &size, &ptr, t, 1);
6581               }
6582             }
6583           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6584           }
6585         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6586         continue;
6587         }
6588
6589       /* quote_lookuptype does lookup-specific quoting */
6590
6591       else
6592         {
6593         int n;
6594         uschar *opt = Ustrchr(arg, '_');
6595
6596         if (opt != NULL) *opt++ = 0;
6597
6598         n = search_findtype(arg, Ustrlen(arg));
6599         if (n < 0)
6600           {
6601           expand_string_message = search_error_message;
6602           goto EXPAND_FAILED;
6603           }
6604
6605         if (lookup_list[n]->quote != NULL)
6606           sub = (lookup_list[n]->quote)(sub, opt);
6607         else if (opt != NULL) sub = NULL;
6608
6609         if (sub == NULL)
6610           {
6611           expand_string_message = string_sprintf(
6612             "\"%s\" unrecognized after \"${quote_%s\"",
6613             opt, arg);
6614           goto EXPAND_FAILED;
6615           }
6616
6617         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6618         continue;
6619         }
6620
6621       /* rx quote sticks in \ before any non-alphameric character so that
6622       the insertion works in a regular expression. */
6623
6624       case EOP_RXQUOTE:
6625         {
6626         uschar *t = sub - 1;
6627         while (*(++t) != 0)
6628           {
6629           if (!isalnum(*t))
6630             yield = string_cat(yield, &size, &ptr, US"\\", 1);
6631           yield = string_cat(yield, &size, &ptr, t, 1);
6632           }
6633         continue;
6634         }
6635
6636       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6637       prescribed by the RFC, if there are characters that need to be encoded */
6638
6639       case EOP_RFC2047:
6640         {
6641         uschar buffer[2048];
6642         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6643           buffer, sizeof(buffer), FALSE);
6644         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
6645         continue;
6646         }
6647
6648       /* RFC 2047 decode */
6649
6650       case EOP_RFC2047D:
6651         {
6652         int len;
6653         uschar *error;
6654         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6655           headers_charset, '?', &len, &error);
6656         if (error != NULL)
6657           {
6658           expand_string_message = error;
6659           goto EXPAND_FAILED;
6660           }
6661         yield = string_cat(yield, &size, &ptr, decoded, len);
6662         continue;
6663         }
6664
6665       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6666       underscores */
6667
6668       case EOP_FROM_UTF8:
6669         {
6670         while (*sub != 0)
6671           {
6672           int c;
6673           uschar buff[4];
6674           GETUTF8INC(c, sub);
6675           if (c > 255) c = '_';
6676           buff[0] = c;
6677           yield = string_cat(yield, &size, &ptr, buff, 1);
6678           }
6679         continue;
6680         }
6681
6682           /* replace illegal UTF-8 sequences by replacement character  */
6683
6684       #define UTF8_REPLACEMENT_CHAR US"?"
6685
6686       case EOP_UTF8CLEAN:
6687         {
6688         int seq_len = 0, index = 0;
6689         int bytes_left = 0;
6690         long codepoint = -1;
6691         uschar seq_buff[4];                     /* accumulate utf-8 here */
6692
6693         while (*sub != 0)
6694           {
6695           int complete = 0;
6696           uschar c = *sub++;
6697
6698           if (bytes_left)
6699             {
6700             if ((c & 0xc0) != 0x80)
6701                     /* wrong continuation byte; invalidate all bytes */
6702               complete = 1; /* error */
6703             else
6704               {
6705               codepoint = (codepoint << 6) | (c & 0x3f);
6706               seq_buff[index++] = c;
6707               if (--bytes_left == 0)            /* codepoint complete */
6708                 if(codepoint > 0x10FFFF)        /* is it too large? */
6709                   complete = -1;        /* error (RFC3629 limit) */
6710                 else
6711                   {             /* finished; output utf-8 sequence */
6712                   yield = string_cat(yield, &size, &ptr, seq_buff, seq_len);
6713                   index = 0;
6714                   }
6715               }
6716             }
6717           else  /* no bytes left: new sequence */
6718             {
6719             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
6720               {
6721               yield = string_cat(yield, &size, &ptr, &c, 1);
6722               continue;
6723               }
6724             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
6725               {
6726               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
6727                 complete = -1;
6728               else
6729                 {
6730                   bytes_left = 1;
6731                   codepoint = c & 0x1f;
6732                 }
6733               }
6734             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
6735               {
6736               bytes_left = 2;
6737               codepoint = c & 0x0f;
6738               }
6739             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
6740               {
6741               bytes_left = 3;
6742               codepoint = c & 0x07;
6743               }
6744             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
6745               complete = -1;
6746
6747             seq_buff[index++] = c;
6748             seq_len = bytes_left + 1;
6749             }           /* if(bytes_left) */
6750
6751           if (complete != 0)
6752             {
6753             bytes_left = index = 0;
6754             yield = string_cat(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
6755             }
6756           if ((complete == 1) && ((c & 0x80) == 0))
6757                         /* ASCII character follows incomplete sequence */
6758               yield = string_cat(yield, &size, &ptr, &c, 1);
6759           }
6760         continue;
6761         }
6762
6763 #ifdef SUPPORT_I18N
6764       case EOP_UTF8_DOMAIN_TO_ALABEL:
6765         {
6766         uschar * error = NULL;
6767         uschar * s = string_domain_utf8_to_alabel(sub, &error);
6768         if (error)
6769           {
6770           expand_string_message = string_sprintf(
6771             "error converting utf8 (%s) to alabel: %s",
6772             string_printing(sub), error);
6773           goto EXPAND_FAILED;
6774           }
6775         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6776         continue;
6777         }
6778
6779       case EOP_UTF8_DOMAIN_FROM_ALABEL:
6780         {
6781         uschar * error = NULL;
6782         uschar * s = string_domain_alabel_to_utf8(sub, &error);
6783         if (error)
6784           {
6785           expand_string_message = string_sprintf(
6786             "error converting alabel (%s) to utf8: %s",
6787             string_printing(sub), error);
6788           goto EXPAND_FAILED;
6789           }
6790         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6791         continue;
6792         }
6793
6794       case EOP_UTF8_LOCALPART_TO_ALABEL:
6795         {
6796         uschar * error = NULL;
6797         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
6798         if (error)
6799           {
6800           expand_string_message = string_sprintf(
6801             "error converting utf8 (%s) to alabel: %s",
6802             string_printing(sub), error);
6803           goto EXPAND_FAILED;
6804           }
6805         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6806         DEBUG(D_expand) debug_printf("yield: '%s'\n", yield);
6807         continue;
6808         }
6809
6810       case EOP_UTF8_LOCALPART_FROM_ALABEL:
6811         {
6812         uschar * error = NULL;
6813         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
6814         if (error)
6815           {
6816           expand_string_message = string_sprintf(
6817             "error converting alabel (%s) to utf8: %s",
6818             string_printing(sub), error);
6819           goto EXPAND_FAILED;
6820           }
6821         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6822         continue;
6823         }
6824 #endif  /* EXPERIMENTAL_INTERNATIONAL */
6825
6826       /* escape turns all non-printing characters into escape sequences. */
6827
6828       case EOP_ESCAPE:
6829         {
6830         const uschar *t = string_printing(sub);
6831         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6832         continue;
6833         }
6834
6835       /* Handle numeric expression evaluation */
6836
6837       case EOP_EVAL:
6838       case EOP_EVAL10:
6839         {
6840         uschar *save_sub = sub;
6841         uschar *error = NULL;
6842         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
6843         if (error != NULL)
6844           {
6845           expand_string_message = string_sprintf("error in expression "
6846             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
6847               save_sub);
6848           goto EXPAND_FAILED;
6849           }
6850         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
6851         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6852         continue;
6853         }
6854
6855       /* Handle time period formating */
6856
6857       case EOP_TIME_EVAL:
6858         {
6859         int n = readconf_readtime(sub, 0, FALSE);
6860         if (n < 0)
6861           {
6862           expand_string_message = string_sprintf("string \"%s\" is not an "
6863             "Exim time interval in \"%s\" operator", sub, name);
6864           goto EXPAND_FAILED;
6865           }
6866         sprintf(CS var_buffer, "%d", n);
6867         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6868         continue;
6869         }
6870
6871       case EOP_TIME_INTERVAL:
6872         {
6873         int n;
6874         uschar *t = read_number(&n, sub);
6875         if (*t != 0) /* Not A Number*/
6876           {
6877           expand_string_message = string_sprintf("string \"%s\" is not a "
6878             "positive number in \"%s\" operator", sub, name);
6879           goto EXPAND_FAILED;
6880           }
6881         t = readconf_printtime(n);
6882         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6883         continue;
6884         }
6885
6886       /* Convert string to base64 encoding */
6887
6888       case EOP_STR2B64:
6889       case EOP_BASE64:
6890         {
6891 #ifdef SUPPORT_TLS
6892         uschar * s = vp && *(void **)vp->value
6893           ? tls_cert_der_b64(*(void **)vp->value)
6894           : b64encode(sub, Ustrlen(sub));
6895 #else
6896         uschar * s = b64encode(sub, Ustrlen(sub));
6897 #endif
6898         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6899         continue;
6900         }
6901
6902       case EOP_BASE64D:
6903         {
6904         uschar * s;
6905         int len = b64decode(sub, &s);
6906         if (len < 0)
6907           {
6908           expand_string_message = string_sprintf("string \"%s\" is not "
6909             "well-formed for \"%s\" operator", sub, name);
6910           goto EXPAND_FAILED;
6911           }
6912         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6913         continue;
6914         }
6915
6916       /* strlen returns the length of the string */
6917
6918       case EOP_STRLEN:
6919         {
6920         uschar buff[24];
6921         (void)sprintf(CS buff, "%d", Ustrlen(sub));
6922         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
6923         continue;
6924         }
6925
6926       /* length_n or l_n takes just the first n characters or the whole string,
6927       whichever is the shorter;
6928
6929       substr_m_n, and s_m_n take n characters from offset m; negative m take
6930       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
6931       takes the rest, either to the right or to the left.
6932
6933       hash_n or h_n makes a hash of length n from the string, yielding n
6934       characters from the set a-z; hash_n_m makes a hash of length n, but
6935       uses m characters from the set a-zA-Z0-9.
6936
6937       nhash_n returns a single number between 0 and n-1 (in text form), while
6938       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
6939       between 0 and n-1 and the second between 0 and m-1. */
6940
6941       case EOP_LENGTH:
6942       case EOP_L:
6943       case EOP_SUBSTR:
6944       case EOP_S:
6945       case EOP_HASH:
6946       case EOP_H:
6947       case EOP_NHASH:
6948       case EOP_NH:
6949         {
6950         int sign = 1;
6951         int value1 = 0;
6952         int value2 = -1;
6953         int *pn;
6954         int len;
6955         uschar *ret;
6956
6957         if (arg == NULL)
6958           {
6959           expand_string_message = string_sprintf("missing values after %s",
6960             name);
6961           goto EXPAND_FAILED;
6962           }
6963
6964         /* "length" has only one argument, effectively being synonymous with
6965         substr_0_n. */
6966
6967         if (c == EOP_LENGTH || c == EOP_L)
6968           {
6969           pn = &value2;
6970           value2 = 0;
6971           }
6972
6973         /* The others have one or two arguments; for "substr" the first may be
6974         negative. The second being negative means "not supplied". */
6975
6976         else
6977           {
6978           pn = &value1;
6979           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
6980           }
6981
6982         /* Read up to two numbers, separated by underscores */
6983
6984         ret = arg;
6985         while (*arg != 0)
6986           {
6987           if (arg != ret && *arg == '_' && pn == &value1)
6988             {
6989             pn = &value2;
6990             value2 = 0;
6991             if (arg[1] != 0) arg++;
6992             }
6993           else if (!isdigit(*arg))
6994             {
6995             expand_string_message =
6996               string_sprintf("non-digit after underscore in \"%s\"", name);
6997             goto EXPAND_FAILED;
6998             }
6999           else *pn = (*pn)*10 + *arg++ - '0';
7000           }
7001         value1 *= sign;
7002
7003         /* Perform the required operation */
7004
7005         ret =
7006           (c == EOP_HASH || c == EOP_H)?
7007              compute_hash(sub, value1, value2, &len) :
7008           (c == EOP_NHASH || c == EOP_NH)?
7009              compute_nhash(sub, value1, value2, &len) :
7010              extract_substr(sub, value1, value2, &len);
7011
7012         if (ret == NULL) goto EXPAND_FAILED;
7013         yield = string_cat(yield, &size, &ptr, ret, len);
7014         continue;
7015         }
7016
7017       /* Stat a path */
7018
7019       case EOP_STAT:
7020         {
7021         uschar *s;
7022         uschar smode[12];
7023         uschar **modetable[3];
7024         int i;
7025         mode_t mode;
7026         struct stat st;
7027
7028         if ((expand_forbid & RDO_EXISTS) != 0)
7029           {
7030           expand_string_message = US"Use of the stat() expansion is not permitted";
7031           goto EXPAND_FAILED;
7032           }
7033
7034         if (stat(CS sub, &st) < 0)
7035           {
7036           expand_string_message = string_sprintf("stat(%s) failed: %s",
7037             sub, strerror(errno));
7038           goto EXPAND_FAILED;
7039           }
7040         mode = st.st_mode;
7041         switch (mode & S_IFMT)
7042           {
7043           case S_IFIFO: smode[0] = 'p'; break;
7044           case S_IFCHR: smode[0] = 'c'; break;
7045           case S_IFDIR: smode[0] = 'd'; break;
7046           case S_IFBLK: smode[0] = 'b'; break;
7047           case S_IFREG: smode[0] = '-'; break;
7048           default: smode[0] = '?'; break;
7049           }
7050
7051         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7052         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7053         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7054
7055         for (i = 0; i < 3; i++)
7056           {
7057           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7058           mode >>= 3;
7059           }
7060
7061         smode[10] = 0;
7062         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7063           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7064           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7065           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7066           (long)st.st_gid, st.st_size, (long)st.st_atime,
7067           (long)st.st_mtime, (long)st.st_ctime);
7068         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7069         continue;
7070         }
7071
7072       /* vaguely random number less than N */
7073
7074       case EOP_RANDINT:
7075         {
7076         int_eximarith_t max;
7077         uschar *s;
7078
7079         max = expanded_string_integer(sub, TRUE);
7080         if (expand_string_message != NULL)
7081           goto EXPAND_FAILED;
7082         s = string_sprintf("%d", vaguely_random_number((int)max));
7083         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7084         continue;
7085         }
7086
7087       /* Reverse IP, including IPv6 to dotted-nibble */
7088
7089       case EOP_REVERSE_IP:
7090         {
7091         int family, maskptr;
7092         uschar reversed[128];
7093
7094         family = string_is_ip_address(sub, &maskptr);
7095         if (family == 0)
7096           {
7097           expand_string_message = string_sprintf(
7098               "reverse_ip() not given an IP address [%s]", sub);
7099           goto EXPAND_FAILED;
7100           }
7101         invert_address(reversed, sub);
7102         yield = string_cat(yield, &size, &ptr, reversed, Ustrlen(reversed));
7103         continue;
7104         }
7105
7106       /* Unknown operator */
7107
7108       default:
7109       expand_string_message =
7110         string_sprintf("unknown expansion operator \"%s\"", name);
7111       goto EXPAND_FAILED;
7112       }
7113     }
7114
7115   /* Handle a plain name. If this is the first thing in the expansion, release
7116   the pre-allocated buffer. If the result data is known to be in a new buffer,
7117   newsize will be set to the size of that buffer, and we can just point at that
7118   store instead of copying. Many expansion strings contain just one reference,
7119   so this is a useful optimization, especially for humungous headers
7120   ($message_headers). */
7121                                                 /*{*/
7122   if (*s++ == '}')
7123     {
7124     int len;
7125     int newsize = 0;
7126     if (ptr == 0)
7127       {
7128       if (resetok) store_reset(yield);
7129       yield = NULL;
7130       size = 0;
7131       }
7132     value = find_variable(name, FALSE, skipping, &newsize);
7133     if (value == NULL)
7134       {
7135       expand_string_message =
7136         string_sprintf("unknown variable in \"${%s}\"", name);
7137       check_variable_error_message(name);
7138       goto EXPAND_FAILED;
7139       }
7140     len = Ustrlen(value);
7141     if (yield == NULL && newsize != 0)
7142       {
7143       yield = value;
7144       size = newsize;
7145       ptr = len;
7146       }
7147     else yield = string_cat(yield, &size, &ptr, value, len);
7148     continue;
7149     }
7150
7151   /* Else there's something wrong */
7152
7153   expand_string_message =
7154     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7155     "in a variable reference)", name);
7156   goto EXPAND_FAILED;
7157   }
7158
7159 /* If we hit the end of the string when ket_ends is set, there is a missing
7160 terminating brace. */
7161
7162 if (ket_ends && *s == 0)
7163   {
7164   expand_string_message = malformed_header?
7165     US"missing } at end of string - could be header name not terminated by colon"
7166     :
7167     US"missing } at end of string";
7168   goto EXPAND_FAILED;
7169   }
7170
7171 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7172 added to the string. If so, set up an empty string. Add a terminating zero. If
7173 left != NULL, return a pointer to the terminator. */
7174
7175 if (yield == NULL) yield = store_get(1);
7176 yield[ptr] = 0;
7177 if (left != NULL) *left = s;
7178
7179 /* Any stacking store that was used above the final string is no longer needed.
7180 In many cases the final string will be the first one that was got and so there
7181 will be optimal store usage. */
7182
7183 if (resetok) store_reset(yield + ptr + 1);
7184 else if (resetok_p) *resetok_p = FALSE;
7185
7186 DEBUG(D_expand)
7187   {
7188   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
7189     yield);
7190   if (skipping) debug_printf("skipping: result is not used\n");
7191   }
7192 return yield;
7193
7194 /* This is the failure exit: easiest to program with a goto. We still need
7195 to update the pointer to the terminator, for cases of nested calls with "fail".
7196 */
7197
7198 EXPAND_FAILED_CURLY:
7199 expand_string_message = malformed_header?
7200   US"missing or misplaced { or } - could be header name not terminated by colon"
7201   :
7202   US"missing or misplaced { or }";
7203
7204 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7205 that is a bad idea, because expand_string_message is in dynamic store. */
7206
7207 EXPAND_FAILED:
7208 if (left != NULL) *left = s;
7209 DEBUG(D_expand)
7210   {
7211   debug_printf("failed to expand: %s\n", string);
7212   debug_printf("   error message: %s\n", expand_string_message);
7213   if (expand_string_forcedfail) debug_printf("failure was forced\n");
7214   }
7215 if (resetok_p) *resetok_p = resetok;
7216 return NULL;
7217 }
7218
7219
7220 /* This is the external function call. Do a quick check for any expansion
7221 metacharacters, and if there are none, just return the input string.
7222
7223 Argument: the string to be expanded
7224 Returns:  the expanded string, or NULL if expansion failed; if failure was
7225           due to a lookup deferring, search_find_defer will be TRUE
7226 */
7227
7228 uschar *
7229 expand_string(uschar *string)
7230 {
7231 search_find_defer = FALSE;
7232 malformed_header = FALSE;
7233 return (Ustrpbrk(string, "$\\") == NULL)? string :
7234   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7235 }
7236
7237
7238
7239 const uschar *
7240 expand_cstring(const uschar *string)
7241 {
7242 search_find_defer = FALSE;
7243 malformed_header = FALSE;
7244 return (Ustrpbrk(string, "$\\") == NULL)? string :
7245   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7246 }
7247
7248
7249
7250 /*************************************************
7251 *              Expand and copy                   *
7252 *************************************************/
7253
7254 /* Now and again we want to expand a string and be sure that the result is in a
7255 new bit of store. This function does that.
7256 Since we know it has been copied, the de-const cast is safe.
7257
7258 Argument: the string to be expanded
7259 Returns:  the expanded string, always in a new bit of store, or NULL
7260 */
7261
7262 uschar *
7263 expand_string_copy(const uschar *string)
7264 {
7265 const uschar *yield = expand_cstring(string);
7266 if (yield == string) yield = string_copy(string);
7267 return US yield;
7268 }
7269
7270
7271
7272 /*************************************************
7273 *        Expand and interpret as an integer      *
7274 *************************************************/
7275
7276 /* Expand a string, and convert the result into an integer.
7277
7278 Arguments:
7279   string  the string to be expanded
7280   isplus  TRUE if a non-negative number is expected
7281
7282 Returns:  the integer value, or
7283           -1 for an expansion error               ) in both cases, message in
7284           -2 for an integer interpretation error  ) expand_string_message
7285           expand_string_message is set NULL for an OK integer
7286 */
7287
7288 int_eximarith_t
7289 expand_string_integer(uschar *string, BOOL isplus)
7290 {
7291 return expanded_string_integer(expand_string(string), isplus);
7292 }
7293
7294
7295 /*************************************************
7296  *         Interpret string as an integer        *
7297  *************************************************/
7298
7299 /* Convert a string (that has already been expanded) into an integer.
7300
7301 This function is used inside the expansion code.
7302
7303 Arguments:
7304   s       the string to be expanded
7305   isplus  TRUE if a non-negative number is expected
7306
7307 Returns:  the integer value, or
7308           -1 if string is NULL (which implies an expansion error)
7309           -2 for an integer interpretation error
7310           expand_string_message is set NULL for an OK integer
7311 */
7312
7313 static int_eximarith_t
7314 expanded_string_integer(const uschar *s, BOOL isplus)
7315 {
7316 int_eximarith_t value;
7317 uschar *msg = US"invalid integer \"%s\"";
7318 uschar *endptr;
7319
7320 /* If expansion failed, expand_string_message will be set. */
7321
7322 if (s == NULL) return -1;
7323
7324 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7325 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7326 systems, so we set it zero ourselves. */
7327
7328 errno = 0;
7329 expand_string_message = NULL;               /* Indicates no error */
7330
7331 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7332 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7333 the behaviour explicitly.  Stripping leading whitespace is a harmless
7334 noop change since strtol skips it anyway (provided that there is a number
7335 to find at all). */
7336 if (isspace(*s))
7337   {
7338   while (isspace(*s)) ++s;
7339   if (*s == '\0')
7340     {
7341       DEBUG(D_expand)
7342        debug_printf("treating blank string as number 0\n");
7343       return 0;
7344     }
7345   }
7346
7347 value = strtoll(CS s, CSS &endptr, 10);
7348
7349 if (endptr == s)
7350   {
7351   msg = US"integer expected but \"%s\" found";
7352   }
7353 else if (value < 0 && isplus)
7354   {
7355   msg = US"non-negative integer expected but \"%s\" found";
7356   }
7357 else
7358   {
7359   switch (tolower(*endptr))
7360     {
7361     default:
7362       break;
7363     case 'k':
7364       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7365       else value *= 1024;
7366       endptr++;
7367       break;
7368     case 'm':
7369       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7370       else value *= 1024*1024;
7371       endptr++;
7372       break;
7373     case 'g':
7374       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7375       else value *= 1024*1024*1024;
7376       endptr++;
7377       break;
7378     }
7379   if (errno == ERANGE)
7380     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7381   else
7382     {
7383     while (isspace(*endptr)) endptr++;
7384     if (*endptr == 0) return value;
7385     }
7386   }
7387
7388 expand_string_message = string_sprintf(CS msg, s);
7389 return -2;
7390 }
7391
7392
7393 /* These values are usually fixed boolean values, but they are permitted to be
7394 expanded strings.
7395
7396 Arguments:
7397   addr       address being routed
7398   mtype      the module type
7399   mname      the module name
7400   dbg_opt    debug selectors
7401   oname      the option name
7402   bvalue     the router's boolean value
7403   svalue     the router's string value
7404   rvalue     where to put the returned value
7405
7406 Returns:     OK     value placed in rvalue
7407              DEFER  expansion failed
7408 */
7409
7410 int
7411 exp_bool(address_item *addr,
7412   uschar *mtype, uschar *mname, unsigned dbg_opt,
7413   uschar *oname, BOOL bvalue,
7414   uschar *svalue, BOOL *rvalue)
7415 {
7416 uschar *expanded;
7417 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7418
7419 expanded = expand_string(svalue);
7420 if (expanded == NULL)
7421   {
7422   if (expand_string_forcedfail)
7423     {
7424     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7425     *rvalue = bvalue;
7426     return OK;
7427     }
7428   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7429       oname, mname, mtype, expand_string_message);
7430   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7431   return DEFER;
7432   }
7433
7434 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7435   expanded);
7436
7437 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7438   *rvalue = TRUE;
7439 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7440   *rvalue = FALSE;
7441 else
7442   {
7443   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7444     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7445   return DEFER;
7446   }
7447
7448 return OK;
7449 }
7450
7451
7452
7453
7454 /*************************************************
7455 **************************************************
7456 *             Stand-alone test program           *
7457 **************************************************
7458 *************************************************/
7459
7460 #ifdef STAND_ALONE
7461
7462
7463 BOOL
7464 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7465 {
7466 int ovector[3*(EXPAND_MAXN+1)];
7467 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7468   ovector, nelem(ovector));
7469 BOOL yield = n >= 0;
7470 if (n == 0) n = EXPAND_MAXN + 1;
7471 if (yield)
7472   {
7473   int nn;
7474   expand_nmax = (setup < 0)? 0 : setup + 1;
7475   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7476     {
7477     expand_nstring[expand_nmax] = subject + ovector[nn];
7478     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7479     }
7480   expand_nmax--;
7481   }
7482 return yield;
7483 }
7484
7485
7486 int main(int argc, uschar **argv)
7487 {
7488 int i;
7489 uschar buffer[1024];
7490
7491 debug_selector = D_v;
7492 debug_file = stderr;
7493 debug_fd = fileno(debug_file);
7494 big_buffer = malloc(big_buffer_size);
7495
7496 for (i = 1; i < argc; i++)
7497   {
7498   if (argv[i][0] == '+')
7499     {
7500     debug_trace_memory = 2;
7501     argv[i]++;
7502     }
7503   if (isdigit(argv[i][0]))
7504     debug_selector = Ustrtol(argv[i], NULL, 0);
7505   else
7506     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7507         Ustrlen(argv[i]))
7508       {
7509 #ifdef LOOKUP_LDAP
7510       eldap_default_servers = argv[i];
7511 #endif
7512 #ifdef LOOKUP_MYSQL
7513       mysql_servers = argv[i];
7514 #endif
7515 #ifdef LOOKUP_PGSQL
7516       pgsql_servers = argv[i];
7517 #endif
7518 #ifdef LOOKUP_REDIS
7519       redis_servers = argv[i];
7520 #endif
7521       }
7522 #ifdef EXIM_PERL
7523   else opt_perl_startup = argv[i];
7524 #endif
7525   }
7526
7527 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7528
7529 expand_nstring[1] = US"string 1....";
7530 expand_nlength[1] = 8;
7531 expand_nmax = 1;
7532
7533 #ifdef EXIM_PERL
7534 if (opt_perl_startup != NULL)
7535   {
7536   uschar *errstr;
7537   printf("Starting Perl interpreter\n");
7538   errstr = init_perl(opt_perl_startup);
7539   if (errstr != NULL)
7540     {
7541     printf("** error in perl_startup code: %s\n", errstr);
7542     return EXIT_FAILURE;
7543     }
7544   }
7545 #endif /* EXIM_PERL */
7546
7547 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7548   {
7549   void *reset_point = store_get(0);
7550   uschar *yield = expand_string(buffer);
7551   if (yield != NULL)
7552     {
7553     printf("%s\n", yield);
7554     store_reset(reset_point);
7555     }
7556   else
7557     {
7558     if (search_find_defer) printf("search_find deferred\n");
7559     printf("Failed: %s\n", expand_string_message);
7560     if (expand_string_forcedfail) printf("Forced failure\n");
7561     printf("\n");
7562     }
7563   }
7564
7565 search_tidyup();
7566
7567 return 0;
7568 }
7569
7570 #endif
7571
7572 /* vi: aw ai sw=2
7573 */
7574 /* End of expand.c */