ed5994241c0530e0763f049afb718abd9666cadf
[exim.git] / src / src / transports / smtp.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2023 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-or-later */
9
10 #include "../exim.h"
11 #include "smtp.h"
12
13 #if defined(SUPPORT_DANE) && defined(DISABLE_TLS)
14 # error TLS is required for DANE
15 #endif
16
17
18 /* Options specific to the smtp transport. This transport also supports LMTP
19 over TCP/IP. The options must be in alphabetic order (note that "_" comes
20 before the lower case letters). Some live in the transport_instance block so as
21 to be publicly visible; these are flagged with opt_public. */
22
23 #define LOFF(field) OPT_OFF(smtp_transport_options_block, field)
24
25 optionlist smtp_transport_options[] = {
26   { "*expand_multi_domain",             opt_stringptr | opt_hidden | opt_public,
27       OPT_OFF(transport_instance, expand_multi_domain) },
28   { "*expand_retry_include_ip_address", opt_stringptr | opt_hidden,
29       LOFF(expand_retry_include_ip_address) },
30
31   { "address_retry_include_sender", opt_bool,
32       LOFF(address_retry_include_sender) },
33   { "allow_localhost",      opt_bool,      LOFF(allow_localhost) },
34 #ifdef EXPERIMENTAL_ARC
35   { "arc_sign", opt_stringptr,             LOFF(arc_sign) },
36 #endif
37   { "authenticated_sender", opt_stringptr, LOFF(authenticated_sender) },
38   { "authenticated_sender_force", opt_bool, LOFF(authenticated_sender_force) },
39   { "command_timeout",      opt_time,      LOFF(command_timeout) },
40   { "connect_timeout",      opt_time,      LOFF(connect_timeout) },
41   { "connection_max_messages", opt_int | opt_public,
42       OPT_OFF(transport_instance, connection_max_messages) },
43 # ifdef SUPPORT_DANE
44   { "dane_require_tls_ciphers", opt_stringptr, LOFF(dane_require_tls_ciphers) },
45 # endif
46   { "data_timeout",         opt_time,      LOFF(data_timeout) },
47   { "delay_after_cutoff",   opt_bool,      LOFF(delay_after_cutoff) },
48 #ifndef DISABLE_DKIM
49   { "dkim_canon", opt_stringptr,           LOFF(dkim.dkim_canon) },
50   { "dkim_domain", opt_stringptr,          LOFF(dkim.dkim_domain) },
51   { "dkim_hash", opt_stringptr,            LOFF(dkim.dkim_hash) },
52   { "dkim_identity", opt_stringptr,        LOFF(dkim.dkim_identity) },
53   { "dkim_private_key", opt_stringptr,     LOFF(dkim.dkim_private_key) },
54   { "dkim_selector", opt_stringptr,        LOFF(dkim.dkim_selector) },
55   { "dkim_sign_headers", opt_stringptr,    LOFF(dkim.dkim_sign_headers) },
56   { "dkim_strict", opt_stringptr,          LOFF(dkim.dkim_strict) },
57   { "dkim_timestamps", opt_stringptr,      LOFF(dkim.dkim_timestamps) },
58 #endif
59   { "dns_qualify_single",   opt_bool,      LOFF(dns_qualify_single) },
60   { "dns_search_parents",   opt_bool,      LOFF(dns_search_parents) },
61   { "dnssec_request_domains", opt_stringptr, LOFF(dnssec.request) },
62   { "dnssec_require_domains", opt_stringptr, LOFF(dnssec.require) },
63   { "dscp",                 opt_stringptr, LOFF(dscp) },
64   { "fallback_hosts",       opt_stringptr, LOFF(fallback_hosts) },
65   { "final_timeout",        opt_time,      LOFF(final_timeout) },
66   { "gethostbyname",        opt_bool,      LOFF(gethostbyname) },
67   { "helo_data",            opt_stringptr, LOFF(helo_data) },
68 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
69   { "host_name_extract",    opt_stringptr, LOFF(host_name_extract) },
70 # endif
71   { "hosts",                opt_stringptr, LOFF(hosts) },
72   { "hosts_avoid_esmtp",    opt_stringptr, LOFF(hosts_avoid_esmtp) },
73   { "hosts_avoid_pipelining", opt_stringptr, LOFF(hosts_avoid_pipelining) },
74 #ifndef DISABLE_TLS
75   { "hosts_avoid_tls",      opt_stringptr, LOFF(hosts_avoid_tls) },
76 #endif
77   { "hosts_max_try",        opt_int,       LOFF(hosts_max_try) },
78   { "hosts_max_try_hardlimit", opt_int,    LOFF(hosts_max_try_hardlimit) },
79 #ifndef DISABLE_TLS
80   { "hosts_nopass_tls",     opt_stringptr, LOFF(hosts_nopass_tls) },
81   { "hosts_noproxy_tls",    opt_stringptr, LOFF(hosts_noproxy_tls) },
82 #endif
83   { "hosts_override",       opt_bool,      LOFF(hosts_override) },
84 #ifndef DISABLE_PIPE_CONNECT
85   { "hosts_pipe_connect",   opt_stringptr, LOFF(hosts_pipe_connect) },
86 #endif
87   { "hosts_randomize",      opt_bool,      LOFF(hosts_randomize) },
88 #if !defined(DISABLE_TLS) && !defined(DISABLE_OCSP)
89   { "hosts_request_ocsp",   opt_stringptr, LOFF(hosts_request_ocsp) },
90 #endif
91   { "hosts_require_alpn",   opt_stringptr, LOFF(hosts_require_alpn) },
92   { "hosts_require_auth",   opt_stringptr, LOFF(hosts_require_auth) },
93 #ifndef DISABLE_TLS
94 # ifdef SUPPORT_DANE
95   { "hosts_require_dane",   opt_stringptr, LOFF(hosts_require_dane) },
96 # endif
97 # ifndef DISABLE_OCSP
98   { "hosts_require_ocsp",   opt_stringptr, LOFF(hosts_require_ocsp) },
99 # endif
100   { "hosts_require_tls",    opt_stringptr, LOFF(hosts_require_tls) },
101 #endif
102   { "hosts_try_auth",       opt_stringptr, LOFF(hosts_try_auth) },
103   { "hosts_try_chunking",   opt_stringptr, LOFF(hosts_try_chunking) },
104 #ifdef SUPPORT_DANE
105   { "hosts_try_dane",       opt_stringptr, LOFF(hosts_try_dane) },
106 #endif
107   { "hosts_try_fastopen",   opt_stringptr, LOFF(hosts_try_fastopen) },
108 #ifndef DISABLE_PRDR
109   { "hosts_try_prdr",       opt_stringptr, LOFF(hosts_try_prdr) },
110 #endif
111 #ifndef DISABLE_TLS
112   { "hosts_verify_avoid_tls", opt_stringptr, LOFF(hosts_verify_avoid_tls) },
113 #endif
114   { "interface",            opt_stringptr, LOFF(interface) },
115   { "keepalive",            opt_bool,      LOFF(keepalive) },
116   { "lmtp_ignore_quota",    opt_bool,      LOFF(lmtp_ignore_quota) },
117   { "max_rcpt",             opt_stringptr | opt_public,
118       OPT_OFF(transport_instance, max_addresses) },
119   { "message_linelength_limit", opt_int,   LOFF(message_linelength_limit) },
120   { "multi_domain",         opt_expand_bool | opt_public,
121       OPT_OFF(transport_instance, multi_domain) },
122   { "port",                 opt_stringptr, LOFF(port) },
123   { "protocol",             opt_stringptr, LOFF(protocol) },
124   { "retry_include_ip_address", opt_expand_bool, LOFF(retry_include_ip_address) },
125   { "serialize_hosts",      opt_stringptr, LOFF(serialize_hosts) },
126   { "size_addition",        opt_int,       LOFF(size_addition) },
127 #ifdef SUPPORT_SOCKS
128   { "socks_proxy",          opt_stringptr, LOFF(socks_proxy) },
129 #endif
130 #ifndef DISABLE_TLS
131   { "tls_alpn",             opt_stringptr, LOFF(tls_alpn) },
132   { "tls_certificate",      opt_stringptr, LOFF(tls_certificate) },
133   { "tls_crl",              opt_stringptr, LOFF(tls_crl) },
134   { "tls_dh_min_bits",      opt_int,       LOFF(tls_dh_min_bits) },
135   { "tls_privatekey",       opt_stringptr, LOFF(tls_privatekey) },
136   { "tls_require_ciphers",  opt_stringptr, LOFF(tls_require_ciphers) },
137 # ifndef DISABLE_TLS_RESUME
138   { "tls_resumption_hosts", opt_stringptr, LOFF(tls_resumption_hosts) },
139 # endif
140   { "tls_sni",              opt_stringptr, LOFF(tls_sni) },
141   { "tls_tempfail_tryclear", opt_bool, LOFF(tls_tempfail_tryclear) },
142   { "tls_try_verify_hosts", opt_stringptr, LOFF(tls_try_verify_hosts) },
143   { "tls_verify_cert_hostnames", opt_stringptr, LOFF(tls_verify_cert_hostnames)},
144   { "tls_verify_certificates", opt_stringptr, LOFF(tls_verify_certificates) },
145   { "tls_verify_hosts",     opt_stringptr, LOFF(tls_verify_hosts) },
146 #endif
147 #ifdef SUPPORT_I18N
148   { "utf8_downconvert",     opt_stringptr, LOFF(utf8_downconvert) },
149 #endif
150 };
151
152 /* Size of the options list. An extern variable has to be used so that its
153 address can appear in the tables drtables.c. */
154
155 int smtp_transport_options_count = nelem(smtp_transport_options);
156
157
158 #ifdef MACRO_PREDEF
159
160 /* Dummy values */
161 smtp_transport_options_block smtp_transport_option_defaults = {0};
162 void smtp_transport_init(transport_instance *tblock) {}
163 BOOL smtp_transport_entry(transport_instance *tblock, address_item *addr) {return FALSE;}
164 void smtp_transport_closedown(transport_instance *tblock) {}
165
166 #else   /*!MACRO_PREDEF*/
167
168
169 /* Default private options block for the smtp transport. */
170
171 smtp_transport_options_block smtp_transport_option_defaults = {
172   /* All non-mentioned elements 0/NULL/FALSE */
173   .helo_data =                  US"$primary_hostname",
174   .protocol =                   US"smtp",
175   .hosts_try_chunking =         US"*",
176 #ifdef SUPPORT_DANE
177   .hosts_try_dane =             US"*",
178 #endif
179   .hosts_try_fastopen =         US"*",
180 #ifndef DISABLE_PRDR
181   .hosts_try_prdr =             US"*",
182 #endif
183 #ifndef DISABLE_OCSP
184   .hosts_request_ocsp =         US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
185 #endif
186   .command_timeout =            5*60,
187   .connect_timeout =            5*60,
188   .data_timeout =               5*60,
189   .final_timeout =              10*60,
190   .size_addition =              1024,
191   .hosts_max_try =              5,
192   .hosts_max_try_hardlimit =    50,
193   .message_linelength_limit =   998,
194   .address_retry_include_sender = TRUE,
195   .dns_qualify_single =         TRUE,
196   .dnssec = { .request= US"*", .require=NULL },
197   .delay_after_cutoff =         TRUE,
198   .keepalive =                  TRUE,
199   .retry_include_ip_address =   TRUE,
200 #ifndef DISABLE_TLS
201   .tls_verify_certificates =    US"system",
202   .tls_dh_min_bits =            EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
203   .tls_tempfail_tryclear =      TRUE,
204   .tls_try_verify_hosts =       US"*",
205   .tls_verify_cert_hostnames =  US"*",
206 #endif
207 #ifdef SUPPORT_I18N
208   .utf8_downconvert =           US"-1",
209 #endif
210 #ifndef DISABLE_DKIM
211  .dkim =
212    { .dkim_hash =               US"sha256", },
213 #endif
214 };
215
216 /* some DSN flags for use later */
217
218 static int     rf_list[] = {rf_notify_never, rf_notify_success,
219                             rf_notify_failure, rf_notify_delay };
220
221 static uschar *rf_names[] = { US"NEVER", US"SUCCESS", US"FAILURE", US"DELAY" };
222
223
224
225 /* Local statics */
226
227 static uschar *smtp_command;            /* Points to last cmd for error messages */
228 static uschar *mail_command;            /* Points to MAIL cmd for error messages */
229 static uschar *data_command = US"";     /* Points to DATA cmd for error messages */
230 static BOOL    update_waiting;          /* TRUE to update the "wait" database */
231
232 /*XXX move to smtp_context */
233 static BOOL    pipelining_active;       /* current transaction is in pipe mode */
234
235
236 static unsigned ehlo_response(uschar * buf, unsigned checks);
237
238 /* sync_responses() return codes */
239
240 #define RESP_BIT_HAD_5XX        BIT(1)
241 #define RESP_BIT_HAD_2XX        BIT(0)
242 #define RESP_HAD_2_AND_5        (RESP_BIT_HAD_2XX | RESP_BIT_HAD_5XX)
243 #define RESP_NOERROR            0
244 #define RESP_RCPT_TIMEO         -1
245 #define RESP_RCPT_ERROR         -2
246 #define RESP_MAIL_OR_DATA_ERROR -3
247 #define RESP_EPIPE_EHLO_ERR     -4
248 #define RESP_EHLO_ERR_TLS       -5
249
250 /******************************************************************************/
251
252 void
253 smtp_deliver_init(void)
254 {
255 struct list
256   {
257   const pcre2_code **   re;
258   const uschar *        string;
259   } list[] =
260   {
261     { &regex_AUTH,              AUTHS_REGEX },
262     { &regex_CHUNKING,          US"\\n250[\\s\\-]CHUNKING(\\s|\\n|$)" },
263     { &regex_DSN,               US"\\n250[\\s\\-]DSN(\\s|\\n|$)" },
264     { &regex_IGNOREQUOTA,       US"\\n250[\\s\\-]IGNOREQUOTA(\\s|\\n|$)" },
265     { &regex_PIPELINING,        US"\\n250[\\s\\-]PIPELINING(\\s|\\n|$)" },
266     { &regex_SIZE,              US"\\n250[\\s\\-]SIZE(\\s|\\n|$)" },
267
268 #ifndef DISABLE_TLS
269     { &regex_STARTTLS,          US"\\n250[\\s\\-]STARTTLS(\\s|\\n|$)" },
270 #endif
271 #ifndef DISABLE_PRDR
272     { &regex_PRDR,              US"\\n250[\\s\\-]PRDR(\\s|\\n|$)" },
273 #endif
274 #ifdef SUPPORT_I18N
275     { &regex_UTF8,              US"\\n250[\\s\\-]SMTPUTF8(\\s|\\n|$)" },
276 #endif
277 #ifndef DISABLE_PIPE_CONNECT
278     { &regex_EARLY_PIPE,        US"\\n250[\\s\\-]" EARLY_PIPE_FEATURE_NAME "(\\s|\\n|$)" },
279 #endif
280 #ifndef DISABLE_ESMTP_LIMITS
281     { &regex_LIMITS,            US"\\n250[\\s\\-]LIMITS\\s" },
282 #endif
283   };
284
285 for (struct list * l = list; l < list + nelem(list); l++)
286   if (!*l->re)
287     *l->re = regex_must_compile(l->string, MCS_NOFLAGS, TRUE);
288 }
289
290
291 /*************************************************
292 *             Setup entry point                  *
293 *************************************************/
294
295 /* This function is called when the transport is about to be used,
296 but before running it in a sub-process. It is used for two things:
297
298   (1) To set the fallback host list in addresses, when delivering.
299   (2) To pass back the interface, port, protocol, and other options, for use
300       during callout verification.
301
302 Arguments:
303   tblock    pointer to the transport instance block
304   addrlist  list of addresses about to be transported
305   tf        if not NULL, pointer to block in which to return options
306   uid       the uid that will be set (not used)
307   gid       the gid that will be set (not used)
308   errmsg    place for error message (not used)
309
310 Returns:  OK always (FAIL, DEFER not used)
311 */
312
313 static int
314 smtp_transport_setup(transport_instance *tblock, address_item *addrlist,
315   transport_feedback *tf, uid_t uid, gid_t gid, uschar **errmsg)
316 {
317 smtp_transport_options_block *ob = SOB tblock->options_block;
318
319 /* Pass back options if required. This interface is getting very messy. */
320
321 if (tf)
322   {
323   tf->interface = ob->interface;
324   tf->port = ob->port;
325   tf->protocol = ob->protocol;
326   tf->hosts = ob->hosts;
327   tf->hosts_override = ob->hosts_override;
328   tf->hosts_randomize = ob->hosts_randomize;
329   tf->gethostbyname = ob->gethostbyname;
330   tf->qualify_single = ob->dns_qualify_single;
331   tf->search_parents = ob->dns_search_parents;
332   tf->helo_data = ob->helo_data;
333   }
334
335 /* Set the fallback host list for all the addresses that don't have fallback
336 host lists, provided that the local host wasn't present in the original host
337 list. */
338
339 if (!testflag(addrlist, af_local_host_removed))
340   for (; addrlist; addrlist = addrlist->next)
341     if (!addrlist->fallback_hosts) addrlist->fallback_hosts = ob->fallback_hostlist;
342
343 return OK;
344 }
345
346
347
348 /*************************************************
349 *          Initialization entry point            *
350 *************************************************/
351
352 /* Called for each instance, after its options have been read, to
353 enable consistency checks to be done, or anything else that needs
354 to be set up.
355
356 Argument:   pointer to the transport instance block
357 Returns:    nothing
358 */
359
360 void
361 smtp_transport_init(transport_instance *tblock)
362 {
363 smtp_transport_options_block * ob = SOB tblock->options_block;
364 int old_pool = store_pool;
365
366 /* Retry_use_local_part defaults FALSE if unset */
367
368 if (tblock->retry_use_local_part == TRUE_UNSET)
369   tblock->retry_use_local_part = FALSE;
370
371 /* Set the default port according to the protocol */
372
373 if (!ob->port)
374   ob->port = strcmpic(ob->protocol, US"lmtp") == 0
375   ? US"lmtp"
376   : strcmpic(ob->protocol, US"smtps") == 0
377   ? US"smtps" : US"smtp";
378
379 /* Set up the setup entry point, to be called before subprocesses for this
380 transport. */
381
382 tblock->setup = smtp_transport_setup;
383
384 /* Complain if any of the timeouts are zero. */
385
386 if (ob->command_timeout <= 0 || ob->data_timeout <= 0 ||
387     ob->final_timeout <= 0)
388   log_write(0, LOG_PANIC_DIE|LOG_CONFIG,
389     "command, data, or final timeout value is zero for %s transport",
390       tblock->name);
391
392 /* If hosts_override is set and there are local hosts, set the global
393 flag that stops verify from showing router hosts. */
394
395 if (ob->hosts_override && ob->hosts) tblock->overrides_hosts = TRUE;
396
397 /* If there are any fallback hosts listed, build a chain of host items
398 for them, but do not do any lookups at this time. */
399
400 store_pool = POOL_PERM;
401 host_build_hostlist(&ob->fallback_hostlist, ob->fallback_hosts, FALSE);
402 store_pool = old_pool;
403 }
404
405
406
407
408
409 /*************************************************
410 *   Set delivery info into all active addresses  *
411 *************************************************/
412
413 /* Only addresses whose status is >= PENDING are relevant. A lesser
414 status means that an address is not currently being processed.
415
416 Arguments:
417   addrlist       points to a chain of addresses
418   errno_value    to put in each address's errno field
419   msg            to put in each address's message field
420   rc             to put in each address's transport_return field
421   pass_message   if TRUE, set the "pass message" flag in the address
422   host           if set, mark addrs as having used this host
423   smtp_greeting  from peer
424   helo_response  from peer
425   start          points to timestamp of delivery start
426
427 If errno_value has the special value ERRNO_CONNECTTIMEOUT, ETIMEDOUT is put in
428 the errno field, and RTEF_CTOUT is ORed into the more_errno field, to indicate
429 this particular type of timeout.
430
431 Returns:       nothing
432 */
433
434 static void
435 set_errno(address_item *addrlist, int errno_value, uschar *msg, int rc,
436   BOOL pass_message, host_item * host,
437 #ifdef EXPERIMENTAL_DSN_INFO
438   const uschar * smtp_greeting, const uschar * helo_response,
439 #endif
440   struct timeval * start
441   )
442 {
443 int orvalue = 0;
444 struct timeval deliver_time;
445
446 if (errno_value == ERRNO_CONNECTTIMEOUT)
447   {
448   errno_value = ETIMEDOUT;
449   orvalue = RTEF_CTOUT;
450   }
451 timesince(&deliver_time, start);
452
453 for (address_item * addr = addrlist; addr; addr = addr->next)
454   if (addr->transport_return >= PENDING)
455     {
456     addr->basic_errno = errno_value;
457     addr->more_errno |= orvalue;
458     addr->delivery_time = deliver_time;
459     if (msg)
460       {
461       addr->message = msg;
462       if (pass_message) setflag(addr, af_pass_message);
463       }
464     addr->transport_return = rc;
465     if (host)
466       {
467       addr->host_used = host;
468 #ifdef EXPERIMENTAL_DSN_INFO
469       if (smtp_greeting)
470         {uschar * s = Ustrchr(smtp_greeting, '\n'); if (s) *s = '\0';}
471       addr->smtp_greeting = smtp_greeting;
472
473       if (helo_response)
474         {uschar * s = Ustrchr(helo_response, '\n'); if (s) *s = '\0';}
475       addr->helo_response = helo_response;
476 #endif
477       }
478     }
479 }
480
481 static void
482 set_errno_nohost(address_item * addrlist, int errno_value, uschar * msg, int rc,
483   BOOL pass_message, struct timeval * start)
484 {
485 set_errno(addrlist, errno_value, msg, rc, pass_message, NULL,
486 #ifdef EXPERIMENTAL_DSN_INFO
487           NULL, NULL,
488 #endif
489           start);
490 }
491
492
493 /*************************************************
494 *          Check an SMTP response                *
495 *************************************************/
496
497 /* This function is given an errno code and the SMTP response buffer
498 to analyse, together with the host identification for generating messages. It
499 sets an appropriate message and puts the first digit of the response code into
500 the yield variable. If no response was actually read, a suitable digit is
501 chosen.
502
503 Arguments:
504   host           the current host, to get its name for messages
505   errno_value    pointer to the errno value
506   more_errno     from the top address for use with ERRNO_FILTER_FAIL
507   buffer         the SMTP response buffer
508   yield          where to put a one-digit SMTP response code
509   message        where to put an error message
510   pass_message   set TRUE if message is an SMTP response
511
512 Returns:         TRUE if an SMTP "QUIT" command should be sent, else FALSE
513 */
514
515 static BOOL
516 check_response(host_item *host, int *errno_value, int more_errno,
517   uschar *buffer, int *yield, uschar **message, BOOL *pass_message)
518 {
519 uschar * pl = pipelining_active ? US"pipelined " : US"";
520 const uschar * s;
521
522 *yield = '4';    /* Default setting is to give a temporary error */
523
524 switch(*errno_value)
525   {
526   case ETIMEDOUT:               /* Handle response timeout */
527     *message = US string_sprintf("SMTP timeout after %s%s",
528         pl, smtp_command);
529     if (transport_count > 0)
530       *message = US string_sprintf("%s (%d bytes written)", *message,
531         transport_count);
532     return FALSE;
533
534   case ERRNO_SMTPFORMAT:        /* Handle malformed SMTP response */
535     s = string_printing(buffer);
536     Uskip_whitespace(&s);
537     *message = *s == 0
538       ? string_sprintf("Malformed SMTP reply (an empty line) "
539           "in response to %s%s", pl, smtp_command)
540       : string_sprintf("Malformed SMTP reply in response to %s%s: %s",
541           pl, smtp_command, s);
542     return FALSE;
543
544   case ERRNO_TLSFAILURE:        /* Handle bad first read; can happen with
545                                 GnuTLS and TLS1.3 */
546     *message = US"bad first read from TLS conn";
547     return TRUE;
548
549   case ERRNO_FILTER_FAIL:       /* Handle a failed filter process error;
550                           can't send QUIT as we mustn't end the DATA. */
551     *message = string_sprintf("transport filter process failed (%d)%s",
552       more_errno,
553       more_errno == EX_EXECFAILED ? ": unable to execute command" : "");
554     return FALSE;
555
556   case ERRNO_CHHEADER_FAIL:     /* Handle a failed add_headers expansion;
557                             can't send QUIT as we mustn't end the DATA. */
558     *message =
559       string_sprintf("failed to expand headers_add or headers_remove: %s",
560         expand_string_message);
561     return FALSE;
562
563   case ERRNO_WRITEINCOMPLETE:   /* failure to write a complete data block */
564     *message = US"failed to write a data block";
565     return FALSE;
566
567 #ifdef SUPPORT_I18N
568   case ERRNO_UTF8_FWD: /* no advertised SMTPUTF8, for international message */
569     *message = US"utf8 support required but not offered for forwarding";
570     DEBUG(D_deliver|D_transport) debug_printf("%s\n", *message);
571     return TRUE;
572 #endif
573   }
574
575 /* Handle error responses from the remote mailer. */
576
577 if (buffer[0] != 0)
578   {
579   *message = string_sprintf("SMTP error from remote mail server after %s%s: "
580     "%s", pl, smtp_command, s = string_printing(buffer));
581   *pass_message = TRUE;
582   *yield = buffer[0];
583   return TRUE;
584   }
585
586 /* No data was read. If there is no errno, this must be the EOF (i.e.
587 connection closed) case, which causes deferral. An explicit connection reset
588 error has the same effect. Otherwise, put the host's identity in the message,
589 leaving the errno value to be interpreted as well. In all cases, we have to
590 assume the connection is now dead. */
591
592 if (*errno_value == 0 || *errno_value == ECONNRESET)
593   {
594   *errno_value = ERRNO_SMTPCLOSED;
595   *message = US string_sprintf("Remote host closed connection "
596     "in response to %s%s", pl, smtp_command);
597   }
598 else
599   *message = US string_sprintf("%s [%s]", host->name, host->address);
600
601 return FALSE;
602 }
603
604
605
606 /*************************************************
607 *          Write error message to logs           *
608 *************************************************/
609
610 /* This writes to the main log and to the message log.
611
612 Arguments:
613   host     the current host
614   detail  the current message (addr_item->message)
615   basic_errno the errno (addr_item->basic_errno)
616
617 Returns:   nothing
618 */
619
620 static void
621 write_logs(const host_item *host, const uschar *suffix, int basic_errno)
622 {
623 gstring * message = LOGGING(outgoing_port)
624   ? string_fmt_append(NULL, "H=%s [%s]:%d", host->name, host->address,
625                     host->port == PORT_NONE ? 25 : host->port)
626   : string_fmt_append(NULL, "H=%s [%s]", host->name, host->address);
627
628 if (suffix)
629   {
630   message = string_fmt_append(message, ": %s", suffix);
631   if (basic_errno > 0)
632     message = string_fmt_append(message, ": %s", strerror(basic_errno));
633   }
634 else
635   message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
636
637 log_write(0, LOG_MAIN, "%Y", message);
638 deliver_msglog("%s %.*s\n", tod_stamp(tod_log), message->ptr, message->s);
639 }
640
641 static void
642 msglog_line(host_item * host, uschar * message)
643 {
644 deliver_msglog("%s H=%s [%s] %s\n", tod_stamp(tod_log),
645   host->name, host->address, message);
646 }
647
648
649
650 #ifndef DISABLE_EVENT
651 /*************************************************
652 *   Post-defer action                            *
653 *************************************************/
654
655 /* This expands an arbitrary per-transport string.
656    It might, for example, be used to write to the database log.
657
658 Arguments:
659   addr                  the address item containing error information
660   host                  the current host
661   evstr                 the event
662
663 Returns:   nothing
664 */
665
666 static void
667 deferred_event_raise(address_item * addr, host_item * host, uschar * evstr)
668 {
669 uschar * action = addr->transport->event_action;
670 const uschar * save_domain, * save_local;
671
672 if (!action)
673   return;
674
675 save_domain = deliver_domain;
676 save_local = deliver_localpart;
677
678 /*XXX would ip & port already be set up? */
679 deliver_host_address = string_copy(host->address);
680 deliver_host_port =    host->port == PORT_NONE ? 25 : host->port;
681 event_defer_errno =    addr->basic_errno;
682
683 router_name =    addr->router->name;
684 transport_name = addr->transport->name;
685 deliver_domain = addr->domain;
686 deliver_localpart = addr->local_part;
687
688 (void) event_raise(action, evstr,
689     addr->message
690       ? addr->basic_errno > 0
691         ? string_sprintf("%s: %s", addr->message, strerror(addr->basic_errno))
692         : string_copy(addr->message)
693       : addr->basic_errno > 0
694         ? string_copy(US strerror(addr->basic_errno))
695         : NULL,
696       NULL);
697
698 deliver_localpart = save_local;
699 deliver_domain =    save_domain;
700 router_name = transport_name = NULL;
701 }
702 #endif
703
704 /*************************************************
705 *           Reap SMTP specific responses         *
706 *************************************************/
707 static int
708 smtp_discard_responses(smtp_context * sx, smtp_transport_options_block * ob,
709   int count)
710 {
711 uschar flushbuffer[4096];
712
713 while (count-- > 0)
714   {
715   if (!smtp_read_response(sx, flushbuffer, sizeof(flushbuffer),
716              '2', ob->command_timeout)
717       && (errno != 0 || flushbuffer[0] == 0))
718     break;
719   }
720 return count;
721 }
722
723
724 /* Return boolean success */
725
726 static BOOL
727 smtp_reap_banner(smtp_context * sx)
728 {
729 BOOL good_response;
730 #if defined(__linux__) && defined(TCP_QUICKACK)
731   {     /* Hack to get QUICKACK disabled; has to be right after 3whs, and has to on->off */
732   int sock = sx->cctx.sock;
733   struct pollfd p = {.fd = sock, .events = POLLOUT};
734   if (poll(&p, 1, 1000) >= 0)   /* retval test solely for compiler quitening */
735     {
736     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &on, sizeof(on));
737     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &off, sizeof(off));
738     }
739   }
740 #endif
741 good_response = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
742   '2', (SOB sx->conn_args.ob)->command_timeout);
743 #ifdef EXPERIMENTAL_DSN_INFO
744 sx->smtp_greeting = string_copy(sx->buffer);
745 #endif
746 return good_response;
747 }
748
749 static BOOL
750 smtp_reap_ehlo(smtp_context * sx)
751 {
752 if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
753        (SOB sx->conn_args.ob)->command_timeout))
754   {
755   if (errno != 0 || sx->buffer[0] == 0 || sx->lmtp)
756     {
757 #ifdef EXPERIMENTAL_DSN_INFO
758     sx->helo_response = string_copy(sx->buffer);
759 #endif
760     return FALSE;
761     }
762   sx->esmtp = FALSE;
763   }
764 #ifdef EXPERIMENTAL_DSN_INFO
765 sx->helo_response = string_copy(sx->buffer);
766 #endif
767 #ifndef DISABLE_EVENT
768 (void) event_raise(sx->conn_args.tblock->event_action,
769   US"smtp:ehlo", sx->buffer, NULL);
770 #endif
771 return TRUE;
772 }
773
774
775 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
776
777 /* Grab a string differentiating server behind a loadbalancer, for TLS
778 resumption when such servers do not share a session-cache */
779
780 static void
781 ehlo_response_lbserver(smtp_context * sx, const uschar * name_extract)
782 {
783 const uschar * s;
784 uschar * save_item = iterate_item;
785
786 if (sx->conn_args.have_lbserver)
787   return;
788 iterate_item = sx->buffer;
789 s = expand_cstring(name_extract);
790 iterate_item = save_item;
791 sx->conn_args.host_lbserver = s && !*s ? NULL : s;
792 sx->conn_args.have_lbserver = TRUE;
793 }
794 #endif
795
796
797
798 /******************************************************************************/
799
800 #ifndef DISABLE_ESMTP_LIMITS
801 /* If TLS, or TLS not offered, called with the EHLO response in the buffer.
802 Check it for a LIMITS keyword and parse values into the smtp context structure.
803
804 We don't bother with peers that we won't talk TLS to, even though they can,
805 just ignore their LIMITS advice (if any) and treat them as if they do not.
806 This saves us dealing with a duplicate set of values. */
807
808 static void
809 ehlo_response_limits_read(smtp_context * sx)
810 {
811 uschar * match;
812
813 /* matches up to just after the first space after the keyword */
814
815 if (regex_match(regex_LIMITS, sx->buffer, -1, &match))
816   for (const uschar * s = sx->buffer + Ustrlen(match); *s; )
817     {
818     if (Uskip_whitespace(&s) == '\n') break;
819
820     if (strncmpic(s, US"MAILMAX=", 8) == 0)
821       {
822       sx->peer_limit_mail = atoi(CS (s += 8));
823       while (isdigit(*s)) s++;
824       }
825     else if (strncmpic(s, US"RCPTMAX=", 8) == 0)
826       {
827       sx->peer_limit_rcpt = atoi(CS (s += 8));
828       while (isdigit(*s)) s++;
829       }
830     else if (strncmpic(s, US"RCPTDOMAINMAX=", 14) == 0)
831       {
832       sx->peer_limit_rcptdom = atoi(CS (s += 14));
833       while (isdigit(*s)) s++;
834       }
835     else
836       while (*s && !isspace(*s)) s++;
837     }
838 }
839
840 /* Apply given values to the current connection */
841 static void
842 ehlo_limits_apply(smtp_context * sx,
843   unsigned limit_mail, unsigned limit_rcpt, unsigned limit_rcptdom)
844 {
845 if (limit_mail && limit_mail < sx->max_mail) sx->max_mail = limit_mail;
846 if (limit_rcpt && limit_rcpt < sx->max_rcpt) sx->max_rcpt = limit_rcpt;
847 if (limit_rcptdom)
848   {
849   DEBUG(D_transport) debug_printf("will treat as !multi_domain\n");
850   sx->single_rcpt_domain = TRUE;
851   }
852 }
853
854 /* Apply values from EHLO-resp to the current connection */
855 static void
856 ehlo_response_limits_apply(smtp_context * sx)
857 {
858 ehlo_limits_apply(sx, sx->peer_limit_mail, sx->peer_limit_rcpt,
859   sx->peer_limit_rcptdom);
860 }
861
862 /* Apply values read from cache to the current connection */
863 static void
864 ehlo_cache_limits_apply(smtp_context * sx)
865 {
866 # ifndef DISABLE_PIPE_CONNECT
867 ehlo_limits_apply(sx, sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
868   sx->ehlo_resp.limit_rcptdom);
869 # endif
870 }
871 #endif  /*EXPERIMENTAL_ESMTP_LIMITS*/
872
873 /******************************************************************************/
874
875 #ifndef DISABLE_PIPE_CONNECT
876 static uschar *
877 ehlo_cache_key(const smtp_context * sx)
878 {
879 host_item * host = sx->conn_args.host;
880 return Ustrchr(host->address, ':')
881   ? string_sprintf("[%s]:%d.EHLO", host->address,
882     host->port == PORT_NONE ? sx->port : host->port)
883   : string_sprintf("%s:%d.EHLO", host->address,
884     host->port == PORT_NONE ? sx->port : host->port);
885 }
886
887 /* Cache EHLO-response info for use by early-pipe.
888 Called
889 - During a normal flow on EHLO response (either cleartext or under TLS),
890   when we are willing to do PIPECONNECT and it is offered
891 - During an early-pipe flow on receiving the actual EHLO response and noting
892   disparity versus the cached info used, when PIPECONNECT is still being offered
893
894 We assume that suitable values have been set in the sx.ehlo_resp structure for
895 features and auths; we handle the copy of limits. */
896
897 static void
898 write_ehlo_cache_entry(smtp_context * sx)
899 {
900 open_db dbblock, * dbm_file;
901
902 # ifndef DISABLE_ESMTP_LIMITS
903 sx->ehlo_resp.limit_mail = sx->peer_limit_mail;
904 sx->ehlo_resp.limit_rcpt = sx->peer_limit_rcpt;
905 sx->ehlo_resp.limit_rcptdom = sx->peer_limit_rcptdom;
906 # endif
907
908 if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
909   {
910   uschar * ehlo_resp_key = ehlo_cache_key(sx);
911   dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
912
913   HDEBUG(D_transport)
914 # ifndef DISABLE_ESMTP_LIMITS
915     if (sx->ehlo_resp.limit_mail || sx->ehlo_resp.limit_rcpt || sx->ehlo_resp.limit_rcptdom)
916       debug_printf("writing clr %04x/%04x cry %04x/%04x lim %05d/%05d/%05d\n",
917         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
918         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths,
919         sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
920         sx->ehlo_resp.limit_rcptdom);
921     else
922 # endif
923       debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
924         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
925         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
926
927   dbfn_write(dbm_file, ehlo_resp_key, &er, (int)sizeof(er));
928   dbfn_close(dbm_file);
929   }
930 }
931
932 static void
933 invalidate_ehlo_cache_entry(smtp_context * sx)
934 {
935 open_db dbblock, * dbm_file;
936
937 if (  sx->early_pipe_active
938    && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
939   {
940   uschar * ehlo_resp_key = ehlo_cache_key(sx);
941   HDEBUG(D_transport)
942     {
943     dbdata_ehlo_resp * er;
944
945     if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
946       debug_printf("no ehlo-resp record!\n");
947     else
948       debug_printf("ehlo-resp record is %d seconds old\n", time(NULL) - er->time_stamp);
949     }
950
951   dbfn_delete(dbm_file, ehlo_resp_key);
952   dbfn_close(dbm_file);
953   }
954 }
955
956 static BOOL
957 read_ehlo_cache_entry(smtp_context * sx)
958 {
959 open_db dbblock;
960 open_db * dbm_file;
961
962 if (!(dbm_file = dbfn_open(US"misc", O_RDONLY, &dbblock, FALSE, TRUE)))
963   { DEBUG(D_transport) debug_printf("ehlo-cache: no misc DB\n"); }
964 else
965   {
966   uschar * ehlo_resp_key = ehlo_cache_key(sx);
967   dbdata_ehlo_resp * er;
968
969   if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
970     { DEBUG(D_transport) debug_printf("no ehlo-resp record\n"); }
971   else if (time(NULL) - er->time_stamp > retry_data_expire)
972     {
973     DEBUG(D_transport) debug_printf("ehlo-resp record too old\n");
974     dbfn_close(dbm_file);
975     if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
976       dbfn_delete(dbm_file, ehlo_resp_key);
977     }
978   else
979     {
980     DEBUG(D_transport)
981 # ifndef DISABLE_ESMTP_LIMITS
982       if (er->data.limit_mail || er->data.limit_rcpt || er->data.limit_rcptdom)
983         debug_printf("EHLO response bits from cache:"
984           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x lim %05d/%05d/%05d\n",
985           er->data.cleartext_features, er->data.cleartext_auths,
986           er->data.crypted_features, er->data.crypted_auths,
987           er->data.limit_mail, er->data.limit_rcpt, er->data.limit_rcptdom);
988       else
989 # endif
990         debug_printf("EHLO response bits from cache:"
991           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x\n",
992           er->data.cleartext_features, er->data.cleartext_auths,
993           er->data.crypted_features, er->data.crypted_auths);
994
995     sx->ehlo_resp = er->data;
996 # ifndef DISABLE_ESMTP_LIMITS
997     ehlo_cache_limits_apply(sx);
998 # endif
999     dbfn_close(dbm_file);
1000     return TRUE;
1001     }
1002   dbfn_close(dbm_file);
1003   }
1004 return FALSE;
1005 }
1006
1007
1008
1009 /* Return an auths bitmap for the set of AUTH methods offered by the server
1010 which match our client-side authenticators. */
1011
1012 static unsigned short
1013 study_ehlo_auths(smtp_context * sx)
1014 {
1015 uschar * names;
1016 auth_instance * au;
1017 uschar authnum;
1018 unsigned short authbits = 0;
1019
1020 if (!sx->esmtp) return 0;
1021 if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1022 if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
1023 expand_nmax = -1;                                               /* reset */
1024 names = string_copyn(expand_nstring[1], expand_nlength[1]);
1025
1026 for (au = auths, authnum = 0; au; au = au->next, authnum++) if (au->client)
1027   {
1028   const uschar * list = names;
1029   uschar * s;
1030   for (int sep = ' '; s = string_nextinlist(&list, &sep, NULL, 0); )
1031     if (strcmpic(au->public_name, s) == 0)
1032       { authbits |= BIT(authnum); break; }
1033   }
1034
1035 DEBUG(D_transport)
1036   debug_printf("server offers %s AUTH, methods '%s', usable-bitmap 0x%04x\n",
1037     tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
1038
1039 if (tls_out.active.sock >= 0)
1040   sx->ehlo_resp.crypted_auths = authbits;
1041 else
1042   sx->ehlo_resp.cleartext_auths = authbits;
1043 return authbits;
1044 }
1045
1046
1047
1048
1049 /* Wait for and check responses for early-pipelining.
1050
1051 Called from the lower-level smtp_read_response() function
1052 used for general code that assume synchronisation, if context
1053 flags indicate outstanding early-pipelining commands.  Also
1054 called fom sync_responses() which handles pipelined commands.
1055
1056 Arguments:
1057  sx     smtp connection context
1058  countp number of outstanding responses, adjusted on return
1059
1060 Return:
1061  OK     all well
1062  DEFER  error on first read of TLS'd conn
1063  FAIL   SMTP error in response
1064 */
1065 int
1066 smtp_reap_early_pipe(smtp_context * sx, int * countp)
1067 {
1068 BOOL pending_BANNER = sx->pending_BANNER;
1069 BOOL pending_EHLO = sx->pending_EHLO;
1070 int rc = FAIL;
1071
1072 sx->pending_BANNER = FALSE;     /* clear early to avoid recursion */
1073 sx->pending_EHLO = FALSE;
1074
1075 if (pending_BANNER)
1076   {
1077   const uschar * s;
1078
1079   DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
1080   (*countp)--;
1081   if (!smtp_reap_banner(sx))
1082     {
1083     DEBUG(D_transport) debug_printf("bad banner\n");
1084     if (tls_out.active.sock >= 0) rc = DEFER;
1085     goto fail;
1086     }
1087   /*XXX EXPERIMENTAL_ESMTP_LIMITS ? */
1088
1089 # ifndef DISABLE_TLS_RESUME
1090   GET_OPTION("host_name_extract");
1091   s = ((smtp_transport_options_block *)sx->conn_args.ob)->host_name_extract;
1092   if (!s) s = HNE_DEFAULT;
1093   ehlo_response_lbserver(sx, s);
1094 # endif
1095   }
1096
1097 if (pending_EHLO)
1098   {
1099   unsigned peer_offered;
1100   unsigned short authbits = 0, * ap;
1101
1102   DEBUG(D_transport) debug_printf("%s expect ehlo\n", __FUNCTION__);
1103   (*countp)--;
1104   if (!smtp_reap_ehlo(sx))
1105     {
1106     DEBUG(D_transport) debug_printf("bad response for EHLO\n");
1107     if (tls_out.active.sock >= 0) rc = DEFER;
1108     goto fail;
1109     }
1110
1111   /* Compare the actual EHLO response extensions and AUTH methods to the cached
1112   value we assumed; on difference, dump or rewrite the cache and arrange for a
1113   retry. */
1114
1115   ap = tls_out.active.sock < 0
1116       ? &sx->ehlo_resp.cleartext_auths : &sx->ehlo_resp.crypted_auths;
1117
1118   peer_offered = ehlo_response(sx->buffer,
1119           (tls_out.active.sock < 0 ?  OPTION_TLS : 0)
1120         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
1121         | OPTION_UTF8 | OPTION_EARLY_PIPE
1122         );
1123 # ifndef DISABLE_ESMTP_LIMITS
1124   if (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1125     ehlo_response_limits_read(sx);
1126 # endif
1127   if (  peer_offered != sx->peer_offered
1128      || (authbits = study_ehlo_auths(sx)) != *ap)
1129     {
1130     HDEBUG(D_transport)
1131       debug_printf("EHLO %s extensions changed, 0x%04x/0x%04x -> 0x%04x/0x%04x\n",
1132                     tls_out.active.sock < 0 ? "cleartext" : "crypted",
1133                     sx->peer_offered, *ap, peer_offered, authbits);
1134     if (peer_offered & OPTION_EARLY_PIPE)
1135       {
1136       *(tls_out.active.sock < 0
1137         ? &sx->ehlo_resp.cleartext_features : &sx->ehlo_resp.crypted_features) =
1138           peer_offered;
1139       *ap = authbits;
1140       write_ehlo_cache_entry(sx);
1141       }
1142     else
1143       {
1144       invalidate_ehlo_cache_entry(sx);
1145       sx->early_pipe_active = FALSE;    /* cancel further early-pipe on this conn */
1146       }
1147
1148     return OK;          /* just carry on */
1149     }
1150 # ifndef DISABLE_ESMTP_LIMITS
1151     /* If we are handling LIMITS, compare the actual EHLO LIMITS values with the
1152     cached values and invalidate cache if different.  OK to carry on with
1153     connect since values are advisory. */
1154     {
1155     if (  (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1156        && (  sx->peer_limit_mail != sx->ehlo_resp.limit_mail
1157           || sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt
1158           || sx->peer_limit_rcptdom != sx->ehlo_resp.limit_rcptdom
1159        )  )
1160       {
1161       HDEBUG(D_transport)
1162         {
1163         debug_printf("EHLO LIMITS changed:");
1164         if (sx->peer_limit_mail != sx->ehlo_resp.limit_mail)
1165           debug_printf(" MAILMAX %u -> %u\n", sx->ehlo_resp.limit_mail, sx->peer_limit_mail);
1166         else if (sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt)
1167           debug_printf(" RCPTMAX %u -> %u\n", sx->ehlo_resp.limit_rcpt, sx->peer_limit_rcpt);
1168         else
1169           debug_printf(" RCPTDOMAINMAX %u -> %u\n", sx->ehlo_resp.limit_rcptdom, sx->peer_limit_rcptdom);
1170         }
1171       invalidate_ehlo_cache_entry(sx);
1172       }
1173     }
1174 # endif
1175   }
1176 return OK;
1177
1178 fail:
1179   invalidate_ehlo_cache_entry(sx);
1180   (void) smtp_discard_responses(sx, sx->conn_args.ob, *countp);
1181   return rc;
1182 }
1183 #endif  /*!DISABLE_PIPE_CONNECT*/
1184
1185
1186 /*************************************************
1187 *           Synchronize SMTP responses           *
1188 *************************************************/
1189
1190 /* This function is called from smtp_deliver() to receive SMTP responses from
1191 the server, and match them up with the commands to which they relate. When
1192 PIPELINING is not in use, this function is called after every command, and is
1193 therefore somewhat over-engineered, but it is simpler to use a single scheme
1194 that works both with and without PIPELINING instead of having two separate sets
1195 of code.
1196
1197 The set of commands that are buffered up with pipelining may start with MAIL
1198 and may end with DATA; in between are RCPT commands that correspond to the
1199 addresses whose status is PENDING_DEFER. All other commands (STARTTLS, AUTH,
1200 etc.) are never buffered.
1201
1202 Errors after MAIL or DATA abort the whole process leaving the response in the
1203 buffer. After MAIL, pending responses are flushed, and the original command is
1204 re-instated in big_buffer for error messages. For RCPT commands, the remote is
1205 permitted to reject some recipient addresses while accepting others. However
1206 certain errors clearly abort the whole process. Set the value in
1207 transport_return to PENDING_OK if the address is accepted. If there is a
1208 subsequent general error, it will get reset accordingly. If not, it will get
1209 converted to OK at the end.
1210
1211 Arguments:
1212   sx                smtp connection context
1213   count             the number of responses to read
1214   pending_DATA      0 if last command sent was not DATA
1215                    +1 if previously had a good recipient
1216                    -1 if not previously had a good recipient
1217
1218 Returns:      3 if at least one address had 2xx and one had 5xx
1219               2 if at least one address had 5xx but none had 2xx
1220               1 if at least one host had a 2xx response, but none had 5xx
1221               0 no address had 2xx or 5xx but no errors (all 4xx, or just DATA)
1222              -1 timeout while reading RCPT response
1223              -2 I/O or other non-response error for RCPT
1224              -3 DATA or MAIL failed - errno and buffer set
1225              -4 banner or EHLO failed (early-pipelining)
1226              -5 banner or EHLO failed (early-pipelining, TLS)
1227 */
1228
1229 static int
1230 sync_responses(smtp_context * sx, int count, int pending_DATA)
1231 {
1232 address_item * addr = sx->sync_addr;
1233 smtp_transport_options_block * ob = sx->conn_args.ob;
1234 int yield = 0;
1235
1236 #ifndef DISABLE_PIPE_CONNECT
1237 int rc;
1238 if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
1239   return rc == FAIL ? RESP_EPIPE_EHLO_ERR : RESP_EHLO_ERR_TLS;
1240 #endif
1241
1242 /* Handle the response for a MAIL command. On error, reinstate the original
1243 command in big_buffer for error message use, and flush any further pending
1244 responses before returning, except after I/O errors and timeouts. */
1245
1246 if (sx->pending_MAIL)
1247   {
1248   DEBUG(D_transport) debug_printf("%s expect mail\n", __FUNCTION__);
1249   count--;
1250   sx->pending_MAIL = sx->RCPT_452 = FALSE;
1251   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1252                           '2', ob->command_timeout))
1253     {
1254     DEBUG(D_transport) debug_printf("bad response for MAIL\n");
1255     Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
1256     if (errno == ERRNO_TLSFAILURE)
1257       return RESP_EHLO_ERR_TLS;
1258     if (errno == 0 && sx->buffer[0] != 0)
1259       {
1260       int save_errno = 0;
1261       if (sx->buffer[0] == '4')
1262         {
1263         save_errno = ERRNO_MAIL4XX;
1264         addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1265         }
1266       count = smtp_discard_responses(sx, ob, count);
1267       errno = save_errno;
1268       }
1269
1270     if (pending_DATA) count--;  /* Number of RCPT responses to come */
1271     while (count-- > 0)         /* Mark any pending addrs with the host used */
1272       {
1273       while (addr->transport_return != PENDING_DEFER) addr = addr->next;
1274       addr->host_used = sx->conn_args.host;
1275       addr = addr->next;
1276       }
1277     return RESP_MAIL_OR_DATA_ERROR;
1278     }
1279   }
1280
1281 if (pending_DATA) count--;  /* Number of RCPT responses to come */
1282
1283 /* Read and handle the required number of RCPT responses, matching each one up
1284 with an address by scanning for the next address whose status is PENDING_DEFER.
1285 */
1286
1287 while (count-- > 0)
1288   {
1289   while (addr->transport_return != PENDING_DEFER)
1290     if (!(addr = addr->next))
1291       return RESP_RCPT_ERROR;
1292
1293   /* The address was accepted */
1294   addr->host_used = sx->conn_args.host;
1295
1296   DEBUG(D_transport) debug_printf("%s expect rcpt for %s\n", __FUNCTION__, addr->address);
1297   if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1298                           '2', ob->command_timeout))
1299     {
1300     yield |= RESP_BIT_HAD_2XX;
1301     addr->transport_return = PENDING_OK;
1302
1303     /* If af_dr_retry_exists is set, there was a routing delay on this address;
1304     ensure that any address-specific retry record is expunged. We do this both
1305     for the basic key and for the version that also includes the sender. */
1306
1307     if (testflag(addr, af_dr_retry_exists))
1308       {
1309       uschar *altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
1310         sender_address);
1311       retry_add_item(addr, altkey, rf_delete);
1312       retry_add_item(addr, addr->address_retry_key, rf_delete);
1313       }
1314     }
1315
1316   /* Error on first TLS read */
1317
1318   else if (errno == ERRNO_TLSFAILURE)
1319     return RESP_EHLO_ERR_TLS;
1320
1321   /* Timeout while reading the response */
1322
1323   else if (errno == ETIMEDOUT)
1324     {
1325     uschar *message = string_sprintf("SMTP timeout after RCPT TO:<%s>",
1326                 transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1327     set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE, &sx->delivery_start);
1328     retry_add_item(addr, addr->address_retry_key, 0);
1329     update_waiting = FALSE;
1330     return RESP_RCPT_TIMEO;
1331     }
1332
1333   /* Handle other errors in obtaining an SMTP response by returning -1. This
1334   will cause all the addresses to be deferred. Restore the SMTP command in
1335   big_buffer for which we are checking the response, so the error message
1336   makes sense. */
1337
1338   else if (errno != 0 || sx->buffer[0] == 0)
1339     {
1340     gstring gs = { .size = big_buffer_size, .ptr = 0, .s = big_buffer }, * g = &gs;
1341
1342     /* Use taint-unchecked routines for writing into big_buffer, trusting
1343     that we'll never expand it. */
1344
1345     g = string_fmt_append_f(g, SVFMT_TAINT_NOCHK, "RCPT TO:<%s>",
1346       transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1347     string_from_gstring(g);
1348     return RESP_RCPT_ERROR;
1349     }
1350
1351   /* Handle SMTP permanent and temporary response codes. */
1352
1353   else
1354     {
1355     addr->message =
1356       string_sprintf("SMTP error from remote mail server after RCPT TO:<%s>: "
1357         "%s", transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes),
1358         string_printing(sx->buffer));
1359     setflag(addr, af_pass_message);
1360     if (!sx->verify)
1361       msglog_line(sx->conn_args.host, addr->message);
1362
1363     /* The response was 5xx */
1364
1365     if (sx->buffer[0] == '5')
1366       {
1367       addr->transport_return = FAIL;
1368       yield |= RESP_BIT_HAD_5XX;
1369       }
1370
1371     /* The response was 4xx */
1372
1373     else
1374       {
1375       addr->transport_return = DEFER;
1376       addr->basic_errno = ERRNO_RCPT4XX;
1377       addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1378
1379       if (!sx->verify)
1380         {
1381 #ifndef DISABLE_EVENT
1382         event_defer_errno = addr->more_errno;
1383         msg_event_raise(US"msg:rcpt:host:defer", addr);
1384 #endif
1385         /* If a 452 and we've had at least one 2xx or 5xx, set next_addr to the
1386         start point for another MAIL command. */
1387
1388         if (addr->more_errno >> 8 == 52  &&  yield > 0)
1389           {
1390           if (!sx->RCPT_452)            /* initialised at MAIL-ack above */
1391             {
1392             DEBUG(D_transport)
1393               debug_printf("%s: seen first 452 too-many-rcpts\n", __FUNCTION__);
1394             sx->RCPT_452 = TRUE;
1395             sx->next_addr = addr;
1396             }
1397           addr->transport_return = PENDING_DEFER;
1398           addr->basic_errno = 0;
1399           }
1400         else
1401           {
1402           /* Log temporary errors if there are more hosts to be tried.
1403           If not, log this last one in the == line. */
1404
1405           if (sx->conn_args.host->next)
1406             if (LOGGING(outgoing_port))
1407               log_write(0, LOG_MAIN, "H=%s [%s]:%d %s", sx->conn_args.host->name,
1408                 sx->conn_args.host->address,
1409                 sx->port == PORT_NONE ? 25 : sx->port, addr->message);
1410             else
1411               log_write(0, LOG_MAIN, "H=%s [%s]: %s", sx->conn_args.host->name,
1412                 sx->conn_args.host->address, addr->message);
1413
1414 #ifndef DISABLE_EVENT
1415           else
1416             msg_event_raise(US"msg:rcpt:defer", addr);
1417 #endif
1418
1419           /* Do not put this message on the list of those waiting for specific
1420           hosts, as otherwise it is likely to be tried too often. */
1421
1422           update_waiting = FALSE;
1423
1424           /* Add a retry item for the address so that it doesn't get tried again
1425           too soon. If address_retry_include_sender is true, add the sender address
1426           to the retry key. */
1427
1428           retry_add_item(addr,
1429             ob->address_retry_include_sender
1430               ? string_sprintf("%s:<%s>", addr->address_retry_key, sender_address)
1431               : addr->address_retry_key,
1432             0);
1433           }
1434         }
1435       }
1436     }
1437   if (count && !(addr = addr->next))
1438     return RESP_RCPT_ERROR;
1439   }       /* Loop for next RCPT response */
1440
1441 /* Update where to start at for the next block of responses, unless we
1442 have already handled all the addresses. */
1443
1444 if (addr) sx->sync_addr = addr->next;
1445
1446 /* Handle a response to DATA. If we have not had any good recipients, either
1447 previously or in this block, the response is ignored. */
1448
1449 if (pending_DATA != 0)
1450   {
1451   DEBUG(D_transport) debug_printf("%s expect data\n", __FUNCTION__);
1452   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1453                         '3', ob->command_timeout))
1454     {
1455     int code;
1456     uschar *msg;
1457     BOOL pass_message;
1458
1459     if (errno == ERRNO_TLSFAILURE)      /* Error on first TLS read */
1460       return RESP_EHLO_ERR_TLS;
1461
1462     if (pending_DATA > 0 || yield & RESP_BIT_HAD_2XX)
1463       {
1464       if (errno == 0 && sx->buffer[0] == '4')
1465         {
1466         errno = ERRNO_DATA4XX;
1467         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1468         }
1469       return RESP_MAIL_OR_DATA_ERROR;
1470       }
1471     (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
1472     DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
1473       "is in use and there were no good recipients\n", msg);
1474     }
1475   }
1476
1477 /* All responses read and handled; MAIL (if present) received 2xx and DATA (if
1478 present) received 3xx. If any RCPTs were handled and yielded anything other
1479 than 4xx, yield will be set non-zero. */
1480
1481 return yield;
1482 }
1483
1484
1485
1486
1487
1488 /* Try an authenticator's client entry */
1489
1490 static int
1491 try_authenticator(smtp_context * sx, auth_instance * au)
1492 {
1493 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1494 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1495 int rc;
1496
1497 /* Set up globals for error messages */
1498
1499 authenticator_name = au->name;
1500 driver_srcfile = au->srcfile;
1501 driver_srcline = au->srcline;
1502
1503 sx->outblock.authenticating = TRUE;
1504 rc = (au->info->clientcode)(au, sx, ob->command_timeout,
1505                             sx->buffer, sizeof(sx->buffer));
1506 sx->outblock.authenticating = FALSE;
1507 driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
1508 DEBUG(D_transport) debug_printf("%s authenticator yielded %s\n", au->name, rc_names[rc]);
1509
1510 /* A temporary authentication failure must hold up delivery to
1511 this host. After a permanent authentication failure, we carry on
1512 to try other authentication methods. If all fail hard, try to
1513 deliver the message unauthenticated unless require_auth was set. */
1514
1515 switch(rc)
1516   {
1517   case OK:
1518     f.smtp_authenticated = TRUE;   /* stops the outer loop */
1519     client_authenticator = au->name;
1520     if (au->set_client_id)
1521       client_authenticated_id = expand_string(au->set_client_id);
1522     break;
1523
1524   /* Failure after writing a command */
1525
1526   case FAIL_SEND:
1527     return FAIL_SEND;
1528
1529   /* Failure after reading a response */
1530
1531   case FAIL:
1532     {
1533     uschar * logmsg = NULL;
1534
1535     if (errno != 0 || sx->buffer[0] != '5') return FAIL;
1536 #ifndef DISABLE_EVENT
1537      {
1538       uschar * save_name = sender_host_authenticated;
1539       sender_host_authenticated = au->name;
1540       if ((logmsg = event_raise(sx->conn_args.tblock->event_action, US"auth:fail",
1541                                 sx->buffer, NULL)))
1542         log_write(0, LOG_MAIN, "%s", logmsg);
1543       sender_host_authenticated = save_name;
1544      }
1545 #endif
1546     if (!logmsg)
1547       log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
1548         au->name, host->name, host->address, sx->buffer);
1549     break;
1550     }
1551
1552   /* Failure by some other means. In effect, the authenticator
1553   decided it wasn't prepared to handle this case. Typically this
1554   is the result of "fail" in an expansion string. Do we need to
1555   log anything here? Feb 2006: a message is now put in the buffer
1556   if logging is required. */
1557
1558   case CANCELLED:
1559     if (*sx->buffer != 0)
1560       log_write(0, LOG_MAIN, "%s authenticator cancelled "
1561         "authentication H=%s [%s] %s", au->name, host->name,
1562         host->address, sx->buffer);
1563     break;
1564
1565   /* Internal problem, message in buffer. */
1566
1567   case ERROR:
1568     set_errno_nohost(sx->addrlist, ERRNO_AUTHPROB, string_copy(sx->buffer),
1569               DEFER, FALSE, &sx->delivery_start);
1570     return ERROR;
1571   }
1572 return OK;
1573 }
1574
1575
1576
1577
1578 /* Do the client side of smtp-level authentication.
1579
1580 Arguments:
1581   sx            smtp connection context
1582
1583 sx->buffer should have the EHLO response from server (gets overwritten)
1584
1585 Returns:
1586   OK                    Success, or failed (but not required): global "smtp_authenticated" set
1587   DEFER                 Failed authentication (and was required)
1588   ERROR                 Internal problem
1589
1590   FAIL_SEND             Failed communications - transmit
1591   FAIL                  - response
1592 */
1593
1594 static int
1595 smtp_auth(smtp_context * sx)
1596 {
1597 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1598 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1599 int require_auth = verify_check_given_host(CUSS &ob->hosts_require_auth, host);
1600 #ifndef DISABLE_PIPE_CONNECT
1601 unsigned short authbits = tls_out.active.sock >= 0
1602       ? sx->ehlo_resp.crypted_auths : sx->ehlo_resp.cleartext_auths;
1603 #endif
1604 uschar * fail_reason = US"server did not advertise AUTH support";
1605
1606 f.smtp_authenticated = FALSE;
1607 client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
1608
1609 if (!regex_AUTH)
1610   regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1611
1612 /* Is the server offering AUTH? */
1613
1614 if (  sx->esmtp
1615    &&
1616 #ifndef DISABLE_PIPE_CONNECT
1617       sx->early_pipe_active ? authbits
1618       :
1619 #endif
1620         regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)
1621    )
1622   {
1623   uschar * names = NULL;
1624   expand_nmax = -1;                          /* reset */
1625
1626 #ifndef DISABLE_PIPE_CONNECT
1627   if (!sx->early_pipe_active)
1628 #endif
1629     names = string_copyn(expand_nstring[1], expand_nlength[1]);
1630
1631   /* Must not do this check until after we have saved the result of the
1632   regex match above as the check could be another RE. */
1633
1634   if (  require_auth == OK
1635      || verify_check_given_host(CUSS &ob->hosts_try_auth, host) == OK)
1636     {
1637     DEBUG(D_transport) debug_printf("scanning authentication mechanisms\n");
1638     fail_reason = US"no common mechanisms were found";
1639
1640 #ifndef DISABLE_PIPE_CONNECT
1641     if (sx->early_pipe_active)
1642       {
1643       /* Scan our authenticators (which support use by a client and were offered
1644       by the server (checked at cache-write time)), not suppressed by
1645       client_condition.  If one is found, attempt to authenticate by calling its
1646       client function.  We are limited to supporting up to 16 authenticator
1647       public-names by the number of bits in a short. */
1648
1649       auth_instance * au;
1650       uschar bitnum;
1651       int rc;
1652
1653       for (bitnum = 0, au = auths;
1654            !f.smtp_authenticated && au && bitnum < 16;
1655            bitnum++, au = au->next) if (authbits & BIT(bitnum))
1656         {
1657         if (  au->client_condition
1658            && !expand_check_condition(au->client_condition, au->name,
1659                    US"client authenticator"))
1660           {
1661           DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1662             au->name, "client_condition is false");
1663           continue;
1664           }
1665
1666         /* Found data for a listed mechanism. Call its client entry. Set
1667         a flag in the outblock so that data is overwritten after sending so
1668         that reflections don't show it. */
1669
1670         fail_reason = US"authentication attempt(s) failed";
1671
1672         if ((rc = try_authenticator(sx, au)) != OK)
1673           return rc;
1674         }
1675       }
1676     else
1677 #endif
1678
1679     /* Scan the configured authenticators looking for one which is configured
1680     for use as a client, which is not suppressed by client_condition, and
1681     whose name matches an authentication mechanism supported by the server.
1682     If one is found, attempt to authenticate by calling its client function.
1683     */
1684
1685     for (auth_instance * au = auths; !f.smtp_authenticated && au; au = au->next)
1686       {
1687       uschar *p = names;
1688
1689       if (  !au->client
1690          || (   au->client_condition
1691             &&  !expand_check_condition(au->client_condition, au->name,
1692                    US"client authenticator")))
1693         {
1694         DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1695           au->name,
1696           au->client ? "client_condition is false"
1697                     : "not configured as a client");
1698         continue;
1699         }
1700
1701       /* Loop to scan supported server mechanisms */
1702
1703       while (*p)
1704         {
1705         int len = Ustrlen(au->public_name), rc;
1706
1707         Uskip_whitespace(&p);
1708
1709         if (strncmpic(au->public_name, p, len) != 0 ||
1710             (p[len] && !isspace(p[len])))
1711           {
1712           while (*p && !isspace(*p)) p++;
1713           continue;
1714           }
1715
1716         /* Found data for a listed mechanism. Call its client entry. Set
1717         a flag in the outblock so that data is overwritten after sending so
1718         that reflections don't show it. */
1719
1720         fail_reason = US"authentication attempt(s) failed";
1721
1722         if ((rc = try_authenticator(sx, au)) != OK)
1723           return rc;
1724
1725         break;  /* If not authenticated, try next authenticator */
1726         }       /* Loop for scanning supported server mechanisms */
1727       }         /* Loop for further authenticators */
1728     }
1729   }
1730
1731 /* If we haven't authenticated, but are required to, give up. */
1732
1733 if (require_auth == OK && !f.smtp_authenticated)
1734   {
1735 #ifndef DISABLE_PIPE_CONNECT
1736   invalidate_ehlo_cache_entry(sx);
1737 #endif
1738   set_errno_nohost(sx->addrlist, ERRNO_AUTHFAIL,
1739     string_sprintf("authentication required but %s", fail_reason), DEFER,
1740     FALSE, &sx->delivery_start);
1741   return DEFER;
1742   }
1743
1744 return OK;
1745 }
1746
1747
1748 /* Construct AUTH appendix string for MAIL TO */
1749 /*
1750 Arguments
1751   sx            context for smtp connection
1752   p             point in sx->buffer to build string
1753   addrlist      chain of potential addresses to deliver
1754
1755 Globals         f.smtp_authenticated
1756                 client_authenticated_sender
1757 Return  True on error, otherwise buffer has (possibly empty) terminated string
1758 */
1759
1760 static BOOL
1761 smtp_mail_auth_str(smtp_context * sx, uschar * p, address_item * addrlist)
1762 {
1763 smtp_transport_options_block * ob = sx->conn_args.ob;
1764 uschar * local_authenticated_sender = authenticated_sender;
1765
1766 #ifdef notdef
1767   debug_printf("smtp_mail_auth_str: as<%s> os<%s> SA<%s>\n",
1768     authenticated_sender, ob->authenticated_sender, f.smtp_authenticated?"Y":"N");
1769 #endif
1770
1771 GET_OPTION("authenticated_sender");
1772 if (ob->authenticated_sender)
1773   {
1774   uschar * new = expand_string(ob->authenticated_sender);
1775   if (!new)
1776     {
1777     if (!f.expand_string_forcedfail)
1778       {
1779       uschar *message = string_sprintf("failed to expand "
1780         "authenticated_sender: %s", expand_string_message);
1781       set_errno_nohost(addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
1782       return TRUE;
1783       }
1784     }
1785   else if (*new)
1786     local_authenticated_sender = new;
1787   }
1788
1789 /* Add the authenticated sender address if present */
1790
1791 if (  (f.smtp_authenticated || ob->authenticated_sender_force)
1792    && local_authenticated_sender)
1793   {
1794   string_format_nt(p, sizeof(sx->buffer) - (p-sx->buffer), " AUTH=%s",
1795     auth_xtextencode(local_authenticated_sender,
1796       Ustrlen(local_authenticated_sender)));
1797   client_authenticated_sender = string_copy(local_authenticated_sender);
1798   }
1799 else
1800   *p = 0;
1801
1802 return FALSE;
1803 }
1804
1805
1806
1807 typedef struct smtp_compare_s
1808 {
1809     const uschar *              current_sender_address;
1810     struct transport_instance * tblock;
1811 } smtp_compare_t;
1812
1813
1814 /* Create a unique string that identifies this message, it is based on
1815 sender_address, helo_data and tls_certificate if enabled.
1816 */
1817
1818 static uschar *
1819 smtp_local_identity(const uschar * sender, struct transport_instance * tblock)
1820 {
1821 address_item * addr1;
1822 uschar * if1 = US"";
1823 uschar * helo1 = US"";
1824 #ifndef DISABLE_TLS
1825 uschar * tlsc1 = US"";
1826 #endif
1827 const uschar * save_sender_address = sender_address;
1828 uschar * local_identity = NULL;
1829 smtp_transport_options_block * ob = SOB tblock->options_block;
1830
1831 sender_address = sender;
1832
1833 addr1 = deliver_make_addr (sender, TRUE);
1834 deliver_set_expansions(addr1);
1835
1836 if (ob->interface)
1837   if1 = expand_string(ob->interface);
1838
1839 if (ob->helo_data)
1840   helo1 = expand_string(ob->helo_data);
1841
1842 #ifndef DISABLE_TLS
1843 if (ob->tls_certificate)
1844   tlsc1 = expand_string(ob->tls_certificate);
1845 local_identity = string_sprintf ("%s^%s^%s", if1, helo1, tlsc1);
1846 #else
1847 local_identity = string_sprintf ("%s^%s", if1, helo1);
1848 #endif
1849
1850 deliver_set_expansions(NULL);
1851 sender_address = save_sender_address;
1852
1853 return local_identity;
1854 }
1855
1856
1857
1858 /* This routine is a callback that is called from transport_check_waiting.
1859 This function will evaluate the incoming message versus the previous
1860 message.  If the incoming message is using a different local identity then
1861 we will veto this new message.  */
1862
1863 static BOOL
1864 smtp_are_same_identities(uschar * message_id, smtp_compare_t * s_compare)
1865 {
1866 uschar * message_local_identity,
1867        * current_local_identity,
1868        * new_sender_address;
1869
1870 current_local_identity =
1871   smtp_local_identity(s_compare->current_sender_address, s_compare->tblock);
1872
1873 if (!(new_sender_address = spool_sender_from_msgid(message_id)))
1874   return FALSE;
1875
1876
1877 message_local_identity =
1878   smtp_local_identity(new_sender_address, s_compare->tblock);
1879
1880 return Ustrcmp(current_local_identity, message_local_identity) == 0;
1881 }
1882
1883
1884
1885 static unsigned
1886 ehlo_response(uschar * buf, unsigned checks)
1887 {
1888 PCRE2_SIZE bsize = Ustrlen(buf);
1889 pcre2_match_data * md = pcre2_match_data_create(1, pcre_gen_ctx);
1890
1891 /* debug_printf("%s: check for 0x%04x\n", __FUNCTION__, checks); */
1892
1893 #ifndef DISABLE_TLS
1894 if (  checks & OPTION_TLS
1895    && pcre2_match(regex_STARTTLS,
1896                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1897 #endif
1898   checks &= ~OPTION_TLS;
1899
1900 if (  checks & OPTION_IGNQ
1901    && pcre2_match(regex_IGNOREQUOTA,
1902                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1903   checks &= ~OPTION_IGNQ;
1904
1905 if (  checks & OPTION_CHUNKING
1906    && pcre2_match(regex_CHUNKING,
1907                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1908   checks &= ~OPTION_CHUNKING;
1909
1910 #ifndef DISABLE_PRDR
1911 if (  checks & OPTION_PRDR
1912    && pcre2_match(regex_PRDR,
1913                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1914 #endif
1915   checks &= ~OPTION_PRDR;
1916
1917 #ifdef SUPPORT_I18N
1918 if (  checks & OPTION_UTF8
1919    && pcre2_match(regex_UTF8,
1920                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1921 #endif
1922   checks &= ~OPTION_UTF8;
1923
1924 if (  checks & OPTION_DSN
1925    && pcre2_match(regex_DSN,
1926                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1927   checks &= ~OPTION_DSN;
1928
1929 if (  checks & OPTION_PIPE
1930    && pcre2_match(regex_PIPELINING,
1931                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1932   checks &= ~OPTION_PIPE;
1933
1934 if (  checks & OPTION_SIZE
1935    && pcre2_match(regex_SIZE,
1936                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1937   checks &= ~OPTION_SIZE;
1938
1939 #ifndef DISABLE_PIPE_CONNECT
1940 if (  checks & OPTION_EARLY_PIPE
1941    && pcre2_match(regex_EARLY_PIPE,
1942                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1943 #endif
1944   checks &= ~OPTION_EARLY_PIPE;
1945
1946 /* pcre2_match_data_free(md);   gen ctx needs no free */
1947 /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
1948 return checks;
1949 }
1950
1951
1952
1953 /* Callback for emitting a BDAT data chunk header.
1954
1955 If given a nonzero size, first flush any buffered SMTP commands
1956 then emit the command.
1957
1958 Reap previous SMTP command responses if requested, and always reap
1959 the response from a previous BDAT command.
1960
1961 Args:
1962  tctx           transport context
1963  chunk_size     value for SMTP BDAT command
1964  flags
1965    tc_chunk_last        add LAST option to SMTP BDAT command
1966    tc_reap_prev         reap response to previous SMTP commands
1967
1968 Returns:
1969   OK or ERROR
1970   DEFER                 TLS error on first read (EHLO-resp); errno set
1971 */
1972
1973 static int
1974 smtp_chunk_cmd_callback(transport_ctx * tctx, unsigned chunk_size,
1975   unsigned flags)
1976 {
1977 smtp_transport_options_block * ob = SOB tctx->tblock->options_block;
1978 smtp_context * sx = tctx->smtp_context;
1979 int cmd_count = 0;
1980 int prev_cmd_count;
1981
1982 /* Write SMTP chunk header command.  If not reaping responses, note that
1983 there may be more writes (like, the chunk data) done soon. */
1984
1985 if (chunk_size > 0)
1986   {
1987 #ifndef DISABLE_PIPE_CONNECT
1988   BOOL new_conn = !!(sx->outblock.conn_args);
1989 #endif
1990   if((cmd_count = smtp_write_command(sx,
1991               flags & tc_reap_prev ? SCMD_FLUSH : SCMD_MORE,
1992               "BDAT %u%s\r\n", chunk_size, flags & tc_chunk_last ? " LAST" : "")
1993      ) < 0) return ERROR;
1994   if (flags & tc_chunk_last)
1995     data_command = string_copy(big_buffer);  /* Save for later error message */
1996 #ifndef DISABLE_PIPE_CONNECT
1997   /* That command write could have been the one that made the connection.
1998   Copy the fd from the client conn ctx (smtp transport specific) to the
1999   generic transport ctx. */
2000
2001   if (new_conn)
2002     tctx->u.fd = sx->outblock.cctx->sock;
2003 #endif
2004   }
2005
2006 prev_cmd_count = cmd_count += sx->cmd_count;
2007
2008 /* Reap responses for any previous, but not one we just emitted */
2009
2010 if (chunk_size > 0)
2011   prev_cmd_count--;
2012 if (sx->pending_BDAT)
2013   prev_cmd_count--;
2014
2015 if (flags & tc_reap_prev  &&  prev_cmd_count > 0)
2016   {
2017   DEBUG(D_transport) debug_printf("look for %d responses"
2018     " for previous pipelined cmds\n", prev_cmd_count);
2019
2020   switch(sync_responses(sx, prev_cmd_count, 0))
2021     {
2022     case RESP_BIT_HAD_2XX:                              /* OK */
2023     case RESP_HAD_2_AND_5: sx->good_RCPT = TRUE;        /* OK & progress made */
2024     case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE;   /* progress made */
2025     case RESP_NOERROR:     break;       /* No 2xx or 5xx, but no probs */
2026
2027     case RESP_EHLO_ERR_TLS:errno = ERRNO_TLSFAILURE;
2028                            return DEFER;
2029 #ifndef DISABLE_PIPE_CONNECT
2030     case RESP_EPIPE_EHLO_ERR:           /* non-2xx for pipelined banner or EHLO */
2031 #endif
2032     case RESP_RCPT_TIMEO:               /* Timeout on RCPT */
2033     default:               return ERROR;/* I/O error, or any MAIL/DATA error */
2034     }
2035   cmd_count = 1;
2036   if (!sx->pending_BDAT)
2037     pipelining_active = FALSE;
2038   }
2039
2040 /* Reap response for an outstanding BDAT */
2041
2042 if (sx->pending_BDAT)
2043   {
2044   DEBUG(D_transport) debug_printf("look for one response for BDAT\n");
2045
2046   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
2047        ob->command_timeout))
2048     {
2049     if (errno == 0 && sx->buffer[0] == '4')
2050       {
2051       errno = ERRNO_DATA4XX;    /*XXX does this actually get used? */
2052       sx->addrlist->more_errno |=
2053         ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
2054       }
2055     return ERROR;
2056     }
2057   cmd_count--;
2058   sx->pending_BDAT = FALSE;
2059   pipelining_active = FALSE;
2060   }
2061 else if (chunk_size > 0)
2062   sx->pending_BDAT = TRUE;
2063
2064
2065 sx->cmd_count = cmd_count;
2066 return OK;
2067 }
2068
2069
2070
2071 #ifdef SUPPORT_DANE
2072 static int
2073 check_force_dane_conn(smtp_context * sx, smtp_transport_options_block * ob)
2074 {
2075 int rc;
2076 if(  sx->dane_required
2077   || verify_check_given_host(CUSS &ob->hosts_try_dane, sx->conn_args.host) == OK
2078   )
2079   switch (rc = tlsa_lookup(sx->conn_args.host, &sx->conn_args.tlsa_dnsa, sx->dane_required))
2080     {
2081     case OK:            sx->conn_args.dane = TRUE;
2082                         ob->tls_tempfail_tryclear = FALSE;      /* force TLS */
2083                         ob->tls_sni = sx->conn_args.host->name; /* force SNI */
2084                         break;
2085     case FAIL_FORCED:   break;
2086     default:            set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2087                             string_sprintf("DANE error: tlsa lookup %s",
2088                               rc_to_string(rc)),
2089                             rc, FALSE, &sx->delivery_start);
2090 # ifndef DISABLE_EVENT
2091                         (void) event_raise(sx->conn_args.tblock->event_action,
2092                           US"dane:fail", sx->dane_required
2093                             ?  US"dane-required" : US"dnssec-invalid",
2094                           NULL);
2095 # endif
2096                         return rc;
2097     }
2098 return OK;
2099 }
2100 #endif
2101
2102
2103 /*************************************************
2104 *       Make connection for given message        *
2105 *************************************************/
2106
2107 /*
2108 Arguments:
2109   sx              connection context
2110   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
2111                     a second attempt after TLS initialization fails
2112
2113 Returns:          OK    - the connection was made and the delivery attempted;
2114                           fd is set in the conn context, tls_out set up.
2115                   DEFER - the connection could not be made, or something failed
2116                           while setting up the SMTP session, or there was a
2117                           non-message-specific error, such as a timeout.
2118                   ERROR - helo_data or add_headers or authenticated_sender is
2119                           specified for this transport, and the string failed
2120                           to expand
2121 */
2122 int
2123 smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
2124 {
2125 smtp_transport_options_block * ob = sx->conn_args.tblock->options_block;
2126 BOOL pass_message = FALSE;
2127 uschar * message = NULL;
2128 int yield = OK;
2129 #ifndef DISABLE_TLS
2130 uschar * tls_errstr;
2131 #endif
2132
2133 /* Many lines of clearing individual elements of *sx that used to
2134 be here have been replaced by a full memset to zero (de41aff051).
2135 There are two callers, this file and verify.c .  Now we only set
2136 up nonzero elements. */
2137
2138 sx->conn_args.ob = ob;
2139
2140 sx->lmtp = strcmpic(ob->protocol, US"lmtp") == 0;
2141 sx->smtps = strcmpic(ob->protocol, US"smtps") == 0;
2142 sx->send_rset = TRUE;
2143 sx->send_quit = TRUE;
2144 sx->setting_up = TRUE;
2145 sx->esmtp = TRUE;
2146 sx->dsn_all_lasthop = TRUE;
2147 #ifdef SUPPORT_DANE
2148 sx->dane_required =
2149   verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
2150 #endif
2151
2152 if ((sx->max_mail = sx->conn_args.tblock->connection_max_messages) == 0)
2153   sx->max_mail = UNLIMITED_ADDRS;
2154 sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
2155 sx->igquotstr = US"";
2156 if (!sx->helo_data) sx->helo_data = ob->helo_data;
2157
2158 smtp_command = US"initial connection";
2159
2160 /* Set up the buffer for reading SMTP response packets. */
2161
2162 sx->inblock.buffer = sx->inbuffer;
2163 sx->inblock.buffersize = sizeof(sx->inbuffer);
2164 sx->inblock.ptr = sx->inbuffer;
2165 sx->inblock.ptrend = sx->inbuffer;
2166
2167 /* Set up the buffer for holding SMTP commands while pipelining */
2168
2169 sx->outblock.buffer = sx->outbuffer;
2170 sx->outblock.buffersize = sizeof(sx->outbuffer);
2171 sx->outblock.ptr = sx->outbuffer;
2172
2173 /* Reset the parameters of a TLS session. */
2174
2175 tls_out.bits = 0;
2176 tls_out.cipher = NULL;  /* the one we may use for this transport */
2177 tls_out.ourcert = NULL;
2178 tls_out.peercert = NULL;
2179 tls_out.peerdn = NULL;
2180 #ifdef USE_OPENSSL
2181 tls_out.sni = NULL;
2182 #endif
2183 tls_out.ocsp = OCSP_NOT_REQ;
2184 #ifndef DISABLE_TLS_RESUME
2185 tls_out.resumption = 0;
2186 #endif
2187 tls_out.ver = NULL;
2188
2189 /* Flip the legacy TLS-related variables over to the outbound set in case
2190 they're used in the context of the transport.  Don't bother resetting
2191 afterward (when being used by a transport) as we're in a subprocess.
2192 For verify, unflipped once the callout is dealt with */
2193
2194 tls_modify_variables(&tls_out);
2195
2196 #ifdef DISABLE_TLS
2197 if (sx->smtps)
2198   {
2199   set_errno_nohost(sx->addrlist, ERRNO_TLSFAILURE, US"TLS support not available",
2200             DEFER, FALSE, &sx->delivery_start);
2201   return ERROR;
2202   }
2203 #else
2204
2205 /* If we have a proxied TLS connection, check usability for this message */
2206
2207 if (continue_hostname && continue_proxy_cipher)
2208   {
2209   int rc;
2210   const uschar * sni = US"";
2211
2212 # ifdef SUPPORT_DANE
2213   /* Check if the message will be DANE-verified; if so force TLS and its SNI */
2214
2215   tls_out.dane_verified = FALSE;
2216   smtp_port_for_connect(sx->conn_args.host, sx->port);
2217   if (  sx->conn_args.host->dnssec == DS_YES
2218      && (rc = check_force_dane_conn(sx, ob)) != OK
2219      )
2220     return rc;
2221 # endif
2222
2223   /* If the SNI or the DANE status required for the new message differs from the
2224   existing conn drop the connection to force a new one. */
2225
2226   if (ob->tls_sni && !(sni = expand_cstring(ob->tls_sni)))
2227     log_write(0, LOG_MAIN|LOG_PANIC,
2228       "<%s>: failed to expand transport's tls_sni value: %s",
2229       sx->addrlist->address, expand_string_message);
2230
2231 # ifdef SUPPORT_DANE
2232   if (  (continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni)
2233      && continue_proxy_dane == sx->conn_args.dane)
2234     {
2235     tls_out.sni = US sni;
2236     if ((tls_out.dane_verified = continue_proxy_dane))
2237       sx->conn_args.host->dnssec = DS_YES;
2238     }
2239 # else
2240   if ((continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni))
2241     tls_out.sni = US sni;
2242 # endif
2243   else
2244     {
2245     DEBUG(D_transport)
2246       debug_printf("Closing proxied-TLS connection due to SNI mismatch\n");
2247
2248     smtp_debug_cmd(US"QUIT", 0);
2249     write(0, "QUIT\r\n", 6);
2250     close(0);
2251     continue_hostname = continue_proxy_cipher = NULL;
2252     f.continue_more = FALSE;
2253     continue_sequence = 1;      /* Unfortunately, this process cannot affect success log
2254                                 which is done by delivery proc.  Would have to pass this
2255                                 back through reporting pipe. */
2256     }
2257   }
2258 #endif  /*!DISABLE_TLS*/
2259
2260 /* Make a connection to the host if this isn't a continued delivery, and handle
2261 the initial interaction and HELO/EHLO/LHLO. Connect timeout errors are handled
2262 specially so they can be identified for retries. */
2263
2264 if (!continue_hostname)
2265   {
2266   if (sx->verify)
2267     HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", sx->conn_args.interface, sx->port);
2268
2269   /* Arrange to report to calling process this is a new connection */
2270
2271   clearflag(sx->first_addr, af_cont_conn);
2272   setflag(sx->first_addr, af_new_conn);
2273
2274   /* Get the actual port the connection will use, into sx->conn_args.host */
2275
2276   smtp_port_for_connect(sx->conn_args.host, sx->port);
2277
2278 #ifdef SUPPORT_DANE
2279     /* Do TLSA lookup for DANE */
2280     {
2281     tls_out.dane_verified = FALSE;
2282     tls_out.tlsa_usage = 0;
2283
2284     if (sx->conn_args.host->dnssec == DS_YES)
2285       {
2286       int rc;
2287       if ((rc = check_force_dane_conn(sx, ob)) != OK)
2288         return rc;
2289       }
2290     else if (sx->dane_required)
2291       {
2292       set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2293         string_sprintf("DANE error: %s lookup not DNSSEC", sx->conn_args.host->name),
2294         FAIL, FALSE, &sx->delivery_start);
2295 # ifndef DISABLE_EVENT
2296       (void) event_raise(sx->conn_args.tblock->event_action,
2297         US"dane:fail", US"dane-required", NULL);
2298 # endif
2299       return FAIL;
2300       }
2301     }
2302 #endif  /*DANE*/
2303
2304   /* Make the TCP connection */
2305
2306   sx->cctx.tls_ctx = NULL;
2307   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2308 #ifndef DISABLE_ESMTP_LIMITS
2309   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom =
2310 #endif
2311   sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
2312 #ifndef DISABLE_CLIENT_CMD_LOG
2313   client_cmd_log = NULL;
2314 #endif
2315
2316 #ifndef DISABLE_PIPE_CONNECT
2317   if (  verify_check_given_host(CUSS &ob->hosts_pipe_connect,
2318                                             sx->conn_args.host) == OK)
2319
2320     /* We don't find out the local ip address until the connect, so if
2321     the helo string might use it avoid doing early-pipelining. */
2322
2323     if (  !sx->helo_data
2324        || sx->conn_args.interface
2325        || !Ustrstr(sx->helo_data, "$sending_ip_address")
2326        || Ustrstr(sx->helo_data, "def:sending_ip_address")
2327        )
2328       {
2329       sx->early_pipe_ok = TRUE;
2330       if (  read_ehlo_cache_entry(sx)
2331          && sx->ehlo_resp.cleartext_features & OPTION_EARLY_PIPE)
2332         {
2333         DEBUG(D_transport)
2334           debug_printf("Using cached cleartext PIPECONNECT\n");
2335         sx->early_pipe_active = TRUE;
2336         sx->peer_offered = sx->ehlo_resp.cleartext_features;
2337         }
2338       }
2339     else DEBUG(D_transport)
2340       debug_printf("helo needs $sending_ip_address; avoid early-pipelining\n");
2341
2342 PIPE_CONNECT_RETRY:
2343   if (sx->early_pipe_active)
2344     {
2345     sx->outblock.conn_args = &sx->conn_args;
2346     (void) smtp_boundsock(&sx->conn_args);
2347     }
2348   else
2349 #endif
2350     {
2351     blob lazy_conn = {.data = NULL};
2352     /* For TLS-connect, a TFO lazy-connect is useful since the Client Hello
2353     can go on the TCP SYN. */
2354
2355     if ((sx->cctx.sock = smtp_connect(&sx->conn_args,
2356                             sx->smtps ? &lazy_conn : NULL)) < 0)
2357       {
2358       set_errno_nohost(sx->addrlist,
2359         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
2360         sx->verify ? US strerror(errno) : NULL,
2361         DEFER, FALSE, &sx->delivery_start);
2362       sx->send_quit = FALSE;
2363       return DEFER;
2364       }
2365 #ifdef TCP_QUICKACK
2366     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, TCP_QUICKACK, US &off,
2367                         sizeof(off));
2368 #endif
2369     }
2370   /* Expand the greeting message while waiting for the initial response. (Makes
2371   sense if helo_data contains ${lookup dnsdb ...} stuff). The expansion is
2372   delayed till here so that $sending_ip_address and $sending_port are set.
2373   Those will be known even for a TFO lazy-connect, having been set by the bind().
2374   For early-pipe, we are ok if binding to a local interface; otherwise (if
2375   $sending_ip_address is seen in helo_data) we disabled early-pipe above. */
2376
2377   GET_OPTION("helo_data");
2378   if (sx->helo_data)
2379     if (!(sx->helo_data = expand_string(sx->helo_data)))
2380       if (sx->verify)
2381         log_write(0, LOG_MAIN|LOG_PANIC,
2382           "<%s>: failed to expand transport's helo_data value for callout: %s",
2383           sx->addrlist->address, expand_string_message);
2384
2385 #ifdef SUPPORT_I18N
2386   if (sx->helo_data)
2387     {
2388     expand_string_message = NULL;
2389     if ((sx->helo_data = string_domain_utf8_to_alabel(sx->helo_data,
2390                                               &expand_string_message)),
2391         expand_string_message)
2392       if (sx->verify)
2393         log_write(0, LOG_MAIN|LOG_PANIC,
2394           "<%s>: failed to expand transport's helo_data value for callout: %s",
2395           sx->addrlist->address, expand_string_message);
2396       else
2397         sx->helo_data = NULL;
2398     }
2399 #endif
2400
2401   /* The first thing is to wait for an initial OK response. The dreaded "goto"
2402   is nevertheless a reasonably clean way of programming this kind of logic,
2403   where you want to escape on any error. */
2404
2405   if (!sx->smtps)
2406     {
2407 #ifndef DISABLE_PIPE_CONNECT
2408     if (sx->early_pipe_active)
2409       {
2410       sx->pending_BANNER = TRUE;        /* sync_responses() must eventually handle */
2411       sx->outblock.cmd_count = 1;
2412       }
2413     else
2414 #endif
2415       {
2416       if (!smtp_reap_banner(sx))
2417         goto RESPONSE_FAILED;
2418       }
2419
2420 #ifndef DISABLE_EVENT
2421       {
2422       uschar * s;
2423       lookup_dnssec_authenticated = sx->conn_args.host->dnssec==DS_YES ? US"yes"
2424         : sx->conn_args.host->dnssec==DS_NO ? US"no" : NULL;
2425       s = event_raise(sx->conn_args.tblock->event_action, US"smtp:connect", sx->buffer, NULL);
2426       if (s)
2427         {
2428         set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL,
2429           string_sprintf("deferred by smtp:connect event expansion: %s", s),
2430           DEFER, FALSE, &sx->delivery_start);
2431         yield = DEFER;
2432         goto SEND_QUIT;
2433         }
2434       }
2435 #endif
2436
2437     /* Now check if the helo_data expansion went well, and sign off cleanly if
2438     it didn't. */
2439
2440     if (!sx->helo_data)
2441       {
2442       message = string_sprintf("failed to expand helo_data: %s",
2443         expand_string_message);
2444       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2445       yield = DEFER;
2446       goto SEND_QUIT;
2447       }
2448     }
2449
2450 /** Debugging without sending a message
2451 sx->addrlist->transport_return = DEFER;
2452 goto SEND_QUIT;
2453 **/
2454
2455   /* Errors that occur after this point follow an SMTP command, which is
2456   left in big_buffer by smtp_write_command() for use in error messages. */
2457
2458   smtp_command = big_buffer;
2459
2460   /* Tell the remote who we are...
2461
2462   February 1998: A convention has evolved that ESMTP-speaking MTAs include the
2463   string "ESMTP" in their greeting lines, so make Exim send EHLO if the
2464   greeting is of this form. The assumption was that the far end supports it
2465   properly... but experience shows that there are some that give 5xx responses,
2466   even though the banner includes "ESMTP" (there's a bloody-minded one that
2467   says "ESMTP not spoken here"). Cope with that case.
2468
2469   September 2000: Time has passed, and it seems reasonable now to always send
2470   EHLO at the start. It is also convenient to make the change while installing
2471   the TLS stuff.
2472
2473   July 2003: Joachim Wieland met a broken server that advertises "PIPELINING"
2474   but times out after sending MAIL FROM, RCPT TO and DATA all together. There
2475   would be no way to send out the mails, so there is now a host list
2476   "hosts_avoid_esmtp" that disables ESMTP for special hosts and solves the
2477   PIPELINING problem as well. Maybe it can also be useful to cure other
2478   problems with broken servers.
2479
2480   Exim originally sent "Helo" at this point and ran for nearly a year that way.
2481   Then somebody tried it with a Microsoft mailer... It seems that all other
2482   mailers use upper case for some reason (the RFC is quite clear about case
2483   independence) so, for peace of mind, I gave in. */
2484
2485   sx->esmtp = verify_check_given_host(CUSS &ob->hosts_avoid_esmtp, sx->conn_args.host) != OK;
2486
2487   /* Alas; be careful, since this goto is not an error-out, so conceivably
2488   we might set data between here and the target which we assume to exist
2489   and be usable.  I can see this coming back to bite us. */
2490 #ifndef DISABLE_TLS
2491   if (sx->smtps)
2492     {
2493     const uschar * s;
2494
2495     smtp_peer_options |= OPTION_TLS;
2496     suppress_tls = FALSE;
2497     ob->tls_tempfail_tryclear = FALSE;
2498     smtp_command = US"SSL-on-connect";
2499
2500 # ifndef DISABLE_TLS_RESUME
2501     /* Having no EHLO response yet, cannot peek there for a servername to detect
2502     an LB.  Call this anyway, so that a dummy host_name_extract option value can
2503     force resumption attempts. */
2504
2505     GET_OPTION("host_name_extract");
2506     if (!(s = ob->host_name_extract)) s = US"never-LB";
2507     ehlo_response_lbserver(sx, s);
2508 # endif
2509     goto TLS_NEGOTIATE;
2510     }
2511 #endif
2512
2513   if (sx->esmtp)
2514     {
2515     if (smtp_write_command(sx,
2516 #ifndef DISABLE_PIPE_CONNECT
2517           sx->early_pipe_active ? SCMD_BUFFER :
2518 #endif
2519             SCMD_FLUSH,
2520           "%s %s\r\n", sx->lmtp ? "LHLO" : "EHLO", sx->helo_data) < 0)
2521       goto SEND_FAILED;
2522     sx->esmtp_sent = TRUE;
2523
2524 #ifndef DISABLE_PIPE_CONNECT
2525     if (sx->early_pipe_active)
2526       {
2527       sx->pending_EHLO = TRUE;
2528
2529       /* If we have too many authenticators to handle and might need to AUTH
2530       for this transport, pipeline no further as we will need the
2531       list of auth methods offered.  Reap the banner and EHLO. */
2532
2533       if (  (ob->hosts_require_auth || ob->hosts_try_auth)
2534          && f.smtp_in_early_pipe_no_auth)
2535         {
2536         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
2537         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
2538           goto SEND_FAILED;
2539         if (sync_responses(sx, 2, 0) != RESP_NOERROR)
2540           {
2541           HDEBUG(D_transport)
2542             debug_printf("failed reaping pipelined cmd responses\n");
2543           goto RESPONSE_FAILED;
2544           }
2545         sx->early_pipe_active = FALSE;
2546         }
2547       }
2548     else
2549 #endif
2550       if (!smtp_reap_ehlo(sx))
2551         goto RESPONSE_FAILED;
2552     }
2553   else
2554     DEBUG(D_transport)
2555       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2556
2557 #ifndef DISABLE_PIPE_CONNECT
2558   if (!sx->early_pipe_active)
2559 #endif
2560     if (!sx->esmtp)
2561       {
2562       BOOL good_response;
2563       int n = sizeof(sx->buffer);
2564       uschar * rsp = sx->buffer;
2565
2566       if (sx->esmtp_sent && (n = Ustrlen(sx->buffer) + 1) < sizeof(sx->buffer)/2)
2567         { rsp = sx->buffer + n; n = sizeof(sx->buffer) - n; }
2568
2569       if (smtp_write_command(sx, SCMD_FLUSH, "HELO %s\r\n", sx->helo_data) < 0)
2570         goto SEND_FAILED;
2571       good_response = smtp_read_response(sx, rsp, n, '2', ob->command_timeout);
2572 #ifdef EXPERIMENTAL_DSN_INFO
2573       sx->helo_response = string_copy(rsp);
2574 #endif
2575       if (!good_response)
2576         {
2577         /* Handle special logging for a closed connection after HELO
2578         when had previously sent EHLO */
2579
2580         if (rsp != sx->buffer && rsp[0] == 0 && (errno == 0 || errno == ECONNRESET))
2581           {
2582           errno = ERRNO_SMTPCLOSED;
2583           goto EHLOHELO_FAILED;
2584           }
2585         memmove(sx->buffer, rsp, Ustrlen(rsp));
2586         goto RESPONSE_FAILED;
2587         }
2588       }
2589
2590   if (sx->esmtp || sx->lmtp)
2591     {
2592 #ifndef DISABLE_PIPE_CONNECT
2593     if (!sx->early_pipe_active)
2594 #endif
2595       {
2596       const uschar * s;
2597
2598       sx->peer_offered = ehlo_response(sx->buffer,
2599         OPTION_TLS      /* others checked later */
2600 #ifndef DISABLE_PIPE_CONNECT
2601         | (sx->early_pipe_ok
2602           ?   OPTION_IGNQ
2603             | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2604 #ifdef SUPPORT_I18N
2605             | OPTION_UTF8
2606 #endif
2607             | OPTION_EARLY_PIPE
2608           : 0
2609           )
2610 #endif
2611         );
2612 #ifndef DISABLE_ESMTP_LIMITS
2613       if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2614         {
2615         ehlo_response_limits_read(sx);
2616         ehlo_response_limits_apply(sx);
2617         }
2618 #endif
2619 #ifndef DISABLE_PIPE_CONNECT
2620       if (sx->early_pipe_ok)
2621         {
2622         sx->ehlo_resp.cleartext_features = sx->peer_offered;
2623
2624         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
2625            == (OPTION_PIPE | OPTION_EARLY_PIPE))
2626           {
2627           DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
2628           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
2629           write_ehlo_cache_entry(sx);
2630           }
2631         }
2632 #endif
2633 #ifndef DISABLE_TLS_RESUME
2634       GET_OPTION("host_name_extract");
2635       if (!(s = ob->host_name_extract)) s = HNE_DEFAULT;
2636       ehlo_response_lbserver(sx, s);
2637 #endif
2638       }
2639
2640   /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
2641
2642 #ifndef DISABLE_TLS
2643     smtp_peer_options |= sx->peer_offered & OPTION_TLS;
2644 #endif
2645     }
2646   }
2647
2648 /* For continuing deliveries down the same channel, having re-exec'd  the socket
2649 is the standard input; for a socket held open from verify it is recorded
2650 in the cutthrough context block.  Either way we don't need to redo EHLO here
2651 (but may need to do so for TLS - see below).
2652 Set up the pointer to where subsequent commands will be left, for
2653 error messages. Note that smtp_peer_options will have been
2654 set from the command line if they were set in the process that passed the
2655 connection on. */
2656
2657 /*XXX continue case needs to propagate DSN_INFO, prob. in deliver.c
2658 as the continue goes via transport_pass_socket() and doublefork and exec.
2659 It does not wait.  Unclear how we keep separate host's responses
2660 separate - we could match up by host ip+port as a bodge. */
2661
2662 else
2663   {
2664   if (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only)
2665     {
2666     sx->cctx = cutthrough.cctx;
2667     sx->conn_args.host->port = sx->port = cutthrough.host.port;
2668     }
2669   else
2670     {
2671     sx->cctx.sock = 0;                          /* stdin */
2672     sx->cctx.tls_ctx = NULL;
2673     smtp_port_for_connect(sx->conn_args.host, sx->port);        /* Record the port that was used */
2674     }
2675   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2676   smtp_command = big_buffer;
2677   sx->peer_offered = smtp_peer_options;
2678 #ifndef DISABLE_ESMTP_LIMITS
2679   /* Limits passed by cmdline over exec. */
2680   ehlo_limits_apply(sx,
2681                     sx->peer_limit_mail = continue_limit_mail,
2682                     sx->peer_limit_rcpt = continue_limit_rcpt,
2683                     sx->peer_limit_rcptdom = continue_limit_rcptdom);
2684 #endif
2685   sx->helo_data = NULL;         /* ensure we re-expand ob->helo_data */
2686
2687   /* For a continued connection with TLS being proxied for us, or a
2688   held-open verify connection with TLS, nothing more to do. */
2689
2690   if (  continue_proxy_cipher
2691      || (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only
2692          && cutthrough.is_tls)
2693      )
2694     {
2695     sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2696     HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
2697       continue_proxy_cipher ? "proxied" : "verify conn with");
2698     return OK;
2699     }
2700   HDEBUG(D_transport) debug_printf("continued connection, no TLS\n");
2701   }
2702
2703 /* If TLS is available on this connection, whether continued or not, attempt to
2704 start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
2705 send another EHLO - the server may give a different answer in secure mode. We
2706 use a separate buffer for reading the response to STARTTLS so that if it is
2707 negative, the original EHLO data is available for subsequent analysis, should
2708 the client not be required to use TLS. If the response is bad, copy the buffer
2709 for error analysis. */
2710
2711 #ifndef DISABLE_TLS
2712 if (  smtp_peer_options & OPTION_TLS
2713    && !suppress_tls
2714    && verify_check_given_host(CUSS &ob->hosts_avoid_tls, sx->conn_args.host) != OK
2715    && (  !sx->verify
2716       || verify_check_given_host(CUSS &ob->hosts_verify_avoid_tls, sx->conn_args.host) != OK
2717    )  )
2718   {
2719   uschar buffer2[4096];
2720
2721   if (smtp_write_command(sx, SCMD_FLUSH, "STARTTLS\r\n") < 0)
2722     goto SEND_FAILED;
2723
2724 #ifndef DISABLE_PIPE_CONNECT
2725   /* If doing early-pipelining reap the banner and EHLO-response but leave
2726   the response for the STARTTLS we just sent alone.  On fail, assume wrong
2727   cached capability and retry with the pipelining disabled. */
2728
2729   if (sx->early_pipe_active)
2730     {
2731     if (sync_responses(sx, 2, 0) != RESP_NOERROR)
2732       {
2733       HDEBUG(D_transport)
2734         debug_printf("failed reaping pipelined cmd responses\n");
2735       close(sx->cctx.sock);
2736       sx->cctx.sock = -1;
2737       sx->early_pipe_active = FALSE;
2738       goto PIPE_CONNECT_RETRY;
2739       }
2740     }
2741 #endif
2742
2743   /* If there is an I/O error, transmission of this message is deferred. If
2744   there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
2745   false, we also defer. However, if there is a temporary rejection of STARTTLS
2746   and tls_tempfail_tryclear is true, or if there is an outright rejection of
2747   STARTTLS, we carry on. This means we will try to send the message in clear,
2748   unless the host is in hosts_require_tls (tested below). */
2749
2750   if (!smtp_read_response(sx, buffer2, sizeof(buffer2), '2', ob->command_timeout))
2751     {
2752     if (  errno != 0
2753        || buffer2[0] == 0
2754        || (buffer2[0] == '4' && !ob->tls_tempfail_tryclear)
2755        )
2756       {
2757       Ustrncpy(sx->buffer, buffer2, sizeof(sx->buffer));
2758       sx->buffer[sizeof(sx->buffer)-1] = '\0';
2759       goto RESPONSE_FAILED;
2760       }
2761     }
2762
2763   /* STARTTLS accepted: try to negotiate a TLS session. */
2764
2765   else
2766   TLS_NEGOTIATE:
2767     {
2768     sx->conn_args.sending_ip_address = sending_ip_address;
2769     if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
2770       {
2771       /* TLS negotiation failed; give an error. From outside, this function may
2772       be called again to try in clear on a new connection, if the options permit
2773       it for this host. */
2774   TLS_CONN_FAILED:
2775       DEBUG(D_tls) debug_printf("TLS session fail: %s\n", tls_errstr);
2776
2777 # ifdef SUPPORT_DANE
2778       if (sx->conn_args.dane)
2779         {
2780         log_write(0, LOG_MAIN,
2781           "DANE attempt failed; TLS connection to %s [%s]: %s",
2782           sx->conn_args.host->name, sx->conn_args.host->address, tls_errstr);
2783 #  ifndef DISABLE_EVENT
2784         (void) event_raise(sx->conn_args.tblock->event_action,
2785           US"dane:fail", US"validation-failure", NULL); /* could do with better detail */
2786 #  endif
2787         }
2788 # endif
2789
2790       errno = ERRNO_TLSFAILURE;
2791       message = string_sprintf("TLS session: %s", tls_errstr);
2792       sx->send_quit = FALSE;
2793       goto TLS_FAILED;
2794       }
2795     sx->send_tlsclose = TRUE;
2796
2797     /* TLS session is set up.  Check the inblock fill level.  If there is
2798     content then as we have not yet done a tls read it must have arrived before
2799     the TLS handshake, in-clear.  That violates the sync requirement of the
2800     STARTTLS RFC, so fail. */
2801
2802     if (sx->inblock.ptr != sx->inblock.ptrend)
2803       {
2804       DEBUG(D_tls)
2805         {
2806         int i = sx->inblock.ptrend - sx->inblock.ptr;
2807         debug_printf("unused data in input buffer after ack for STARTTLS:\n"
2808           "'%.*s'%s\n",
2809           i > 100 ? 100 : i, sx->inblock.ptr, i > 100 ? "..." : "");
2810         }
2811       tls_errstr = US"synch error before connect";
2812       goto TLS_CONN_FAILED;
2813       }
2814
2815     smtp_peer_options_wrap = smtp_peer_options;
2816     for (address_item * addr = sx->addrlist; addr; addr = addr->next)
2817       if (addr->transport_return == PENDING_DEFER)
2818         {
2819         addr->cipher = tls_out.cipher;
2820         addr->ourcert = tls_out.ourcert;
2821         addr->peercert = tls_out.peercert;
2822         addr->peerdn = tls_out.peerdn;
2823         addr->ocsp = tls_out.ocsp;
2824         addr->tlsver = tls_out.ver;
2825         }
2826     }
2827   }
2828
2829 /* if smtps, we'll have smtp_command set to something else; always safe to
2830 reset it here. */
2831 smtp_command = big_buffer;
2832
2833 /* If we started TLS, redo the EHLO/LHLO exchange over the secure channel. If
2834 helo_data is null, we are dealing with a connection that was passed from
2835 another process, and so we won't have expanded helo_data above. We have to
2836 expand it here. $sending_ip_address and $sending_port are set up right at the
2837 start of the Exim process (in exim.c). */
2838
2839 if (tls_out.active.sock >= 0)
2840   {
2841   uschar * greeting_cmd;
2842
2843   if (!sx->helo_data)
2844     {
2845     GET_OPTION("helo_data");
2846     if (!(sx->helo_data = expand_string(ob->helo_data)))
2847       {
2848       uschar *message = string_sprintf("failed to expand helo_data: %s",
2849         expand_string_message);
2850       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2851       yield = DEFER;
2852       goto SEND_QUIT;
2853       }
2854     }
2855
2856 #ifndef DISABLE_PIPE_CONNECT
2857   /* For SMTPS there is no cleartext early-pipe; use the crypted permission bit.
2858   We're unlikely to get the group sent and delivered before the server sends its
2859   banner, but it's still worth sending as a group.
2860   For STARTTLS allow for cleartext early-pipe but no crypted early-pipe, but not
2861   the reverse.  */
2862
2863   if (sx->smtps ? sx->early_pipe_ok : sx->early_pipe_active)
2864     {
2865     sx->peer_offered = sx->ehlo_resp.crypted_features;
2866     if ((sx->early_pipe_active =
2867          !!(sx->ehlo_resp.crypted_features & OPTION_EARLY_PIPE)))
2868       DEBUG(D_transport) debug_printf("Using cached crypted PIPECONNECT\n");
2869     }
2870 #endif
2871 #ifdef EXPERIMMENTAL_ESMTP_LIMITS
2872   /* As we are about to send another EHLO, forget any LIMITS received so far. */
2873   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom = 0;
2874   if ((sx->max_mail = sx->conn_args.tblock->connection_max_message) == 0)
2875     sx->max_mail = UNLIMITED_ADDRS;
2876   sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
2877   sx->single_rcpt_domain = FALSE;
2878 #endif
2879
2880   /* For SMTPS we need to wait for the initial OK response. */
2881   if (sx->smtps)
2882 #ifndef DISABLE_PIPE_CONNECT
2883     if (sx->early_pipe_active)
2884       {
2885       sx->pending_BANNER = TRUE;
2886       sx->outblock.cmd_count = 1;
2887       }
2888     else
2889 #endif
2890       if (!smtp_reap_banner(sx))
2891         goto RESPONSE_FAILED;
2892
2893   if (sx->lmtp)
2894     greeting_cmd = US"LHLO";
2895   else if (sx->esmtp)
2896     greeting_cmd = US"EHLO";
2897   else
2898     {
2899     greeting_cmd = US"HELO";
2900     DEBUG(D_transport)
2901       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2902     }
2903
2904   if (smtp_write_command(sx,
2905 #ifndef DISABLE_PIPE_CONNECT
2906         sx->early_pipe_active ? SCMD_BUFFER :
2907 #endif
2908           SCMD_FLUSH,
2909         "%s %s\r\n", greeting_cmd, sx->helo_data) < 0)
2910     goto SEND_FAILED;
2911
2912 #ifndef DISABLE_PIPE_CONNECT
2913   if (sx->early_pipe_active)
2914     sx->pending_EHLO = TRUE;
2915   else
2916 #endif
2917     {
2918     if (!smtp_reap_ehlo(sx))
2919 #ifdef USE_GNUTLS
2920       {
2921       /* The GnuTLS layer in Exim only spots a server-rejection of a client
2922       cert late, under TLS1.3 - which means here; the first time we try to
2923       receive crypted data.  Treat it as if it was a connect-time failure.
2924       See also the early-pipe equivalent... which will be hard; every call
2925       to sync_responses will need to check the result.
2926       It would be nicer to have GnuTLS check the cert during the handshake.
2927       Can it do that, with all the flexibility we need? */
2928
2929       tls_errstr = US"error on first read";
2930       goto TLS_CONN_FAILED;
2931       }
2932 #else
2933       goto RESPONSE_FAILED;
2934 #endif
2935     smtp_peer_options = 0;
2936     }
2937   }
2938
2939 /* If the host is required to use a secure channel, ensure that we
2940 have one. */
2941
2942 else if (  sx->smtps
2943 # ifdef SUPPORT_DANE
2944         || sx->conn_args.dane
2945 # endif
2946         || verify_check_given_host(CUSS &ob->hosts_require_tls, sx->conn_args.host) == OK
2947         )
2948   {
2949   errno = ERRNO_TLSREQUIRED;
2950   message = string_sprintf("a TLS session is required, but %s",
2951     smtp_peer_options & OPTION_TLS
2952     ? "an attempt to start TLS failed" : "the server did not offer TLS support");
2953 # if defined(SUPPORT_DANE) && !defined(DISABLE_EVENT)
2954   if (sx->conn_args.dane)
2955     (void) event_raise(sx->conn_args.tblock->event_action, US"dane:fail",
2956       smtp_peer_options & OPTION_TLS
2957       ? US"validation-failure"          /* could do with better detail */
2958       : US"starttls-not-supported",
2959       NULL);
2960 # endif
2961   goto TLS_FAILED;
2962   }
2963 #endif  /*DISABLE_TLS*/
2964
2965 /* If TLS is active, we have just started it up and re-done the EHLO command,
2966 so its response needs to be analyzed. If TLS is not active and this is a
2967 continued session down a previously-used socket, we haven't just done EHLO, so
2968 we skip this. */
2969
2970 if (   !continue_hostname
2971 #ifndef DISABLE_TLS
2972     || tls_out.active.sock >= 0
2973 #endif
2974     )
2975   {
2976   if (sx->esmtp || sx->lmtp)
2977     {
2978 #ifndef DISABLE_PIPE_CONNECT
2979   if (!sx->early_pipe_active)
2980 #endif
2981     {
2982     sx->peer_offered = ehlo_response(sx->buffer,
2983         0 /* no TLS */
2984 #ifndef DISABLE_PIPE_CONNECT
2985         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2986         | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2987         | OPTION_CHUNKING | OPTION_PRDR | OPTION_UTF8
2988         | (tls_out.active.sock >= 0 ? OPTION_EARLY_PIPE : 0) /* not for lmtp */
2989
2990 #else
2991
2992         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2993         | OPTION_CHUNKING
2994         | OPTION_PRDR
2995 # ifdef SUPPORT_I18N
2996         | (sx->addrlist->prop.utf8_msg ? OPTION_UTF8 : 0)
2997           /*XXX if we hand peercaps on to continued-conn processes,
2998                 must not depend on this addr */
2999 # endif
3000         | OPTION_DSN
3001         | OPTION_PIPE
3002         | (ob->size_addition >= 0 ? OPTION_SIZE : 0)
3003 #endif
3004       );
3005 #ifndef DISABLE_PIPE_CONNECT
3006     if (tls_out.active.sock >= 0)
3007       sx->ehlo_resp.crypted_features = sx->peer_offered;
3008 #endif
3009
3010 #ifndef DISABLE_ESMTP_LIMITS
3011     if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
3012       {
3013       ehlo_response_limits_read(sx);
3014       ehlo_response_limits_apply(sx);
3015       }
3016 #endif
3017     }
3018
3019     /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
3020     lmtp_ignore_quota option was set. */
3021
3022     sx->igquotstr = sx->peer_offered & OPTION_IGNQ ? US" IGNOREQUOTA" : US"";
3023
3024     /* If the response to EHLO specified support for the SIZE parameter, note
3025     this, provided size_addition is non-negative. */
3026
3027     smtp_peer_options |= sx->peer_offered & OPTION_SIZE;
3028
3029     /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
3030     the current host, esmtp will be false, so PIPELINING can never be used. If
3031     the current host matches hosts_avoid_pipelining, don't do it. */
3032
3033     if (  sx->peer_offered & OPTION_PIPE
3034        && verify_check_given_host(CUSS &ob->hosts_avoid_pipelining, sx->conn_args.host) != OK)
3035       smtp_peer_options |= OPTION_PIPE;
3036
3037     DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
3038       smtp_peer_options & OPTION_PIPE ? "" : "not ");
3039
3040     if (  sx->peer_offered & OPTION_CHUNKING
3041        && verify_check_given_host(CUSS &ob->hosts_try_chunking, sx->conn_args.host) == OK)
3042       smtp_peer_options |= OPTION_CHUNKING;
3043
3044     if (smtp_peer_options & OPTION_CHUNKING)
3045       DEBUG(D_transport) debug_printf("CHUNKING usable\n");
3046
3047 #ifndef DISABLE_PRDR
3048     if (  sx->peer_offered & OPTION_PRDR
3049        && verify_check_given_host(CUSS &ob->hosts_try_prdr, sx->conn_args.host) == OK)
3050       smtp_peer_options |= OPTION_PRDR;
3051
3052     if (smtp_peer_options & OPTION_PRDR)
3053       DEBUG(D_transport) debug_printf("PRDR usable\n");
3054 #endif
3055
3056     /* Note if the server supports DSN */
3057     smtp_peer_options |= sx->peer_offered & OPTION_DSN;
3058     DEBUG(D_transport) debug_printf("%susing DSN\n",
3059                         sx->peer_offered & OPTION_DSN ? "" : "not ");
3060
3061 #ifndef DISABLE_PIPE_CONNECT
3062     if (  sx->early_pipe_ok
3063        && !sx->early_pipe_active
3064        && tls_out.active.sock >= 0
3065        && smtp_peer_options & OPTION_PIPE
3066        && ( sx->ehlo_resp.cleartext_features | sx->ehlo_resp.crypted_features)
3067           & OPTION_EARLY_PIPE)
3068       {
3069       DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
3070       sx->ehlo_resp.crypted_auths = study_ehlo_auths(sx);
3071       write_ehlo_cache_entry(sx);
3072       }
3073 #endif
3074
3075     /* Note if the response to EHLO specifies support for the AUTH extension.
3076     If it has, check that this host is one we want to authenticate to, and do
3077     the business. The host name and address must be available when the
3078     authenticator's client driver is running. */
3079
3080     switch (yield = smtp_auth(sx))
3081       {
3082       default:          goto SEND_QUIT;
3083       case OK:          break;
3084       case FAIL_SEND:   goto SEND_FAILED;
3085       case FAIL:        goto RESPONSE_FAILED;
3086       }
3087     }
3088   }
3089 sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
3090
3091 /* The setting up of the SMTP call is now complete. Any subsequent errors are
3092 message-specific. */
3093
3094 sx->setting_up = FALSE;
3095
3096 #ifdef SUPPORT_I18N
3097 if (sx->addrlist->prop.utf8_msg)
3098   {
3099   uschar * s;
3100
3101   /* If the transport sets a downconversion mode it overrides any set by ACL
3102   for the message. */
3103
3104   GET_OPTION("utf8_downconvert");
3105   if ((s = ob->utf8_downconvert))
3106     {
3107     if (!(s = expand_string(s)))
3108       {
3109       message = string_sprintf("failed to expand utf8_downconvert: %s",
3110         expand_string_message);
3111       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
3112       yield = DEFER;
3113       goto SEND_QUIT;
3114       }
3115     switch (*s)
3116       {
3117       case '1': sx->addrlist->prop.utf8_downcvt = TRUE;
3118                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3119                 break;
3120       case '0': sx->addrlist->prop.utf8_downcvt = FALSE;
3121                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3122                 break;
3123       case '-': if (s[1] == '1')
3124                   {
3125                   sx->addrlist->prop.utf8_downcvt = FALSE;
3126                   sx->addrlist->prop.utf8_downcvt_maybe = TRUE;
3127                   }
3128                 break;
3129       }
3130     }
3131
3132   sx->utf8_needed = !sx->addrlist->prop.utf8_downcvt
3133                     && !sx->addrlist->prop.utf8_downcvt_maybe;
3134   DEBUG(D_transport) if (!sx->utf8_needed)
3135     debug_printf("utf8: %s downconvert\n",
3136       sx->addrlist->prop.utf8_downcvt ? "mandatory" : "optional");
3137   }
3138
3139 /* If this is an international message we need the host to speak SMTPUTF8 */
3140 if (sx->utf8_needed && !(sx->peer_offered & OPTION_UTF8))
3141   {
3142   errno = ERRNO_UTF8_FWD;
3143   goto RESPONSE_FAILED;
3144   }
3145 #endif  /*SUPPORT_I18N*/
3146
3147 return OK;
3148
3149
3150   {
3151   int code;
3152
3153   RESPONSE_FAILED:
3154     if (errno == ECONNREFUSED)  /* first-read error on a TFO conn */
3155       {
3156       /* There is a testing facility for simulating a connection timeout, as I
3157       can't think of any other way of doing this. It converts a connection
3158       refused into a timeout if the timeout is set to 999999.  This is done for
3159       a 3whs connection in ip_connect(), but a TFO connection does not error
3160       there - instead it gets ECONNREFUSED on the first data read.  Tracking
3161       that a TFO really was done is too hard, or we would set a
3162       sx->pending_conn_done bit and test that in smtp_reap_banner() and
3163       smtp_reap_ehlo().  That would let us also add the conn-timeout to the
3164       cmd-timeout. */
3165
3166       if (f.running_in_test_harness && ob->connect_timeout == 999999)
3167         errno = ETIMEDOUT;
3168       set_errno_nohost(sx->addrlist,
3169         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
3170         sx->verify ? US strerror(errno) : NULL,
3171         DEFER, FALSE, &sx->delivery_start);
3172       sx->send_quit = FALSE;
3173       return DEFER;
3174       }
3175
3176     /* really an error on an SMTP read */
3177     message = NULL;
3178     sx->send_quit = check_response(sx->conn_args.host, &errno, sx->addrlist->more_errno,
3179       sx->buffer, &code, &message, &pass_message);
3180     yield = DEFER;
3181     goto FAILED;
3182
3183   SEND_FAILED:
3184     code = '4';
3185     message = US string_sprintf("smtp send to %s [%s] failed: %s",
3186       sx->conn_args.host->name, sx->conn_args.host->address, strerror(errno));
3187     sx->send_quit = FALSE;
3188     yield = DEFER;
3189     goto FAILED;
3190
3191   EHLOHELO_FAILED:
3192     code = '4';
3193     message = string_sprintf("Remote host closed connection in response to %s"
3194       " (EHLO response was: %s)", smtp_command, sx->buffer);
3195     sx->send_quit = FALSE;
3196     yield = DEFER;
3197     goto FAILED;
3198
3199   /* This label is jumped to directly when a TLS negotiation has failed,
3200   or was not done for a host for which it is required. Values will be set
3201   in message and errno, and setting_up will always be true. Treat as
3202   a temporary error. */
3203
3204 #ifndef DISABLE_TLS
3205   TLS_FAILED:
3206     code = '4', yield = DEFER;
3207     goto FAILED;
3208 #endif
3209
3210   /* The failure happened while setting up the call; see if the failure was
3211   a 5xx response (this will either be on connection, or following HELO - a 5xx
3212   after EHLO causes it to try HELO). If so, and there are no more hosts to try,
3213   fail all addresses, as this host is never going to accept them. For other
3214   errors during setting up (timeouts or whatever), defer all addresses, and
3215   yield DEFER, so that the host is not tried again for a while.
3216
3217   XXX This peeking for another host feels like a layering violation. We want
3218   to note the host as unusable, but down here we shouldn't know if this was
3219   the last host to try for the addr(list).  Perhaps the upper layer should be
3220   the one to do set_errno() ?  The problem is that currently the addr is where
3221   errno etc. are stashed, but until we run out of hosts to try the errors are
3222   host-specific.  Maybe we should enhance the host_item definition? */
3223
3224 FAILED:
3225   sx->ok = FALSE;                /* For when reached by GOTO */
3226   set_errno(sx->addrlist, errno, message,
3227             sx->conn_args.host->next
3228             ? DEFER
3229             : code == '5'
3230 #ifdef SUPPORT_I18N
3231                         || errno == ERRNO_UTF8_FWD
3232 #endif
3233             ? FAIL : DEFER,
3234             pass_message,
3235             errno == ECONNREFUSED ? NULL : sx->conn_args.host,
3236 #ifdef EXPERIMENTAL_DSN_INFO
3237             sx->smtp_greeting, sx->helo_response,
3238 #endif
3239             &sx->delivery_start);
3240   }
3241
3242
3243 SEND_QUIT:
3244
3245 if (sx->send_quit)
3246   (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
3247
3248 #ifndef DISABLE_TLS
3249 if (sx->cctx.tls_ctx)
3250   {
3251   if (sx->send_tlsclose)
3252     {
3253     tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
3254     sx->send_tlsclose = FALSE;
3255     }
3256   sx->cctx.tls_ctx = NULL;
3257   }
3258 #endif
3259
3260 /* Close the socket, and return the appropriate value, first setting
3261 works because the NULL setting is passed back to the calling process, and
3262 remote_max_parallel is forced to 1 when delivering over an existing connection,
3263 */
3264
3265 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
3266 if (sx->send_quit)
3267   {
3268   shutdown(sx->cctx.sock, SHUT_WR);
3269   if (fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
3270     for (int i = 16; read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer)) > 0 && i > 0;)
3271       i--;                              /* drain socket */
3272   sx->send_quit = FALSE;
3273   }
3274 (void)close(sx->cctx.sock);
3275 sx->cctx.sock = -1;
3276
3277 #ifndef DISABLE_EVENT
3278 (void) event_raise(sx->conn_args.tblock->event_action, US"tcp:close", NULL, NULL);
3279 #endif
3280
3281 smtp_debug_cmd_report();
3282 continue_transport = NULL;
3283 continue_hostname = NULL;
3284 return yield;
3285 }
3286
3287
3288
3289
3290 /* Create the string of options that will be appended to the MAIL FROM:
3291 in the connection context buffer */
3292
3293 static int
3294 build_mailcmd_options(smtp_context * sx, address_item * addrlist)
3295 {
3296 uschar * p = sx->buffer;
3297 address_item * addr;
3298 int address_count;
3299
3300 *p = 0;
3301
3302 /* If we know the receiving MTA supports the SIZE qualification, and we know it,
3303 send it, adding something to the message size to allow for imprecision
3304 and things that get added en route. Exim keeps the number of lines
3305 in a message, so we can give an accurate value for the original message, but we
3306 need some additional to handle added headers. (Double "." characters don't get
3307 included in the count.) */
3308
3309 if (  message_size > 0
3310    && sx->peer_offered & OPTION_SIZE && !(sx->avoid_option & OPTION_SIZE))
3311   {
3312 /*XXX problem here under spool_files_wireformat?
3313 Or just forget about lines?  Or inflate by a fixed proportion? */
3314
3315   sprintf(CS p, " SIZE=%d", message_size+message_linecount+(SOB sx->conn_args.ob)->size_addition);
3316   while (*p) p++;
3317   }
3318
3319 #ifndef DISABLE_PRDR
3320 /* If it supports Per-Recipient Data Responses, and we have more than one recipient,
3321 request that */
3322
3323 sx->prdr_active = FALSE;
3324 if (smtp_peer_options & OPTION_PRDR)
3325   for (address_item * addr = addrlist; addr; addr = addr->next)
3326     if (addr->transport_return == PENDING_DEFER)
3327       {
3328       for (addr = addr->next; addr; addr = addr->next)
3329         if (addr->transport_return == PENDING_DEFER)
3330           {                     /* at least two recipients to send */
3331           sx->prdr_active = TRUE;
3332           sprintf(CS p, " PRDR"); p += 5;
3333           break;
3334           }
3335       break;
3336       }
3337 #endif
3338
3339 #ifdef SUPPORT_I18N
3340 /* If it supports internationalised messages, and this meesage need that,
3341 request it */
3342
3343 if (  sx->peer_offered & OPTION_UTF8
3344    && addrlist->prop.utf8_msg
3345    && !addrlist->prop.utf8_downcvt
3346    )
3347   Ustrcpy(p, US" SMTPUTF8"), p += 9;
3348 #endif
3349
3350 /* check if all addresses have DSN-lasthop flag; do not send RET and ENVID if so */
3351 for (sx->dsn_all_lasthop = TRUE, addr = addrlist, address_count = 0;
3352      addr && address_count < sx->max_rcpt;      /*XXX maybe also || sx->single_rcpt_domain ? */
3353      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3354   {
3355   address_count++;
3356   if (!(addr->dsn_flags & rf_dsnlasthop))
3357     {
3358     sx->dsn_all_lasthop = FALSE;
3359     break;
3360     }
3361   }
3362
3363 /* Add any DSN flags to the mail command */
3364
3365 if (sx->peer_offered & OPTION_DSN && !sx->dsn_all_lasthop)
3366   {
3367   if (dsn_ret == dsn_ret_hdrs)
3368     { Ustrcpy(p, US" RET=HDRS"); p += 9; }
3369   else if (dsn_ret == dsn_ret_full)
3370     { Ustrcpy(p, US" RET=FULL"); p += 9; }
3371
3372   if (dsn_envid)
3373     {
3374     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ENVID=%s", dsn_envid);
3375     while (*p) p++;
3376     }
3377   }
3378
3379 /* If an authenticated_sender override has been specified for this transport
3380 instance, expand it. If the expansion is forced to fail, and there was already
3381 an authenticated_sender for this message, the original value will be used.
3382 Other expansion failures are serious. An empty result is ignored, but there is
3383 otherwise no check - this feature is expected to be used with LMTP and other
3384 cases where non-standard addresses (e.g. without domains) might be required. */
3385
3386 return smtp_mail_auth_str(sx, p, addrlist) ? ERROR : OK;
3387 }
3388
3389
3390 static void
3391 build_rcptcmd_options(smtp_context * sx, const address_item * addr)
3392 {
3393 uschar * p = sx->buffer;
3394 *p = 0;
3395
3396 /* Add any DSN flags to the rcpt command */
3397
3398 if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
3399   {
3400   if (addr->dsn_flags & rf_dsnflags)
3401     {
3402     BOOL first = TRUE;
3403
3404     Ustrcpy(p, US" NOTIFY=");
3405     while (*p) p++;
3406     for (int i = 0; i < nelem(rf_list); i++) if (addr->dsn_flags & rf_list[i])
3407       {
3408       if (!first) *p++ = ',';
3409       first = FALSE;
3410       Ustrcpy(p, rf_names[i]);
3411       while (*p) p++;
3412       }
3413     }
3414
3415   if (addr->dsn_orcpt)
3416     {
3417     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ORCPT=%s",
3418       addr->dsn_orcpt);
3419     while (*p) p++;
3420     }
3421   }
3422 }
3423
3424
3425
3426 /* Send MAIL FROM and RCPT TO commands.
3427 See sw_mrc_t definition for return codes.
3428  */
3429
3430 sw_mrc_t
3431 smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
3432 {
3433 address_item * addr;
3434 #ifndef DISABLE_ESMTP_LIMITS
3435 address_item * restart_addr = NULL;
3436 #endif
3437 int address_count, pipe_limit;
3438 int rc;
3439
3440 if (build_mailcmd_options(sx, sx->first_addr) != OK)
3441   {
3442   *yield = ERROR;
3443   return sw_mrc_bad_internal;
3444   }
3445
3446 /* From here until we send the DATA command, we can make use of PIPELINING
3447 if the server host supports it. The code has to be able to check the responses
3448 at any point, for when the buffer fills up, so we write it totally generally.
3449 When PIPELINING is off, each command written reports that it has flushed the
3450 buffer. */
3451
3452 sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
3453
3454   {
3455   const uschar * s = sx->from_addr;
3456 #ifdef SUPPORT_I18N
3457   uschar * errstr = NULL;
3458
3459   /* If we must downconvert, do the from-address here.  Remember we had to
3460   for the to-addresses (done below), and also (ugly) for re-doing when building
3461   the delivery log line. */
3462
3463   if (  sx->addrlist->prop.utf8_msg
3464      && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & OPTION_UTF8))
3465      )
3466     {
3467     if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
3468       {
3469       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE, &sx->delivery_start);
3470       *yield = ERROR;
3471       return sw_mrc_bad_internal;
3472       }
3473     setflag(sx->addrlist, af_utf8_downcvt);
3474     }
3475 #endif
3476
3477   rc = smtp_write_command(sx, pipelining_active ? SCMD_BUFFER : SCMD_FLUSH,
3478           "MAIL FROM:<%s>%s\r\n", s, sx->buffer);
3479   }
3480
3481 mail_command = string_copy(big_buffer);  /* Save for later error message */
3482
3483 switch(rc)
3484   {
3485   case -1:                /* Transmission error */
3486     return sw_mrc_bad_mail;
3487
3488   case +1:                /* Cmd was sent */
3489     if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
3490        (SOB sx->conn_args.ob)->command_timeout))
3491       {
3492       if (errno == 0 && sx->buffer[0] == '4')
3493         {
3494         errno = ERRNO_MAIL4XX;
3495         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
3496         }
3497       return sw_mrc_bad_mail;
3498       }
3499     sx->pending_MAIL = FALSE;
3500     break;
3501
3502   /* otherwise zero: command queued for pipeline */
3503   }
3504
3505 /* Pass over all the relevant recipient addresses for this host, which are the
3506 ones that have status PENDING_DEFER. If we are using PIPELINING, we can send
3507 several before we have to read the responses for those seen so far. This
3508 checking is done by a subroutine because it also needs to be done at the end.
3509 Send only up to max_rcpt addresses at a time, leaving next_addr pointing to
3510 the next one if not all are sent.
3511
3512 In the MUA wrapper situation, we want to flush the PIPELINING buffer for the
3513 last address because we want to abort if any recipients have any kind of
3514 problem, temporary or permanent. We know that all recipient addresses will have
3515 the PENDING_DEFER status, because only one attempt is ever made, and we know
3516 that max_rcpt will be large, so all addresses will be done at once.
3517
3518 For verify we flush the pipeline after any (the only) rcpt address. */
3519
3520 for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
3521      addr &&  address_count < sx->max_rcpt;
3522      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3523   {
3524   int cmds_sent;
3525   BOOL no_flush;
3526   const uschar * rcpt_addr;
3527
3528 #ifndef DISABLE_ESMTP_LIMITS
3529   if (  sx->single_rcpt_domain                                  /* restriction on domains */
3530      && address_count > 0                                       /* not first being sent */
3531      && Ustrcmp(addr->domain, sx->first_addr->domain) != 0      /* dom diff from first */
3532      )
3533     {
3534     DEBUG(D_transport) debug_printf("skipping different domain %s\n", addr->domain);
3535
3536     /* Ensure the smtp-response reaper does not think the address had a RCPT
3537     command sent for it.  Reset to PENDING_DEFER in smtp_deliver(), where we
3538     goto SEND_MESSAGE.  */
3539
3540     addr->transport_return = SKIP;
3541     if (!restart_addr) restart_addr = addr;     /* note restart point */
3542     continue;                                   /* skip this one */
3543     }
3544 #endif
3545
3546   addr->dsn_aware = sx->peer_offered & OPTION_DSN
3547     ? dsn_support_yes : dsn_support_no;
3548
3549   address_count++;
3550   if (pipe_limit-- <= 0)
3551     { no_flush = FALSE; pipe_limit = 100; }
3552   else
3553     no_flush = pipelining_active && !sx->verify
3554           && (!mua_wrapper || addr->next && address_count < sx->max_rcpt);
3555
3556   build_rcptcmd_options(sx, addr);
3557
3558   /* Now send the RCPT command, and process outstanding responses when
3559   necessary. After a timeout on RCPT, we just end the function, leaving the
3560   yield as OK, because this error can often mean that there is a problem with
3561   just one address, so we don't want to delay the host. */
3562
3563   rcpt_addr = transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes);
3564
3565 #ifdef SUPPORT_I18N
3566   if (  testflag(sx->addrlist, af_utf8_downcvt)
3567      && !(rcpt_addr = string_address_utf8_to_alabel(rcpt_addr, NULL))
3568      )
3569     {
3570     /*XXX could we use a per-address errstr here? Not fail the whole send? */
3571     errno = ERRNO_EXPANDFAIL;
3572     return sw_mrc_tx_fail;              /*XXX too harsh? */
3573     }
3574 #endif
3575
3576   cmds_sent = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
3577     "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
3578
3579   if (cmds_sent < 0) return sw_mrc_tx_fail;
3580   if (cmds_sent > 0)
3581     {
3582     switch(sync_responses(sx, cmds_sent, 0))
3583       {
3584       case RESP_HAD_2_AND_5: sx->ok = TRUE;     /* OK & progress made */
3585       case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE; /* progress made */
3586               break;
3587
3588       case RESP_BIT_HAD_2XX: sx->ok = TRUE;     /* OK, but if LMTP, */
3589               if (!sx->lmtp)                    /*  can't tell about progress yet */
3590                 sx->completed_addr = TRUE;
3591       case RESP_NOERROR:                        /* No 2xx or 5xx, but no probs */
3592               /* If any RCPT got a 452 response then next_addr has been updated
3593               for restarting with a new MAIL on the same connection.  Send no more
3594               RCPTs for this MAIL. */
3595
3596               if (sx->RCPT_452)
3597                 {
3598                 DEBUG(D_transport) debug_printf("seen 452 too-many-rcpts\n");
3599                 sx->RCPT_452 = FALSE;
3600                 /* sx->next_addr has been reset for fast_retry */
3601                 return sw_mrc_ok;
3602                 }
3603               break;
3604
3605       case RESP_RCPT_TIMEO:         return sw_mrc_nonmail_read_timeo;
3606       case RESP_RCPT_ERROR:         return sw_mrc_bad_read;
3607       default:                      return sw_mrc_bad_mail;     /* any MAIL error */
3608
3609 #ifndef DISABLE_PIPE_CONNECT
3610       case RESP_EPIPE_EHLO_ERR:     return sw_mrc_bad_mail;     /* non-2xx for pipelined banner or EHLO */
3611       case RESP_EHLO_ERR_TLS:       return sw_mrc_bad_mail;     /* TLS first-read error */
3612 #endif
3613       }
3614     }
3615   }      /* Loop for next address */
3616
3617 #ifndef DISABLE_ESMTP_LIMITS
3618 sx->next_addr = restart_addr ? restart_addr : addr;
3619 #else
3620 sx->next_addr = addr;
3621 #endif
3622 return sw_mrc_ok;
3623 }
3624
3625
3626 #ifndef DISABLE_TLS
3627 /*****************************************************
3628 * Proxy TLS connection for another transport process *
3629 ******************************************************/
3630 /*
3631 Close the unused end of the pipe, fork once more, then use the given buffer
3632 as a staging area, and select on both the given fd and the TLS'd client-fd for
3633 data to read (per the coding in ip_recv() and fd_ready() this is legitimate).
3634 Do blocking full-size writes, and reads under a timeout.  Once both input
3635 channels are closed, exit the process.
3636
3637 Arguments:
3638   ct_ctx        tls context
3639   buf           space to use for buffering
3640   bufsiz        size of buffer
3641   pfd           pipe filedescriptor array; [0] is comms to proxied process
3642   timeout       per-read timeout, seconds
3643   host          hostname of remote
3644
3645 Does not return.
3646 */
3647
3648 void
3649 smtp_proxy_tls(void * ct_ctx, uschar * buf, size_t bsize, int * pfd,
3650   int timeout, const uschar * host)
3651 {
3652 struct pollfd p[2] = {{.fd = tls_out.active.sock, .events = POLLIN},
3653                       {.fd = pfd[0], .events = POLLIN}};
3654 int rc, i;
3655 BOOL send_tls_shutdown = TRUE;
3656
3657 close(pfd[1]);
3658 if ((rc = exim_fork(US"tls-proxy")))
3659   _exit(rc < 0 ? EXIT_FAILURE : EXIT_SUCCESS);
3660
3661 set_process_info("proxying TLS connection for continued transport to %s\n", host);
3662
3663 do
3664   {
3665   time_t time_left = timeout;
3666   time_t time_start = time(NULL);
3667
3668   /* wait for data */
3669   do
3670     {
3671     rc = poll(p, 2, time_left * 1000);
3672
3673     if (rc < 0 && errno == EINTR)
3674       if ((time_left -= time(NULL) - time_start) > 0) continue;
3675
3676     if (rc <= 0)
3677       {
3678       DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
3679       goto done;
3680       }
3681
3682     /* For errors where not readable, bomb out */
3683
3684     if (p[0].revents & POLLERR || p[1].revents & POLLERR)
3685       {
3686       DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
3687         p[0].revents & POLLERR ? "tls" : "proxy");
3688       if (!(p[0].revents & POLLIN || p[1].events & POLLIN))
3689         goto done;
3690       DEBUG(D_transport) debug_printf("- but also readable; no exit yet\n");
3691       }
3692     }
3693   while (rc < 0 || !(p[0].revents & POLLIN || p[1].revents & POLLIN));
3694
3695   /* handle inbound data */
3696   if (p[0].revents & POLLIN)
3697     if ((rc = tls_read(ct_ctx, buf, bsize)) <= 0)       /* Expect -1 for EOF; */
3698     {                               /* that reaps the TLS Close Notify record */
3699       p[0].fd = -1;
3700       shutdown(pfd[0], SHUT_WR);
3701       timeout = 5;
3702       }
3703     else
3704       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3705         if ((i = write(pfd[0], buf + nbytes, rc - nbytes)) < 0) goto done;
3706
3707   /* Handle outbound data.  We cannot combine payload and the TLS-close
3708   due to the limitations of the (pipe) channel feeding us.  Maybe use a unix-domain
3709   socket? */
3710   if (p[1].revents & POLLIN)
3711     if ((rc = read(pfd[0], buf, bsize)) <= 0)
3712       {
3713       p[1].fd = -1;
3714
3715 # ifdef EXIM_TCP_CORK  /* Use _CORK to get TLS Close Notify in FIN segment */
3716       (void) setsockopt(tls_out.active.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
3717 # endif
3718       tls_shutdown_wr(ct_ctx);
3719       send_tls_shutdown = FALSE;
3720       shutdown(tls_out.active.sock, SHUT_WR);
3721       }
3722     else
3723       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3724         if ((i = tls_write(ct_ctx, buf + nbytes, rc - nbytes, FALSE)) < 0)
3725           goto done;
3726   }
3727 while (p[0].fd >= 0 || p[1].fd >= 0);
3728
3729 done:
3730   if (send_tls_shutdown) tls_close(ct_ctx, TLS_SHUTDOWN_NOWAIT);
3731   ct_ctx = NULL;
3732   testharness_pause_ms(100);    /* let logging complete */
3733   exim_exit(EXIT_SUCCESS);
3734 }
3735 #endif
3736
3737
3738 /*************************************************
3739 *       Deliver address list to given host       *
3740 *************************************************/
3741
3742 /* If continue_hostname is not null, we get here only when continuing to
3743 deliver down an existing channel. The channel was passed as the standard
3744 input. TLS is never active on a passed channel; the previous process either
3745 closes it down before passing the connection on, or inserts a TLS-proxy
3746 process and passes on a cleartext conection.
3747
3748 Otherwise, we have to make a connection to the remote host, and do the
3749 initial protocol exchange.
3750
3751 When running as an MUA wrapper, if the sender or any recipient is rejected,
3752 temporarily or permanently, we force failure for all recipients.
3753
3754 Arguments:
3755   addrlist        chain of potential addresses to deliver; only those whose
3756                   transport_return field is set to PENDING_DEFER are currently
3757                   being processed; others should be skipped - they have either
3758                   been delivered to an earlier host or IP address, or been
3759                   failed by one of them.
3760   host            host to deliver to
3761   host_af         AF_INET or AF_INET6
3762   defport         default TCP/IP port to use if host does not specify, in host
3763                   byte order
3764   interface       interface to bind to, or NULL
3765   tblock          transport instance block
3766   message_defer   set TRUE if yield is OK, but all addresses were deferred
3767                     because of a non-recipient, non-host failure, that is, a
3768                     4xx response to MAIL FROM, DATA, or ".". This is a defer
3769                     that is specific to the message.
3770   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
3771                     a second attempt after TLS initialization fails
3772
3773 Returns:          OK    - the connection was made and the delivery attempted;
3774                           the result for each address is in its data block.
3775                   DEFER - the connection could not be made, or something failed
3776                           while setting up the SMTP session, or there was a
3777                           non-message-specific error, such as a timeout.
3778                   ERROR - a filter command is specified for this transport,
3779                           and there was a problem setting it up; OR helo_data
3780                           or add_headers or authenticated_sender is specified
3781                           for this transport, and the string failed to expand
3782
3783                 For all non-OK returns the first addr of the list carries the
3784                 time taken for the attempt.
3785 */
3786
3787 static int
3788 smtp_deliver(address_item *addrlist, host_item *host, int host_af, int defport,
3789   uschar *interface, transport_instance *tblock,
3790   BOOL *message_defer, BOOL suppress_tls)
3791 {
3792 smtp_transport_options_block * ob = SOB tblock->options_block;
3793 int yield = OK;
3794 int save_errno;
3795 int rc;
3796
3797 uschar *message = NULL;
3798 uschar new_message_id[MESSAGE_ID_LENGTH + 1];
3799 smtp_context * sx = store_get(sizeof(*sx), GET_TAINTED);        /* tainted, for the data buffers */
3800 BOOL pass_message = FALSE;
3801 #ifndef DISABLE_ESMTP_LIMITS
3802 BOOL mail_limit = FALSE;
3803 #endif
3804 #ifdef SUPPORT_DANE
3805 BOOL dane_held;
3806 #endif
3807 BOOL tcw_done = FALSE, tcw = FALSE;
3808
3809 *message_defer = FALSE;
3810
3811 memset(sx, 0, sizeof(*sx));
3812 sx->addrlist = addrlist;
3813 sx->conn_args.host = host;
3814 sx->conn_args.host_af = host_af;
3815 sx->port = defport;
3816 sx->conn_args.interface = interface;
3817 sx->helo_data = NULL;
3818 sx->conn_args.tblock = tblock;
3819 sx->conn_args.sock = -1;
3820 gettimeofday(&sx->delivery_start, NULL);
3821 sx->sync_addr = sx->first_addr = addrlist;
3822
3823 REPEAT_CONN:
3824 #ifdef SUPPORT_DANE
3825 dane_held = FALSE;
3826 #endif
3827
3828 /* Get the channel set up ready for a message, MAIL FROM being the next
3829 SMTP command to send. */
3830
3831 if ((rc = smtp_setup_conn(sx, suppress_tls)) != OK)
3832   {
3833   timesince(&addrlist->delivery_time, &sx->delivery_start);
3834   yield = rc;
3835   goto TIDYUP;
3836   }
3837
3838 #ifdef SUPPORT_DANE
3839 /* If the connection used DANE, ignore for now any addresses with incompatible
3840 domains.  The SNI has to be the domain.  Arrange a whole new TCP conn later,
3841 just in case only TLS isn't enough. */
3842
3843 if (sx->conn_args.dane)
3844   {
3845   const uschar * dane_domain = sx->first_addr->domain;
3846
3847   for (address_item * a = sx->first_addr->next; a; a = a->next)
3848     if (  a->transport_return == PENDING_DEFER
3849        && Ustrcmp(dane_domain, a->domain) != 0)
3850       {
3851       DEBUG(D_transport) debug_printf("DANE: holding %s for later\n", a->domain);
3852       dane_held = TRUE;
3853       a->transport_return = DANE;
3854       }
3855   }
3856 #endif
3857
3858 /* If there is a filter command specified for this transport, we can now
3859 set it up. This cannot be done until the identity of the host is known. */
3860
3861 if (tblock->filter_command)
3862   {
3863   transport_filter_timeout = tblock->filter_timeout;
3864
3865   /* On failure, copy the error to all addresses, abandon the SMTP call, and
3866   yield ERROR. */
3867
3868   if (!transport_set_up_command(&transport_filter_argv,
3869         tblock->filter_command, TSUC_EXPAND_ARGS, DEFER, addrlist,
3870         string_sprintf("%.50s transport filter", tblock->name), NULL))
3871     {
3872     set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
3873       FALSE, &sx->delivery_start);
3874     yield = ERROR;
3875     goto SEND_QUIT;
3876     }
3877
3878   if (  transport_filter_argv
3879      && *transport_filter_argv
3880      && **transport_filter_argv
3881      && smtp_peer_options & OPTION_CHUNKING
3882 #ifndef DISABLE_DKIM
3883     /* When dkim signing, chunking is handled even with a transport-filter */
3884      && !(ob->dkim.dkim_private_key && ob->dkim.dkim_domain && ob->dkim.dkim_selector)
3885      && !ob->dkim.force_bodyhash
3886 #endif
3887      )
3888     {
3889     smtp_peer_options &= ~OPTION_CHUNKING;
3890     DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
3891     }
3892   }
3893
3894 /* For messages that have more than the maximum number of envelope recipients,
3895 we want to send several transactions down the same SMTP connection. (See
3896 comments in deliver.c as to how this reconciles, heuristically, with
3897 remote_max_parallel.) This optimization was added to Exim after the following
3898 code was already working. The simplest way to put it in without disturbing the
3899 code was to use a goto to jump back to this point when there is another
3900 transaction to handle. */
3901
3902 SEND_MESSAGE:
3903 sx->from_addr = return_path;
3904 sx->sync_addr = sx->first_addr;
3905 sx->ok = FALSE;
3906 sx->send_rset = TRUE;
3907 sx->completed_addr = FALSE;
3908
3909
3910 /* If we are a continued-connection-after-verify the MAIL and RCPT
3911 commands were already sent; do not re-send but do mark the addrs as
3912 having been accepted up to RCPT stage.  A traditional cont-conn
3913 always has a sequence number greater than one. */
3914
3915 if (continue_hostname && continue_sequence == 1)
3916   {
3917   /* sx->pending_MAIL = FALSE; */
3918   sx->ok = TRUE;
3919   /* sx->next_addr = NULL; */
3920
3921   for (address_item * addr = addrlist; addr; addr = addr->next)
3922     addr->transport_return = PENDING_OK;
3923   }
3924 else
3925   {
3926   /* Initiate a message transfer. */
3927
3928   switch(smtp_write_mail_and_rcpt_cmds(sx, &yield))
3929     {
3930     case sw_mrc_ok:                     break;
3931     case sw_mrc_bad_mail:               goto RESPONSE_FAILED;
3932     case sw_mrc_bad_read:               goto RESPONSE_FAILED;
3933     case sw_mrc_nonmail_read_timeo:     goto END_OFF;
3934     case sw_mrc_bad_internal:           goto SEND_QUIT;
3935     default:                            goto SEND_FAILED;
3936     }
3937
3938   /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
3939   permanently or temporarily. We should have flushed and synced after the last
3940   RCPT. */
3941
3942   if (mua_wrapper)
3943     {
3944     address_item * a;
3945     unsigned cnt;
3946
3947     for (a = sx->first_addr, cnt = 0; a && cnt < sx->max_rcpt; a = a->next, cnt++)
3948       if (a->transport_return != PENDING_OK)
3949         {
3950         /*XXX could we find a better errno than 0 here? */
3951         set_errno_nohost(addrlist, 0, a->message, FAIL,
3952           testflag(a, af_pass_message), &sx->delivery_start);
3953         sx->ok = FALSE;
3954         break;
3955         }
3956     }
3957   }
3958
3959 /* If ok is TRUE, we know we have got at least one good recipient, and must now
3960 send DATA, but if it is FALSE (in the normal, non-wrapper case), we may still
3961 have a good recipient buffered up if we are pipelining. We don't want to waste
3962 time sending DATA needlessly, so we only send it if either ok is TRUE or if we
3963 are pipelining. The responses are all handled by sync_responses().
3964 If using CHUNKING, do not send a BDAT until we know how big a chunk we want
3965 to send is. */
3966
3967 if (  !(smtp_peer_options & OPTION_CHUNKING)
3968    && (sx->ok || (pipelining_active && !mua_wrapper)))
3969   {
3970   int count = smtp_write_command(sx, SCMD_FLUSH, "DATA\r\n");
3971
3972   if (count < 0) goto SEND_FAILED;
3973
3974   switch(sync_responses(sx, count, sx->ok ? +1 : -1))
3975     {
3976     case RESP_HAD_2_AND_5: sx->ok = TRUE;       /* OK & progress made */
3977     case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE; /* progress made */
3978                            break;
3979
3980     case RESP_BIT_HAD_2XX: sx->ok = TRUE;       /* OK, but if LMTP, */
3981                            if (!sx->lmtp)       /* can't tell about progress yet */
3982                             sx->completed_addr = TRUE;
3983     case RESP_NOERROR:     break;               /* No 2xx or 5xx, but no probs */
3984
3985     case RESP_RCPT_TIMEO:  goto END_OFF;
3986
3987 #ifndef DISABLE_PIPE_CONNECT
3988     case -5:                            /* TLS first-read error */
3989     case -4:  HDEBUG(D_transport)
3990                 debug_printf("failed reaping pipelined cmd responses\n");
3991 #endif
3992     default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL/DATA error */
3993     }
3994   pipelining_active = FALSE;
3995   data_command = string_copy(big_buffer);  /* Save for later error message */
3996   }
3997
3998 /* If there were no good recipients (but otherwise there have been no
3999 problems), just set ok TRUE, since we have handled address-specific errors
4000 already. Otherwise, it's OK to send the message. Use the check/escape mechanism
4001 for handling the SMTP dot-handling protocol, flagging to apply to headers as
4002 well as body. Set the appropriate timeout value to be used for each chunk.
4003 (Haven't been able to make it work using select() for writing yet.) */
4004
4005 if (  !sx->ok
4006    && (!(smtp_peer_options & OPTION_CHUNKING) || !pipelining_active))
4007   {
4008   /* Save the first address of the next batch. */
4009   sx->first_addr = sx->next_addr;
4010
4011   sx->ok = TRUE;
4012   }
4013 else
4014   {
4015   transport_ctx tctx = {
4016     .u = {.fd = sx->cctx.sock}, /*XXX will this need TLS info? */
4017     .tblock =   tblock,
4018     .addr =     addrlist,
4019     .check_string = US".",
4020     .escape_string = US"..",    /* Escaping strings */
4021     .options =
4022       topt_use_crlf | topt_escape_headers
4023     | (tblock->body_only        ? topt_no_headers : 0)
4024     | (tblock->headers_only     ? topt_no_body : 0)
4025     | (tblock->return_path_add  ? topt_add_return_path : 0)
4026     | (tblock->delivery_date_add ? topt_add_delivery_date : 0)
4027     | (tblock->envelope_to_add  ? topt_add_envelope_to : 0)
4028   };
4029
4030   /* If using CHUNKING we need a callback from the generic transport
4031   support to us, for the sending of BDAT smtp commands and the reaping
4032   of responses.  The callback needs a whole bunch of state so set up
4033   a transport-context structure to be passed around. */
4034
4035   if (smtp_peer_options & OPTION_CHUNKING)
4036     {
4037     tctx.check_string = tctx.escape_string = NULL;
4038     tctx.options |= topt_use_bdat;
4039     tctx.chunk_cb = smtp_chunk_cmd_callback;
4040     sx->pending_BDAT = FALSE;
4041     sx->good_RCPT = sx->ok;
4042     sx->cmd_count = 0;
4043     tctx.smtp_context = sx;
4044     }
4045   else
4046     tctx.options |= topt_end_dot;
4047
4048   /* Save the first address of the next batch. */
4049   sx->first_addr = sx->next_addr;
4050
4051   /* Responses from CHUNKING commands go in buffer.  Otherwise,
4052   there has not been a response. */
4053
4054   sx->buffer[0] = 0;
4055
4056   sigalrm_seen = FALSE;
4057   transport_write_timeout = ob->data_timeout;
4058   smtp_command = US"sending data block";   /* For error messages */
4059   DEBUG(D_transport|D_v)
4060     if (smtp_peer_options & OPTION_CHUNKING)
4061       debug_printf("         will write message using CHUNKING\n");
4062     else
4063       debug_printf("  SMTP>> (writing message)\n");
4064   transport_count = 0;
4065
4066 #ifndef DISABLE_DKIM
4067   {
4068 # ifdef MEASURE_TIMING
4069   struct timeval t0;
4070   gettimeofday(&t0, NULL);
4071 # endif
4072   dkim_exim_sign_init();
4073 # ifdef EXPERIMENTAL_ARC
4074     {
4075     uschar * s = ob->arc_sign;
4076     if (s)
4077       {
4078       if (!(ob->dkim.arc_signspec = s = expand_string(s)))
4079         {
4080         if (!f.expand_string_forcedfail)
4081           {
4082           message = US"failed to expand arc_sign";
4083           sx->ok = FALSE;
4084           goto SEND_FAILED;
4085           }
4086         }
4087       else if (*s)
4088         {
4089         /* Ask dkim code to hash the body for ARC */
4090         (void) arc_ams_setup_sign_bodyhash();
4091         ob->dkim.force_bodyhash = TRUE;
4092         }
4093       }
4094     }
4095 # endif
4096 # ifdef MEASURE_TIMING
4097   report_time_since(&t0, US"dkim_exim_sign_init (delta)");
4098 # endif
4099   }
4100 #endif
4101
4102   /* See if we can pipeline QUIT.  Reasons not to are
4103   - pipelining not active
4104   - not ok to send quit
4105   - errors in amtp transation responses
4106   - more addrs to send for this message or this host
4107   - this message was being retried
4108   - more messages for this host
4109   If we can, we want the message-write to not flush (the tail end of) its data out.  */
4110
4111   if (  sx->pipelining_used
4112      && (sx->ok && sx->completed_addr || smtp_peer_options & OPTION_CHUNKING)
4113      && sx->send_quit
4114      && !(sx->first_addr || f.continue_more)
4115      && f.deliver_firsttime
4116      )
4117     {
4118     smtp_compare_t t_compare =
4119       {.tblock = tblock, .current_sender_address = sender_address};
4120
4121     tcw_done = TRUE;
4122     tcw =
4123 #ifndef DISABLE_TLS
4124            (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4125            || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4126            )
4127         &&
4128 #endif
4129            transport_check_waiting(tblock->name, host->name,
4130              tblock->connection_max_messages, new_message_id,
4131              (oicf)smtp_are_same_identities, (void*)&t_compare);
4132     if (!tcw)
4133       {
4134       HDEBUG(D_transport) debug_printf("will pipeline QUIT\n");
4135       tctx.options |= topt_no_flush;
4136       }
4137     }
4138
4139 #ifndef DISABLE_DKIM
4140   sx->ok = dkim_transport_write_message(&tctx, &ob->dkim, CUSS &message);
4141 #else
4142   sx->ok = transport_write_message(&tctx, 0);
4143 #endif
4144
4145   /* transport_write_message() uses write() because it is called from other
4146   places to write to non-sockets. This means that under some OS (e.g. Solaris)
4147   it can exit with "Broken pipe" as its error. This really means that the
4148   socket got closed at the far end. */
4149
4150   transport_write_timeout = 0;   /* for subsequent transports */
4151
4152   /* Failure can either be some kind of I/O disaster (including timeout),
4153   or the failure of a transport filter or the expansion of added headers.
4154   Or, when CHUNKING, it can be a protocol-detected failure. */
4155
4156   if (!sx->ok)
4157     if (message) goto SEND_FAILED;
4158     else         goto RESPONSE_FAILED;
4159
4160   /* We used to send the terminating "." explicitly here, but because of
4161   buffering effects at both ends of TCP/IP connections, you don't gain
4162   anything by keeping it separate, so it might as well go in the final
4163   data buffer for efficiency. This is now done by setting the topt_end_dot
4164   flag above. */
4165
4166   smtp_command = US"end of data";
4167
4168   /* If we can pipeline a QUIT with the data them send it now.  If a new message
4169   for this host appeared in the queue while data was being sent, we will not see
4170   it and it will have to wait for a queue run.  If there was one but another
4171   thread took it, we might attempt to send it - but locking of spoolfiles will
4172   detect that. Use _MORE to get QUIT in FIN segment. */
4173
4174   if (tcw_done && !tcw)
4175     {
4176     /*XXX jgh 2021/03/10 google et. al screwup.  G, at least, sends TCP FIN in response to TLS
4177     close-notify.  Under TLS 1.3, violating RFC.
4178     However, TLS 1.2 does not have half-close semantics. */
4179
4180     if (     sx->cctx.tls_ctx
4181 #if 0 && !defined(DISABLE_TLS)
4182           && Ustrcmp(tls_out.ver, "TLS1.3") != 0
4183 #endif
4184        || !f.deliver_firsttime
4185        )
4186       {                         /* Send QUIT now and not later */
4187       (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
4188       sx->send_quit = FALSE;
4189       }
4190     else
4191       {                         /* add QUIT to the output buffer */
4192       (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4193       sx->send_quit = FALSE;    /* avoid sending it later */
4194
4195 #ifndef DISABLE_TLS
4196       if (sx->cctx.tls_ctx && sx->send_tlsclose)        /* need to send TLS Close Notify */
4197         {
4198 # ifdef EXIM_TCP_CORK           /* Use _CORK to get Close Notify in FIN segment */
4199         (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4200 # endif
4201         tls_shutdown_wr(sx->cctx.tls_ctx);
4202         sx->send_tlsclose = FALSE;      /* avoid later repeat */
4203         }
4204 #endif
4205       HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4206       shutdown(sx->cctx.sock, SHUT_WR); /* flush output buffer, with TCP FIN */
4207       }
4208     }
4209
4210   if (smtp_peer_options & OPTION_CHUNKING && sx->cmd_count > 1)
4211     {
4212     /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
4213     switch(sync_responses(sx, sx->cmd_count-1, 0))
4214       {
4215       case RESP_HAD_2_AND_5: sx->ok = TRUE;             /* OK & progress made */
4216       case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE; /* progress made */
4217                              break;
4218
4219       case RESP_BIT_HAD_2XX: sx->ok = TRUE;             /*  OK, but if LMTP, */
4220                              if (!sx->lmtp)             /* can't tell about progress yet */
4221                                sx->completed_addr = TRUE;
4222       case RESP_NOERROR:     break;                     /* No 2xx or 5xx, but no probs */
4223
4224       case RESP_RCPT_TIMEO: goto END_OFF;               /* Timeout on RCPT */
4225
4226 #ifndef DISABLE_PIPE_CONNECT
4227       case RESP_EHLO_ERR_TLS:                           /* TLS first-read error */
4228       case RESP_EPIPE_EHLO_ERR:  HDEBUG(D_transport)
4229                   debug_printf("failed reaping pipelined cmd responses\n");
4230 #endif
4231       default:               goto RESPONSE_FAILED;      /* I/O error, or any MAIL/DATA error */
4232       }
4233     }
4234
4235 #ifndef DISABLE_PRDR
4236   /* For PRDR we optionally get a partial-responses warning followed by the
4237   individual responses, before going on with the overall response.  If we don't
4238   get the warning then deal with per non-PRDR. */
4239
4240   if(sx->prdr_active)
4241     {
4242     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '3', ob->final_timeout);
4243     if (!sx->ok && errno == 0) switch(sx->buffer[0])
4244       {
4245       case '2': sx->prdr_active = FALSE;
4246                 sx->ok = TRUE;
4247                 break;
4248       case '4': errno = ERRNO_DATA4XX;
4249                 addrlist->more_errno |=
4250                   ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4251                 break;
4252       }
4253     }
4254   else
4255 #endif
4256
4257   /* For non-PRDR SMTP, we now read a single response that applies to the
4258   whole message.  If it is OK, then all the addresses have been delivered. */
4259
4260   if (!sx->lmtp)
4261     {
4262     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4263       ob->final_timeout);
4264     if (!sx->ok && errno == 0 && sx->buffer[0] == '4')
4265       {
4266       errno = ERRNO_DATA4XX;
4267       addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4268       }
4269     }
4270
4271   /* For LMTP, we get back a response for every RCPT command that we sent;
4272   some may be accepted and some rejected. For those that get a response, their
4273   status is fixed; any that are accepted have been handed over, even if later
4274   responses crash - at least, that's how I read RFC 2033.
4275
4276   If all went well, mark the recipient addresses as completed, record which
4277   host/IPaddress they were delivered to, and cut out RSET when sending another
4278   message down the same channel. Write the completed addresses to the journal
4279   now so that they are recorded in case there is a crash of hardware or
4280   software before the spool gets updated. Also record the final SMTP
4281   confirmation if needed (for SMTP only). */
4282
4283   if (sx->ok)
4284     {
4285     int flag = '=';
4286     struct timeval delivery_time;
4287     int len;
4288     uschar * conf = NULL;
4289
4290     timesince(&delivery_time, &sx->delivery_start);
4291     sx->send_rset = FALSE;
4292     pipelining_active = FALSE;
4293
4294     /* Set up confirmation if needed - applies only to SMTP */
4295
4296     if (
4297 #ifdef DISABLE_EVENT
4298           LOGGING(smtp_confirmation) &&
4299 #endif
4300           !sx->lmtp
4301        )
4302       {
4303       const uschar * s = string_printing(sx->buffer);
4304       /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4305       conf = s == sx->buffer ? US string_copy(s) : US s;
4306       }
4307
4308     /* Process all transported addresses - for LMTP or PRDR, read a status for
4309     each one. We used to drop out at first_addr, until someone returned a 452
4310     followed by a 250... and we screwed up the accepted addresses. */
4311
4312     for (address_item * addr = addrlist; addr; addr = addr->next)
4313       {
4314       if (addr->transport_return != PENDING_OK) continue;
4315
4316       /* LMTP - if the response fails badly (e.g. timeout), use it for all the
4317       remaining addresses. Otherwise, it's a return code for just the one
4318       address. For temporary errors, add a retry item for the address so that
4319       it doesn't get tried again too soon. */
4320
4321 #ifndef DISABLE_PRDR
4322       if (sx->lmtp || sx->prdr_active)
4323 #else
4324       if (sx->lmtp)
4325 #endif
4326         {
4327         if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4328             ob->final_timeout))
4329           {
4330           if (errno != 0 || sx->buffer[0] == 0) goto RESPONSE_FAILED;
4331           addr->message = string_sprintf(
4332 #ifndef DISABLE_PRDR
4333             "%s error after %s: %s", sx->prdr_active ? "PRDR":"LMTP",
4334 #else
4335             "LMTP error after %s: %s",
4336 #endif
4337             data_command, string_printing(sx->buffer));
4338           setflag(addr, af_pass_message);   /* Allow message to go to user */
4339           if (sx->buffer[0] == '5')
4340             addr->transport_return = FAIL;
4341           else
4342             {
4343             errno = ERRNO_DATA4XX;
4344             addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4345             addr->transport_return = DEFER;
4346 #ifndef DISABLE_PRDR
4347             if (!sx->prdr_active)
4348 #endif
4349               retry_add_item(addr, addr->address_retry_key, 0);
4350             }
4351           continue;
4352           }
4353         sx->completed_addr = TRUE;   /* NOW we can set this flag */
4354         if (LOGGING(smtp_confirmation))
4355           {
4356           const uschar *s = string_printing(sx->buffer);
4357           /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4358           conf = (s == sx->buffer) ? US string_copy(s) : US s;
4359           }
4360         }
4361
4362       /* SMTP, or success return from LMTP for this address. Pass back the
4363       actual host that was used. */
4364
4365       addr->transport_return = OK;
4366       addr->host_used = host;
4367       addr->delivery_time = delivery_time;
4368       addr->special_action = flag;
4369       addr->message = conf;
4370
4371       if (tcp_out_fastopen)
4372         {
4373         setflag(addr, af_tcp_fastopen_conn);
4374         if (tcp_out_fastopen >= TFO_USED_NODATA) setflag(addr, af_tcp_fastopen);
4375         if (tcp_out_fastopen >= TFO_USED_DATA) setflag(addr, af_tcp_fastopen_data);
4376         }
4377       if (sx->pipelining_used) setflag(addr, af_pipelining);
4378 #ifndef DISABLE_PIPE_CONNECT
4379       if (sx->early_pipe_active) setflag(addr, af_early_pipe);
4380 #endif
4381 #ifndef DISABLE_PRDR
4382       if (sx->prdr_active) setflag(addr, af_prdr_used);
4383 #endif
4384       if (smtp_peer_options & OPTION_CHUNKING) setflag(addr, af_chunking_used);
4385       flag = '-';
4386
4387 #ifndef DISABLE_PRDR
4388       if (!sx->prdr_active)
4389 #endif
4390         {
4391         /* Update the journal. For homonymic addresses, use the base address plus
4392         the transport name. See lots of comments in deliver.c about the reasons
4393         for the complications when homonyms are involved. Just carry on after
4394         write error, as it may prove possible to update the spool file later. */
4395
4396         if (testflag(addr, af_homonym))
4397           sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4398         else
4399           sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4400
4401         DEBUG(D_deliver) debug_printf("S:journalling %s", sx->buffer);
4402         len = Ustrlen(CS sx->buffer);
4403         if (write(journal_fd, sx->buffer, len) != len)
4404           log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4405             "%s: %s", sx->buffer, strerror(errno));
4406         }
4407       }
4408
4409 #ifndef DISABLE_PRDR
4410     if (sx->prdr_active)
4411       {
4412       const uschar * overall_message;
4413
4414       /* PRDR - get the final, overall response.  For any non-success
4415       upgrade all the address statuses. */
4416
4417       sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4418         ob->final_timeout);
4419       if (!sx->ok)
4420         {
4421         if(errno == 0 && sx->buffer[0] == '4')
4422           {
4423           errno = ERRNO_DATA4XX;
4424           addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4425           }
4426         for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4427           if (sx->buffer[0] == '5' || addr->transport_return == OK)
4428             addr->transport_return = PENDING_OK; /* allow set_errno action */
4429         goto RESPONSE_FAILED;
4430         }
4431
4432       /* Append the overall response to the individual PRDR response for logging
4433       and update the journal, or setup retry. */
4434
4435       overall_message = string_printing(sx->buffer);
4436       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4437         if (addr->transport_return == OK)
4438           addr->message = string_sprintf("%s\\n%s", addr->message, overall_message);
4439
4440       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4441         if (addr->transport_return == OK)
4442           {
4443           if (testflag(addr, af_homonym))
4444             sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4445           else
4446             sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4447
4448           DEBUG(D_deliver) debug_printf("journalling(PRDR) %s\n", sx->buffer);
4449           len = Ustrlen(CS sx->buffer);
4450           if (write(journal_fd, sx->buffer, len) != len)
4451             log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4452               "%s: %s", sx->buffer, strerror(errno));
4453           }
4454         else if (addr->transport_return == DEFER)
4455           /*XXX magic value -2 ? maybe host+message ? */
4456           retry_add_item(addr, addr->address_retry_key, -2);
4457       }
4458 #endif
4459
4460     /* Ensure the journal file is pushed out to disk. */
4461
4462     if (EXIMfsync(journal_fd) < 0)
4463       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fsync journal: %s",
4464         strerror(errno));
4465     }
4466   }
4467
4468
4469 /* Handle general (not specific to one address) failures here. The value of ok
4470 is used to skip over this code on the falling through case. A timeout causes a
4471 deferral. Other errors may defer or fail according to the response code, and
4472 may set up a special errno value, e.g. after connection chopped, which is
4473 assumed if errno == 0 and there is no text in the buffer. If control reaches
4474 here during the setting up phase (i.e. before MAIL FROM) then always defer, as
4475 the problem is not related to this specific message. */
4476
4477 if (!sx->ok)
4478   {
4479   int code, set_rc;
4480   uschar * set_message;
4481
4482   RESPONSE_FAILED:
4483     {
4484     save_errno = errno;
4485     message = NULL;
4486     /* Clear send_quit flag if needed.  Do not set. */
4487     sx->send_quit &= check_response(host, &save_errno, addrlist->more_errno,
4488       sx->buffer, &code, &message, &pass_message);
4489     goto FAILED;
4490     }
4491
4492   SEND_FAILED:
4493     {
4494     save_errno = errno;
4495     code = '4';
4496     message = string_sprintf("smtp send to %s [%s] failed: %s",
4497       host->name, host->address, message ? message : US strerror(save_errno));
4498     sx->send_quit = FALSE;
4499     goto FAILED;
4500     }
4501
4502   FAILED:
4503     {
4504     BOOL message_error;
4505
4506     sx->ok = FALSE;                /* For when reached by GOTO */
4507     set_message = message;
4508
4509   /* We want to handle timeouts after MAIL or "." and loss of connection after
4510   "." specially. They can indicate a problem with the sender address or with
4511   the contents of the message rather than a real error on the connection. These
4512   cases are treated in the same way as a 4xx response. This next bit of code
4513   does the classification. */
4514
4515     switch(save_errno)
4516       {
4517       case 0:
4518       case ERRNO_MAIL4XX:
4519       case ERRNO_DATA4XX:
4520         message_error = TRUE;
4521         break;
4522
4523       case ETIMEDOUT:
4524         message_error = Ustrncmp(smtp_command,"MAIL",4) == 0 ||
4525                         Ustrncmp(smtp_command,"end ",4) == 0;
4526         break;
4527
4528       case ERRNO_SMTPCLOSED:
4529         /* If the peer closed the TCP connection after end-of-data, but before
4530         we could send QUIT, do TLS close, etc - call it a message error.
4531         Otherwise, if all the recipients have been dealt with, call a close no
4532         error at all; each address_item should have a suitable result already
4533         (2xx: PENDING_OK, 4xx: DEFER, 5xx: FAIL) */
4534
4535         if (!(message_error = Ustrncmp(smtp_command,"end ",4) == 0))
4536           {
4537           address_item * addr;
4538           for (addr = sx->addrlist; addr; addr = addr->next)
4539             if (addr->transport_return == PENDING_DEFER)
4540               break;
4541           if (!addr)    /* all rcpts fates determined */
4542             {
4543             log_write(0, LOG_MAIN, "peer close after all rcpt responses;"
4544               " converting i/o-error to no-error");
4545             sx->ok = TRUE;
4546             goto happy;
4547             }
4548           }
4549         break;
4550
4551 #ifndef DISABLE_DKIM
4552       case EACCES:
4553         /* DKIM signing failure: avoid thinking we pipelined quit,
4554         just abandon the message and close the socket. */
4555
4556         message_error = FALSE;
4557 # ifndef DISABLE_TLS
4558         if (sx->cctx.tls_ctx)
4559           {
4560           tls_close(sx->cctx.tls_ctx,
4561                     sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4562           sx->cctx.tls_ctx = NULL;
4563           }
4564 # endif
4565         break;
4566 #endif
4567       default:
4568         message_error = FALSE;
4569         break;
4570       }
4571
4572     /* Handle the cases that are treated as message errors (as opposed to
4573     host-errors). These are:
4574
4575       (a) negative response or timeout after MAIL
4576       (b) negative response after DATA
4577       (c) negative response or timeout or dropped connection after "."
4578       (d) utf8 support required and not offered
4579
4580     It won't be a negative response or timeout after RCPT, as that is dealt
4581     with separately above. The action in all cases is to set an appropriate
4582     error code for all the addresses, but to leave yield set to OK because the
4583     host itself has not failed. Of course, it might in practice have failed
4584     when we've had a timeout, but if so, we'll discover that at the next
4585     delivery attempt. For a temporary error, set the message_defer flag, and
4586     write to the logs for information if this is not the last host. The error
4587     for the last host will be logged as part of the address's log line. */
4588
4589     if (message_error)
4590       {
4591       if (mua_wrapper) code = '5';  /* Force hard failure in wrapper mode */
4592
4593       /* If there's an errno, the message contains just the identity of
4594       the host. */
4595
4596       if (code == '5')
4597         set_rc = FAIL;
4598       else              /* Anything other than 5 is treated as temporary */
4599         {
4600         set_rc = DEFER;
4601         if (save_errno > 0)
4602           message = US string_sprintf("%s: %s", message, strerror(save_errno));
4603
4604         write_logs(host, message, sx->first_addr ? sx->first_addr->basic_errno : 0);
4605
4606         *message_defer = TRUE;
4607         }
4608 #ifdef TIOCOUTQ
4609       DEBUG(D_transport) if (sx->cctx.sock >= 0)
4610         {
4611         int n;
4612         if (ioctl(sx->cctx.sock, TIOCOUTQ, &n) == 0)
4613           debug_printf("%d bytes remain in socket output buffer\n", n);
4614         }
4615 #endif
4616       }
4617     /* Otherwise, we have an I/O error or a timeout other than after MAIL or
4618     ".", or some other transportation error. We defer all addresses and yield
4619     DEFER, except for the case of failed add_headers expansion, or a transport
4620     filter failure, when the yield should be ERROR, to stop it trying other
4621     hosts. */
4622
4623     else
4624       {
4625 #ifndef DISABLE_PIPE_CONNECT
4626       /* If we were early-pipelinng and the actual EHLO response did not match
4627       the cached value we assumed, we could have detected it and passed a
4628       custom errno through to here.  It would be nice to RSET and retry right
4629       away, but to reliably do that we eould need an extra synch point before
4630       we committed to data and that would discard half the gained roundrips.
4631       Or we could summarily drop the TCP connection. but that is also ugly.
4632       Instead, we ignore the possibility (having freshened the cache) and rely
4633       on the server telling us with a nonmessage error if we have tried to
4634       do something it no longer supports. */
4635 #endif
4636       set_rc = DEFER;
4637       yield = (save_errno == ERRNO_CHHEADER_FAIL ||
4638                save_errno == ERRNO_FILTER_FAIL) ? ERROR : DEFER;
4639       }
4640     }
4641
4642   set_errno(addrlist, save_errno, set_message, set_rc, pass_message, host,
4643 #ifdef EXPERIMENTAL_DSN_INFO
4644             sx->smtp_greeting, sx->helo_response,
4645 #endif
4646             &sx->delivery_start);
4647   }
4648
4649 /* If all has gone well, send_quit will be set TRUE, implying we can end the
4650 SMTP session tidily. However, if there were too many addresses to send in one
4651 message (indicated by first_addr being non-NULL) we want to carry on with the
4652 rest of them. Also, it is desirable to send more than one message down the SMTP
4653 connection if there are several waiting, provided we haven't already sent so
4654 many as to hit the configured limit. The function transport_check_waiting looks
4655 for a waiting message and returns its id. Then transport_pass_socket tries to
4656 set up a continued delivery by passing the socket on to another process. The
4657 variable send_rset is FALSE if a message has just been successfully transferred.
4658
4659 If we are already sending down a continued channel, there may be further
4660 addresses not yet delivered that are aimed at the same host, but which have not
4661 been passed in this run of the transport. In this case, continue_more will be
4662 true, and all we should do is send RSET if necessary, and return, leaving the
4663 channel open.
4664
4665 However, if no address was disposed of, i.e. all addresses got 4xx errors, we
4666 do not want to continue with other messages down the same channel, because that
4667 can lead to looping between two or more messages, all with the same,
4668 temporarily failing address(es). [The retry information isn't updated yet, so
4669 new processes keep on trying.] We probably also don't want to try more of this
4670 message's addresses either.
4671
4672 If we have started a TLS session, we have to end it before passing the
4673 connection to a new process. However, not all servers can handle this (Exim
4674 can), so we do not pass such a connection on if the host matches
4675 hosts_nopass_tls. */
4676
4677 happy:
4678
4679 DEBUG(D_transport)
4680   debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
4681     "yield=%d first_address is %sNULL\n", sx->ok, sx->send_quit,
4682     sx->send_rset, f.continue_more, yield, sx->first_addr ? "not " : "");
4683
4684 if (sx->completed_addr && sx->ok && sx->send_quit)
4685 #ifndef DISABLE_ESMTP_LIMITS
4686   if (mail_limit = continue_sequence >= sx->max_mail)
4687     {
4688     DEBUG(D_transport)
4689       debug_printf("reached limit %u for MAILs per conn\n", sx->max_mail);
4690     }
4691   else
4692 #endif
4693     {
4694     smtp_compare_t t_compare =
4695       {.tblock = tblock, .current_sender_address = sender_address};
4696
4697     if (  sx->first_addr                        /* more addrs for this message */
4698        || f.continue_more                       /* more addrs for continued-host */
4699        || tcw_done && tcw                       /* more messages for host */
4700        || (
4701 #ifndef DISABLE_TLS
4702              (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4703              || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4704              )
4705           &&
4706 #endif
4707              transport_check_waiting(tblock->name, host->name,
4708                sx->max_mail, new_message_id,
4709                (oicf)smtp_are_same_identities, (void*)&t_compare)
4710        )  )
4711       {
4712       uschar *msg;
4713       BOOL pass_message;
4714
4715       if (sx->send_rset)
4716         if (! (sx->ok = smtp_write_command(sx, SCMD_FLUSH, "RSET\r\n") >= 0))
4717           {
4718           msg = US string_sprintf("smtp send to %s [%s] failed: %s", host->name,
4719             host->address, strerror(errno));
4720           sx->send_quit = FALSE;
4721           }
4722         else if (! (sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4723                     '2', ob->command_timeout)))
4724           {
4725           int code;
4726           sx->send_quit = check_response(host, &errno, 0, sx->buffer, &code, &msg,
4727             &pass_message);
4728           if (!sx->send_quit)
4729             {
4730             DEBUG(D_transport) debug_printf("H=%s [%s] %s\n",
4731               host->name, host->address, msg);
4732             }
4733           }
4734
4735       /* Either RSET was not needed, or it succeeded */
4736
4737       if (sx->ok)
4738         {
4739 #ifndef DISABLE_TLS
4740         int pfd[2];
4741 #endif
4742         int socket_fd = sx->cctx.sock;
4743
4744         if (sx->first_addr)             /* More addresses still to be sent */
4745           {                             /*   for this message              */
4746 #ifndef DISABLE_ESMTP_LIMITS
4747           /* Any that we marked as skipped, reset to do now */
4748           for (address_item * a = sx->first_addr; a; a = a->next)
4749             if (a->transport_return == SKIP)
4750               a->transport_return = PENDING_DEFER;
4751 #endif
4752           continue_sequence++;                          /* for consistency */
4753           clearflag(sx->first_addr, af_new_conn);
4754           setflag(sx->first_addr, af_cont_conn);        /* Causes * in logging */
4755           pipelining_active = sx->pipelining_used;      /* was cleared at DATA */
4756           goto SEND_MESSAGE;
4757           }
4758
4759         /* Unless caller said it already has more messages listed for this host,
4760         pass the connection on to a new Exim process (below, the call to
4761         transport_pass_socket).  If the caller has more ready, just return with
4762         the connection still open. */
4763
4764 #ifndef DISABLE_TLS
4765         if (tls_out.active.sock >= 0)
4766           if (  f.continue_more
4767              || verify_check_given_host(CUSS &ob->hosts_noproxy_tls, host) == OK)
4768             {
4769             /* Before passing the socket on, or returning to caller with it still
4770             open, we must shut down TLS.  Not all MTAs allow for the continuation
4771             of the SMTP session when TLS is shut down. We test for this by sending
4772             a new EHLO. If we don't get a good response, we don't attempt to pass
4773             the socket on.
4774             NB: TLS close is *required* per RFC 9266 when tls-exporter info has
4775             been used, which we do under TLSv1.3 for the gsasl SCRAM*PLUS methods.
4776             But we were always doing it anyway. */
4777
4778           tls_close(sx->cctx.tls_ctx,
4779             sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4780           sx->send_tlsclose = FALSE;
4781           sx->cctx.tls_ctx = NULL;
4782           tls_out.active.sock = -1;
4783           smtp_peer_options = smtp_peer_options_wrap;
4784           sx->ok = !sx->smtps
4785             && smtp_write_command(sx, SCMD_FLUSH, "EHLO %s\r\n", sx->helo_data)
4786                 >= 0
4787             && smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4788                                       '2', ob->command_timeout);
4789
4790             if (sx->ok && f.continue_more)
4791               goto TIDYUP;              /* More addresses for another run */
4792             }
4793           else
4794             {
4795             /* Set up a pipe for proxying TLS for the new transport process */
4796
4797             smtp_peer_options |= OPTION_TLS;
4798             if ((sx->ok = socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
4799               socket_fd = pfd[1];
4800             else
4801               set_errno(sx->first_addr, errno, US"internal allocation problem",
4802                       DEFER, FALSE, host,
4803 # ifdef EXPERIMENTAL_DSN_INFO
4804                       sx->smtp_greeting, sx->helo_response,
4805 # endif
4806                       &sx->delivery_start);
4807             }
4808         else
4809 #endif
4810           if (f.continue_more)
4811             goto TIDYUP;                        /* More addresses for another run */
4812
4813         /* If the socket is successfully passed, we mustn't send QUIT (or
4814         indeed anything!) from here. */
4815
4816   /*XXX DSN_INFO: assume likely to do new HELO; but for greet we'll want to
4817   propagate it from the initial
4818   */
4819         if (sx->ok && transport_pass_socket(tblock->name, host->name,
4820               host->address, new_message_id, socket_fd
4821 #ifndef DISABLE_ESMTP_LIMITS
4822               , sx->peer_limit_mail, sx->peer_limit_rcpt, sx->peer_limit_rcptdom
4823 #endif
4824               ))
4825           {
4826           sx->send_quit = FALSE;
4827
4828           /* We have passed the client socket to a fresh transport process.
4829           If TLS is still active, we need to proxy it for the transport we
4830           just passed the baton to.  Fork a child to to do it, and return to
4831           get logging done asap.  Which way to place the work makes assumptions
4832           about post-fork prioritisation which may not hold on all platforms. */
4833 #ifndef DISABLE_TLS
4834           if (tls_out.active.sock >= 0)
4835             {
4836             int pid = exim_fork(US"tls-proxy-interproc");
4837             if (pid == 0)               /* child; fork again to disconnect totally */
4838               {
4839               /* does not return */
4840               smtp_proxy_tls(sx->cctx.tls_ctx, sx->buffer, sizeof(sx->buffer), pfd,
4841                               ob->command_timeout, host->name);
4842               }
4843
4844             if (pid > 0)                /* parent */
4845               {
4846               close(pfd[0]);
4847               /* tidy the inter-proc to disconn the proxy proc */
4848               waitpid(pid, NULL, 0);
4849               tls_close(sx->cctx.tls_ctx, TLS_NO_SHUTDOWN);
4850               sx->cctx.tls_ctx = NULL;
4851               (void)close(sx->cctx.sock);
4852               sx->cctx.sock = -1;
4853               continue_transport = NULL;
4854               continue_hostname = NULL;
4855               goto TIDYUP;
4856               }
4857             log_write(0, LOG_PANIC_DIE, "fork failed");
4858             }
4859 #endif
4860           }
4861         }
4862
4863       /* If RSET failed and there are addresses left, they get deferred. */
4864       else
4865         set_errno(sx->first_addr, errno, msg, DEFER, FALSE, host,
4866 #ifdef EXPERIMENTAL_DSN_INFO
4867                     sx->smtp_greeting, sx->helo_response,
4868 #endif
4869                     &sx->delivery_start);
4870       }
4871     }
4872
4873 /* End off tidily with QUIT unless the connection has died or the socket has
4874 been passed to another process. */
4875
4876 SEND_QUIT:
4877 if (sx->send_quit)
4878   {                     /* Use _MORE to get QUIT in FIN segment */
4879   (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4880 #ifndef DISABLE_TLS
4881   if (sx->cctx.tls_ctx && sx->send_tlsclose)
4882     {
4883 # ifdef EXIM_TCP_CORK   /* Use _CORK to get TLS Close Notify in FIN segment */
4884     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4885 # endif
4886     tls_shutdown_wr(sx->cctx.tls_ctx);
4887     sx->send_tlsclose = FALSE;
4888     }
4889 #endif
4890   }
4891
4892 END_OFF:
4893
4894 /* Close the socket, and return the appropriate value, first setting
4895 works because the NULL setting is passed back to the calling process, and
4896 remote_max_parallel is forced to 1 when delivering over an existing connection,
4897
4898 If all went well and continue_more is set, we shouldn't actually get here if
4899 there are further addresses, as the return above will be taken. However,
4900 writing RSET might have failed, or there may be other addresses whose hosts are
4901 specified in the transports, and therefore not visible at top level, in which
4902 case continue_more won't get set. */
4903
4904 if (sx->send_quit)
4905   {
4906   /* This flushes data queued in the socket, being the QUIT and any TLS Close,
4907   sending them along with the client FIN flag.  Us (we hope) sending FIN first
4908   means we (client) take the TIME_WAIT state, so the server (which likely has a
4909   higher connection rate) does not have to. */
4910
4911   HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4912   shutdown(sx->cctx.sock, SHUT_WR);
4913   }
4914
4915 if (sx->send_quit || tcw_done && !tcw)
4916   {
4917   /* Wait for (we hope) ack of our QUIT, and a server FIN.  Discard any data
4918   received, then discard the socket.  Any packet received after then, or receive
4919   data still in the socket, will get a RST - hence the pause/drain. */
4920
4921   /* Reap the response to QUIT, timing out after one second */
4922   (void) smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2', 1);
4923 #ifndef DISABLE_TLS
4924   if (sx->cctx.tls_ctx)
4925     {
4926     int n;
4927
4928     /* Reap the TLS Close Notify from the server, timing out after one second */
4929     sigalrm_seen = FALSE;
4930     ALARM(1);
4931     do
4932       n = tls_read(sx->cctx.tls_ctx, sx->inbuffer, sizeof(sx->inbuffer));
4933     while (!sigalrm_seen && n > 0);
4934     ALARM_CLR(0);
4935
4936     if (sx->send_tlsclose)
4937       {
4938 # ifdef EXIM_TCP_CORK
4939       (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4940 # endif
4941       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WAIT);
4942       }
4943     else
4944       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WONLY);
4945     sx->cctx.tls_ctx = NULL;
4946     }
4947 #endif
4948
4949   /* Drain any trailing data from the socket before close, to avoid sending a RST */
4950
4951   if (  poll_one_fd(sx->cctx.sock, POLLIN, 20) != 0             /* 20ms */
4952      && fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
4953     for (int i = 16, n;                                         /* drain socket */
4954          (n = read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer))) > 0 && i > 0;
4955          i--) HDEBUG(D_transport|D_acl|D_v)
4956       {
4957       int m = MIN(n, 64);
4958       debug_printf_indent("  SMTP(drain %d bytes)<< %.*s\n", n, m, sx->inbuffer);
4959       for (m = 0; m < n; m++)
4960         debug_printf("0x%02x\n", sx->inbuffer[m]);
4961       }
4962   }
4963 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
4964 (void)close(sx->cctx.sock);
4965 sx->cctx.sock = -1;
4966 continue_transport = NULL;
4967 continue_hostname = NULL;
4968 smtp_debug_cmd_report();
4969
4970 #ifndef DISABLE_EVENT
4971 (void) event_raise(tblock->event_action, US"tcp:close", NULL, NULL);
4972 #endif
4973
4974 #ifdef SUPPORT_DANE
4975 if (dane_held)
4976   {
4977   sx->first_addr = NULL;
4978   for (address_item * a = sx->addrlist->next; a; a = a->next)
4979     if (a->transport_return == DANE)
4980       {
4981       a->transport_return = PENDING_DEFER;
4982       if (!sx->first_addr)
4983         {
4984         /* Remember the new start-point in the addrlist, for smtp_setup_conn()
4985         to get the domain string for SNI */
4986
4987         sx->first_addr = a;
4988         clearflag(a, af_cont_conn);
4989         setflag(a, af_new_conn);                /* clear * from logging */
4990         DEBUG(D_transport) debug_printf("DANE: go-around for %s\n", a->domain);
4991         }
4992       }
4993   continue_sequence = 1;                        /* for consistency */
4994   goto REPEAT_CONN;
4995   }
4996 #endif
4997
4998 #ifndef DISABLE_ESMTP_LIMITS
4999 if (mail_limit && sx->first_addr)
5000   {
5001   /* Reset the sequence count since we closed the connection.  This is flagged
5002   on the pipe back to the delivery process so that a non-continued-conn delivery
5003   is logged. */
5004
5005   continue_sequence = 1;                        /* for consistency */
5006   clearflag(sx->first_addr, af_cont_conn);
5007   setflag(sx->first_addr, af_new_conn);         /* clear  * from logging */
5008   goto REPEAT_CONN;
5009   }
5010 #endif
5011
5012 return yield;
5013
5014 TIDYUP:
5015 #ifdef SUPPORT_DANE
5016 if (dane_held) for (address_item * a = sx->addrlist->next; a; a = a->next)
5017   if (a->transport_return == DANE)
5018     a->transport_return = PENDING_DEFER;
5019 #endif
5020 return yield;
5021 }
5022
5023
5024
5025
5026 /*************************************************
5027 *              Closedown entry point             *
5028 *************************************************/
5029
5030 /* This function is called when exim is passed an open smtp channel
5031 from another incarnation, but the message which it has been asked
5032 to deliver no longer exists. The channel is on stdin.
5033
5034 We might do fancy things like looking for another message to send down
5035 the channel, but if the one we sought has gone, it has probably been
5036 delivered by some other process that itself will seek further messages,
5037 so just close down our connection.
5038
5039 Argument:   pointer to the transport instance block
5040 Returns:    nothing
5041 */
5042
5043 void
5044 smtp_transport_closedown(transport_instance *tblock)
5045 {
5046 smtp_transport_options_block * ob = SOB tblock->options_block;
5047 client_conn_ctx cctx;
5048 smtp_context sx = {0};
5049 uschar buffer[256];
5050 uschar inbuffer[4096];
5051 uschar outbuffer[16];
5052
5053 /*XXX really we need an active-smtp-client ctx, rather than assuming stdout */
5054 cctx.sock = fileno(stdin);
5055 cctx.tls_ctx = cctx.sock == tls_out.active.sock ? tls_out.active.tls_ctx : NULL;
5056
5057 sx.inblock.cctx = &cctx;
5058 sx.inblock.buffer = inbuffer;
5059 sx.inblock.buffersize = sizeof(inbuffer);
5060 sx.inblock.ptr = inbuffer;
5061 sx.inblock.ptrend = inbuffer;
5062
5063 sx.outblock.cctx = &cctx;
5064 sx.outblock.buffersize = sizeof(outbuffer);
5065 sx.outblock.buffer = outbuffer;
5066 sx.outblock.ptr = outbuffer;
5067 sx.outblock.cmd_count = 0;
5068 sx.outblock.authenticating = FALSE;
5069
5070 (void)smtp_write_command(&sx, SCMD_FLUSH, "QUIT\r\n");
5071 (void)smtp_read_response(&sx, buffer, sizeof(buffer), '2', ob->command_timeout);
5072 (void)close(cctx.sock);
5073 }
5074
5075
5076
5077 /*************************************************
5078 *            Prepare addresses for delivery      *
5079 *************************************************/
5080
5081 /* This function is called to flush out error settings from previous delivery
5082 attempts to other hosts. It also records whether we got here via an MX record
5083 or not in the more_errno field of the address. We are interested only in
5084 addresses that are still marked DEFER - others may have got delivered to a
5085 previously considered IP address. Set their status to PENDING_DEFER to indicate
5086 which ones are relevant this time.
5087
5088 Arguments:
5089   addrlist     the list of addresses
5090   host         the host we are delivering to
5091
5092 Returns:       the first address for this delivery
5093 */
5094
5095 static address_item *
5096 prepare_addresses(address_item * addrlist, host_item * host)
5097 {
5098 address_item * first_addr = NULL;
5099 for (address_item * addr = addrlist; addr; addr = addr->next)
5100   if (addr->transport_return == DEFER)
5101     {
5102     if (!first_addr) first_addr = addr;
5103     addr->transport_return = PENDING_DEFER;
5104     addr->basic_errno = 0;
5105     addr->more_errno = host->mx >= 0 ? 'M' : 'A';
5106     addr->message = NULL;
5107 #ifndef DISABLE_TLS
5108     addr->cipher = NULL;
5109     addr->ourcert = NULL;
5110     addr->peercert = NULL;
5111     addr->peerdn = NULL;
5112     addr->ocsp = OCSP_NOT_REQ;
5113     addr->tlsver = NULL;
5114 #endif
5115 #ifdef EXPERIMENTAL_DSN_INFO
5116     addr->smtp_greeting = NULL;
5117     addr->helo_response = NULL;
5118 #endif
5119     }
5120 return first_addr;
5121 }
5122
5123
5124
5125 /*************************************************
5126 *              Main entry point                  *
5127 *************************************************/
5128
5129 /* See local README for interface details. As this is a remote transport, it is
5130 given a chain of addresses to be delivered in one connection, if possible. It
5131 always returns TRUE, indicating that each address has its own independent
5132 status set, except if there is a setting up problem, in which case it returns
5133 FALSE. */
5134
5135 BOOL
5136 smtp_transport_entry(
5137   transport_instance * tblock,      /* data for this instantiation */
5138   address_item * addrlist)          /* addresses we are working on */
5139 {
5140 int defport;
5141 int hosts_defer = 0, hosts_fail  = 0, hosts_looked_up = 0;
5142 int hosts_retry = 0, hosts_serial = 0, hosts_total = 0, total_hosts_tried = 0;
5143 BOOL expired = TRUE;
5144 uschar * expanded_hosts = NULL, * pistring;
5145 uschar * tid = string_sprintf("%s transport", tblock->name);
5146 smtp_transport_options_block * ob = SOB tblock->options_block;
5147 host_item * hostlist = addrlist->host_list, * host = NULL;
5148
5149 DEBUG(D_transport)
5150   {
5151   debug_printf("%s transport entered\n", tblock->name);
5152   for (address_item * addr = addrlist; addr; addr = addr->next)
5153     debug_printf("  %s\n", addr->address);
5154   if (hostlist)
5155     {
5156     debug_printf("hostlist:\n");
5157     for (host_item * host = hostlist; host; host = host->next)
5158       debug_printf("  '%s' IP %s port %d\n", host->name, host->address, host->port);
5159     }
5160   if (continue_hostname)
5161     debug_printf("already connected to %s [%s] (on fd %d)\n",
5162       continue_hostname, continue_host_address,
5163       cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0);
5164   }
5165
5166 /* Check the restrictions on line length */
5167
5168 if (max_received_linelength > ob->message_linelength_limit)
5169   {
5170   struct timeval now;
5171   gettimeofday(&now, NULL);
5172
5173   for (address_item * addr = addrlist; addr; addr = addr->next)
5174     if (addr->transport_return == DEFER)
5175       addr->transport_return = PENDING_DEFER;
5176
5177   set_errno_nohost(addrlist, ERRNO_SMTPFORMAT,
5178     US"message has lines too long for transport", FAIL, TRUE, &now);
5179   goto END_TRANSPORT;
5180   }
5181
5182 /* Set the flag requesting that these hosts be added to the waiting
5183 database if the delivery fails temporarily or if we are running with
5184 queue_smtp or a 2-stage queue run. This gets unset for certain
5185 kinds of error, typically those that are specific to the message. */
5186
5187 update_waiting = TRUE;
5188
5189 /* If a host list is not defined for the addresses - they must all have the
5190 same one in order to be passed to a single transport - or if the transport has
5191 a host list with hosts_override set, use the host list supplied with the
5192 transport. It is an error for this not to exist. */
5193
5194 if (!hostlist || (ob->hosts_override && ob->hosts))
5195   {
5196   if (!ob->hosts)
5197     {
5198     addrlist->message = string_sprintf("%s transport called with no hosts set",
5199       tblock->name);
5200     addrlist->transport_return = PANIC;
5201     return FALSE;   /* Only top address has status */
5202     }
5203
5204   DEBUG(D_transport) debug_printf("using the transport's hosts: %s\n",
5205     ob->hosts);
5206
5207   /* If the transport's host list contains no '$' characters, and we are not
5208   randomizing, it is fixed and therefore a chain of hosts can be built once
5209   and for all, and remembered for subsequent use by other calls to this
5210   transport. If, on the other hand, the host list does contain '$', or we are
5211   randomizing its order, we have to rebuild it each time. In the fixed case,
5212   as the hosts string will never be used again, it doesn't matter that we
5213   replace all the : characters with zeros. */
5214
5215   if (!ob->hostlist)
5216     {
5217     uschar *s = ob->hosts;
5218
5219     if (Ustrchr(s, '$'))
5220       {
5221       if (!(expanded_hosts = expand_string(s)))
5222         {
5223         addrlist->message = string_sprintf("failed to expand list of hosts "
5224           "\"%s\" in %s transport: %s", s, tblock->name, expand_string_message);
5225         addrlist->transport_return = f.search_find_defer ? DEFER : PANIC;
5226         return FALSE;     /* Only top address has status */
5227         }
5228       DEBUG(D_transport) debug_printf("expanded list of hosts \"%s\" to "
5229         "\"%s\"\n", s, expanded_hosts);
5230       s = expanded_hosts;
5231       }
5232     else
5233       if (ob->hosts_randomize) s = expanded_hosts = string_copy(s);
5234
5235     if (is_tainted(s))
5236       {
5237       log_write(0, LOG_MAIN|LOG_PANIC,
5238         "attempt to use tainted host list '%s' from '%s' in transport %s",
5239         s, ob->hosts, tblock->name);
5240       /* Avoid leaking info to an attacker */
5241       addrlist->message = US"internal configuration error";
5242       addrlist->transport_return = PANIC;
5243       return FALSE;
5244       }
5245
5246     host_build_hostlist(&hostlist, s, ob->hosts_randomize);
5247
5248     /* Check that the expansion yielded something useful. */
5249     if (!hostlist)
5250       {
5251       addrlist->message =
5252         string_sprintf("%s transport has empty hosts setting", tblock->name);
5253       addrlist->transport_return = PANIC;
5254       return FALSE;   /* Only top address has status */
5255       }
5256
5257     /* If there was no expansion of hosts, save the host list for
5258     next time. */
5259
5260     if (!expanded_hosts) ob->hostlist = hostlist;
5261     }
5262
5263   /* This is not the first time this transport has been run in this delivery;
5264   the host list was built previously. */
5265
5266   else
5267     hostlist = ob->hostlist;
5268   }
5269
5270 /* The host list was supplied with the address. If hosts_randomize is set, we
5271 must sort it into a random order if it did not come from MX records and has not
5272 already been randomized (but don't bother if continuing down an existing
5273 connection). */
5274
5275 else if (ob->hosts_randomize && hostlist->mx == MX_NONE && !continue_hostname)
5276   {
5277   host_item *newlist = NULL;
5278   while (hostlist)
5279     {
5280     host_item *h = hostlist;
5281     hostlist = hostlist->next;
5282
5283     h->sort_key = random_number(100);
5284
5285     if (!newlist)
5286       {
5287       h->next = NULL;
5288       newlist = h;
5289       }
5290     else if (h->sort_key < newlist->sort_key)
5291       {
5292       h->next = newlist;
5293       newlist = h;
5294       }
5295     else
5296       {
5297       host_item *hh = newlist;
5298       while (hh->next)
5299         {
5300         if (h->sort_key < hh->next->sort_key) break;
5301         hh = hh->next;
5302         }
5303       h->next = hh->next;
5304       hh->next = h;
5305       }
5306     }
5307
5308   hostlist = addrlist->host_list = newlist;
5309   }
5310
5311 /* Sort out the default port.  */
5312
5313 if (!smtp_get_port(ob->port, addrlist, &defport, tid)) return FALSE;
5314
5315 /* For each host-plus-IP-address on the list:
5316
5317 .  If this is a continued delivery and the host isn't the one with the
5318    current connection, skip.
5319
5320 .  If the status is unusable (i.e. previously failed or retry checked), skip.
5321
5322 .  If no IP address set, get the address, either by turning the name into
5323    an address, calling gethostbyname if gethostbyname is on, or by calling
5324    the DNS. The DNS may yield multiple addresses, in which case insert the
5325    extra ones into the list.
5326
5327 .  Get the retry data if not previously obtained for this address and set the
5328    field which remembers the state of this address. Skip if the retry time is
5329    not reached. If not, remember whether retry data was found. The retry string
5330    contains both the name and the IP address.
5331
5332 .  Scan the list of addresses and mark those whose status is DEFER as
5333    PENDING_DEFER. These are the only ones that will be processed in this cycle
5334    of the hosts loop.
5335
5336 .  Make a delivery attempt - addresses marked PENDING_DEFER will be tried.
5337    Some addresses may be successfully delivered, others may fail, and yet
5338    others may get temporary errors and so get marked DEFER.
5339
5340 .  The return from the delivery attempt is OK if a connection was made and a
5341    valid SMTP dialogue was completed. Otherwise it is DEFER.
5342
5343 .  If OK, add a "remove" retry item for this host/IPaddress, if any.
5344
5345 .  If fail to connect, or other defer state, add a retry item.
5346
5347 .  If there are any addresses whose status is still DEFER, carry on to the
5348    next host/IPaddress, unless we have tried the number of hosts given
5349    by hosts_max_try or hosts_max_try_hardlimit; otherwise return. Note that
5350    there is some fancy logic for hosts_max_try that means its limit can be
5351    overstepped in some circumstances.
5352
5353 If we get to the end of the list, all hosts have deferred at least one address,
5354 or not reached their retry times. If delay_after_cutoff is unset, it requests a
5355 delivery attempt to those hosts whose last try was before the arrival time of
5356 the current message. To cope with this, we have to go round the loop a second
5357 time. After that, set the status and error data for any addresses that haven't
5358 had it set already. */
5359
5360 for (int cutoff_retry = 0;
5361      expired && cutoff_retry < (ob->delay_after_cutoff ? 1 : 2);
5362      cutoff_retry++)
5363   {
5364   host_item *nexthost = NULL;
5365   int unexpired_hosts_tried = 0;
5366   BOOL continue_host_tried = FALSE;
5367
5368 retry_non_continued:
5369   for (host = hostlist;
5370           host
5371        && unexpired_hosts_tried < ob->hosts_max_try
5372        && total_hosts_tried < ob->hosts_max_try_hardlimit;
5373        host = nexthost)
5374     {
5375     int rc, host_af;
5376     BOOL host_is_expired = FALSE, message_defer = FALSE, some_deferred = FALSE;
5377     address_item * first_addr = NULL;
5378     uschar * interface = NULL;
5379     uschar * retry_host_key = NULL, * retry_message_key = NULL;
5380     uschar * serialize_key = NULL;
5381
5382     /* Deal slightly better with a possible Linux kernel bug that results
5383     in intermittent TFO-conn fails deep into the TCP flow.  Bug 2907 tracks.
5384     Hack: Clear TFO option for any further hosts on this tpt run. */
5385
5386     if (total_hosts_tried > 0)
5387       {
5388       DEBUG(D_transport|D_acl|D_v)
5389         debug_printf("Clearing TFO as not first host for message\n");
5390       ob->hosts_try_fastopen = US"";
5391       }
5392
5393     /* Default next host is next host. :-) But this can vary if the
5394     hosts_max_try limit is hit (see below). It may also be reset if a host
5395     address is looked up here (in case the host was multihomed). */
5396
5397     nexthost = host->next;
5398
5399     /* If the address hasn't yet been obtained from the host name, look it up
5400     now, unless the host is already marked as unusable. If it is marked as
5401     unusable, it means that the router was unable to find its IP address (in
5402     the DNS or wherever) OR we are in the 2nd time round the cutoff loop, and
5403     the lookup failed last time. We don't get this far if *all* MX records
5404     point to non-existent hosts; that is treated as a hard error.
5405
5406     We can just skip this host entirely. When the hosts came from the router,
5407     the address will timeout based on the other host(s); when the address is
5408     looked up below, there is an explicit retry record added.
5409
5410     Note that we mustn't skip unusable hosts if the address is not unset; they
5411     may be needed as expired hosts on the 2nd time round the cutoff loop. */
5412
5413     if (!host->address)
5414       {
5415       int new_port, flags;
5416
5417       if (host->status >= hstatus_unusable)
5418         {
5419         DEBUG(D_transport) debug_printf("%s has no address and is unusable - skipping\n",
5420           host->name);
5421         continue;
5422         }
5423
5424       DEBUG(D_transport) debug_printf("getting address for %s\n", host->name);
5425
5426       /* The host name is permitted to have an attached port. Find it, and
5427       strip it from the name. Just remember it for now. */
5428
5429       new_port = host_item_get_port(host);
5430
5431       /* Count hosts looked up */
5432
5433       hosts_looked_up++;
5434
5435       /* Find by name if so configured, or if it's an IP address. We don't
5436       just copy the IP address, because we need the test-for-local to happen. */
5437
5438       flags = HOST_FIND_BY_A | HOST_FIND_BY_AAAA;
5439       if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
5440       if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
5441
5442       if (ob->gethostbyname || string_is_ip_address(host->name, NULL) != 0)
5443         rc = host_find_byname(host, NULL, flags, NULL, TRUE);
5444       else
5445         rc = host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
5446           &ob->dnssec,          /* domains for request/require */
5447           NULL, NULL);
5448
5449       /* Update the host (and any additional blocks, resulting from
5450       multihoming) with a host-specific port, if any. */
5451
5452       for (host_item * hh = host; hh != nexthost; hh = hh->next) hh->port = new_port;
5453
5454       /* Failure to find the host at this time (usually DNS temporary failure)
5455       is really a kind of routing failure rather than a transport failure.
5456       Therefore we add a retry item of the routing kind, not to stop us trying
5457       to look this name up here again, but to ensure the address gets timed
5458       out if the failures go on long enough. A complete failure at this point
5459       commonly points to a configuration error, but the best action is still
5460       to carry on for the next host. */
5461
5462       if (rc == HOST_FIND_AGAIN || rc == HOST_FIND_SECURITY || rc == HOST_FIND_FAILED)
5463         {
5464         retry_add_item(addrlist, string_sprintf("R:%s", host->name), 0);
5465         expired = FALSE;
5466         if (rc == HOST_FIND_AGAIN) hosts_defer++; else hosts_fail++;
5467         DEBUG(D_transport) debug_printf("rc = %s for %s\n", (rc == HOST_FIND_AGAIN)?
5468           "HOST_FIND_AGAIN" : "HOST_FIND_FAILED", host->name);
5469         host->status = hstatus_unusable;
5470
5471         for (address_item * addr = addrlist; addr; addr = addr->next)
5472           {
5473           if (addr->transport_return != DEFER) continue;
5474           addr->basic_errno = ERRNO_UNKNOWNHOST;
5475           addr->message = string_sprintf(
5476             rc == HOST_FIND_SECURITY
5477               ? "lookup of IP address for %s was insecure"
5478               : "failed to lookup IP address for %s",
5479             host->name);
5480           }
5481         continue;
5482         }
5483
5484       /* If the host is actually the local host, we may have a problem, or
5485       there may be some cunning configuration going on. In the problem case,
5486       log things and give up. The default transport status is already DEFER. */
5487
5488       if (rc == HOST_FOUND_LOCAL && !ob->allow_localhost)
5489         {
5490         for (address_item * addr = addrlist; addr; addr = addr->next)
5491           {
5492           addr->basic_errno = ERRNO_HOST_IS_LOCAL;
5493           addr->message = string_sprintf("%s transport found host %s to be "
5494             "local", tblock->name, host->name);
5495           }
5496         goto END_TRANSPORT;
5497         }
5498       }   /* End of block for IP address lookup */
5499
5500     /* If this is a continued delivery, we are interested only in the host
5501     which matches the name of the existing open channel. The check is put
5502     here after the local host lookup, in case the name gets expanded as a
5503     result of the lookup. Set expired FALSE, to save the outer loop executing
5504     twice. */
5505
5506     if (continue_hostname)
5507       if (  Ustrcmp(continue_hostname, host->name) != 0
5508          || Ustrcmp(continue_host_address, host->address) != 0
5509          )
5510         {
5511         expired = FALSE;
5512         continue;      /* With next host */
5513         }
5514       else
5515         continue_host_tried = TRUE;
5516
5517     /* Reset the default next host in case a multihomed host whose addresses
5518     are not looked up till just above added to the host list. */
5519
5520     nexthost = host->next;
5521
5522     /* If queue_smtp is set (-odqs or the first part of a 2-stage run), or the
5523     domain is in queue_smtp_domains, we don't actually want to attempt any
5524     deliveries. When doing a queue run, queue_smtp_domains is always unset. If
5525     there is a lookup defer in queue_smtp_domains, proceed as if the domain
5526     were not in it. We don't want to hold up all SMTP deliveries! Except when
5527     doing a two-stage queue run, don't do this if forcing. */
5528
5529     if (  (!f.deliver_force || f.queue_2stage)
5530        && (  f.queue_smtp
5531           || match_isinlist(addrlist->domain,
5532               CUSS &queue_smtp_domains, 0,
5533               &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK)
5534        )
5535       {
5536       DEBUG(D_transport) debug_printf("first-pass routing only\n");
5537       expired = FALSE;
5538       for (address_item * addr = addrlist; addr; addr = addr->next)
5539         if (addr->transport_return == DEFER)
5540           addr->message = US"first-pass only routing due to -odqs, "
5541                             "queue_smtp_domains or control=queue";
5542       continue;      /* With next host */
5543       }
5544
5545     /* Count hosts being considered - purely for an intelligent comment
5546     if none are usable. */
5547
5548     hosts_total++;
5549
5550     /* Set $host and $host address now in case they are needed for the
5551     interface expansion or the serialize_hosts check; they remain set if an
5552     actual delivery happens. */
5553
5554     deliver_host = host->name;
5555     deliver_host_address = host->address;
5556     lookup_dnssec_authenticated = host->dnssec == DS_YES ? US"yes"
5557                                 : host->dnssec == DS_NO ? US"no"
5558                                 : US"";
5559
5560     /* Set up a string for adding to the retry key if the port number is not
5561     the standard SMTP port. A host may have its own port setting that overrides
5562     the default. */
5563
5564     pistring = string_sprintf(":%d", host->port == PORT_NONE
5565       ? defport : host->port);
5566     if (Ustrcmp(pistring, ":25") == 0) pistring = US"";
5567
5568     /* Select IPv4 or IPv6, and choose an outgoing interface. If the interface
5569     string is set, even if constant (as different transports can have different
5570     constant settings), we must add it to the key that is used for retries,
5571     because connections to the same host from a different interface should be
5572     treated separately. */
5573
5574     host_af = Ustrchr(host->address, ':') ? AF_INET6 : AF_INET;
5575       {
5576       uschar * s;
5577       GET_OPTION("interface");
5578       if ((s = ob->interface) && *s)
5579         {
5580         if (!smtp_get_interface(s, host_af, addrlist, &interface, tid))
5581           return FALSE;
5582         pistring = string_sprintf("%s/%s", pistring, interface);
5583         }
5584       }
5585
5586     /* The first time round the outer loop, check the status of the host by
5587     inspecting the retry data. The second time round, we are interested only
5588     in expired hosts that haven't been tried since this message arrived. */
5589
5590     if (cutoff_retry == 0)
5591       {
5592       BOOL incl_ip;
5593       /* Ensure the status of the address is set by checking retry data if
5594       necessary. There may be host-specific retry data (applicable to all
5595       messages) and also data for retries of a specific message at this host.
5596       If either of these retry records are actually read, the keys used are
5597       returned to save recomputing them later. */
5598
5599       if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5600                 US"retry_include_ip_address", ob->retry_include_ip_address,
5601                 ob->expand_retry_include_ip_address, &incl_ip) != OK)
5602         continue;       /* with next host */
5603
5604       host_is_expired = retry_check_address(addrlist->domain, host, pistring,
5605         incl_ip, &retry_host_key, &retry_message_key);
5606
5607       DEBUG(D_transport) debug_printf("%s [%s]%s retry-status = %s\n", host->name,
5608         host->address ? host->address : US"", pistring,
5609         host->status == hstatus_usable ? "usable"
5610         : host->status == hstatus_unusable ? "unusable"
5611         : host->status == hstatus_unusable_expired ? "unusable (expired)" : "?");
5612
5613       /* Skip this address if not usable at this time, noting if it wasn't
5614       actually expired, both locally and in the address. */
5615
5616       switch (host->status)
5617         {
5618         case hstatus_unusable:
5619           expired = FALSE;
5620           setflag(addrlist, af_retry_skipped);
5621           /* Fall through */
5622
5623         case hstatus_unusable_expired:
5624           switch (host->why)
5625             {
5626             case hwhy_retry: hosts_retry++; break;
5627             case hwhy_failed:  hosts_fail++; break;
5628             case hwhy_insecure:
5629             case hwhy_deferred: hosts_defer++; break;
5630             }
5631
5632           /* If there was a retry message key, implying that previously there
5633           was a message-specific defer, we don't want to update the list of
5634           messages waiting for these hosts. */
5635
5636           if (retry_message_key) update_waiting = FALSE;
5637           continue;   /* With the next host or IP address */
5638         }
5639       }
5640
5641     /* Second time round the loop: if the address is set but expired, and
5642     the message is newer than the last try, let it through. */
5643
5644     else
5645       {
5646       if (  !host->address
5647          || host->status != hstatus_unusable_expired
5648          || host->last_try > received_time.tv_sec)
5649         continue;
5650       DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
5651           host->name, host->address, pistring);
5652       host_is_expired = TRUE;
5653       }
5654
5655     /* Setting "expired=FALSE" doesn't actually mean not all hosts are expired;
5656     it remains TRUE only if all hosts are expired and none are actually tried.
5657     */
5658
5659     expired = FALSE;
5660
5661     /* If this host is listed as one to which access must be serialized,
5662     see if another Exim process has a connection to it, and if so, skip
5663     this host. If not, update the database to record our connection to it
5664     and remember this for later deletion. Do not do any of this if we are
5665     sending the message down a pre-existing connection. */
5666
5667     if (  !continue_hostname
5668        && verify_check_given_host(CUSS &ob->serialize_hosts, host) == OK)
5669       {
5670       serialize_key = string_sprintf("host-serialize-%s", host->name);
5671       if (!enq_start(serialize_key, 1))
5672         {
5673         DEBUG(D_transport)
5674           debug_printf("skipping host %s because another Exim process "
5675             "is connected to it\n", host->name);
5676         hosts_serial++;
5677         continue;
5678         }
5679       }
5680
5681     /* OK, we have an IP address that is not waiting for its retry time to
5682     arrive (it might be expired) OR (second time round the loop) we have an
5683     expired host that hasn't been tried since the message arrived. Have a go
5684     at delivering the message to it. First prepare the addresses by flushing
5685     out the result of previous attempts, and finding the first address that
5686     is still to be delivered. */
5687
5688     if (!(first_addr = prepare_addresses(addrlist, host)))
5689       {
5690       /* Obscure situation; at least one case (bug 3059, fixed) where
5691       a previous host try returned DEFER, but having moved all
5692       recipients away from DEFER (the waiting-to-be-done state). */
5693       DEBUG(D_transport) debug_printf("no pending recipients\n");
5694       goto END_TRANSPORT;
5695       }
5696
5697     DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
5698       message_id, host->name, host->address, addrlist->address,
5699       addrlist->next ? ", ..." : "");
5700
5701     set_process_info("delivering %s to %s [%s]%s (%s%s)",
5702       message_id, host->name, host->address, pistring, addrlist->address,
5703       addrlist->next ? ", ..." : "");
5704
5705     /* This is not for real; don't do the delivery. If there are
5706     any remaining hosts, list them. */
5707
5708     if (f.dont_deliver)
5709       {
5710       struct timeval now;
5711       gettimeofday(&now, NULL);
5712       set_errno_nohost(addrlist, 0, NULL, OK, FALSE, &now);
5713       for (address_item * addr = addrlist; addr; addr = addr->next)
5714         {
5715         addr->host_used = host;
5716         addr->special_action = '*';
5717         addr->message = US"delivery bypassed by -N option";
5718         }
5719       DEBUG(D_transport)
5720         {
5721         debug_printf("*** delivery by %s transport bypassed by -N option\n"
5722                      "*** host and remaining hosts:\n", tblock->name);
5723         for (host_item * host2 = host; host2; host2 = host2->next)
5724           debug_printf("    %s [%s]\n", host2->name,
5725             host2->address ? host2->address : US"unset");
5726         }
5727       rc = OK;
5728       }
5729
5730     /* This is for real. If the host is expired, we don't count it for
5731     hosts_max_retry. This ensures that all hosts must expire before an address
5732     is timed out, unless hosts_max_try_hardlimit (which protects against
5733     lunatic DNS configurations) is reached.
5734
5735     If the host is not expired and we are about to hit the hosts_max_retry
5736     limit, check to see if there is a subsequent hosts with a different MX
5737     value. If so, make that the next host, and don't count this one. This is a
5738     heuristic to make sure that different MXs do get tried. With a normal kind
5739     of retry rule, they would get tried anyway when the earlier hosts were
5740     delayed, but if the domain has a "retry every time" type of rule - as is
5741     often used for the the very large ISPs, that won't happen. */
5742
5743     else
5744       {
5745       host_item * thost;
5746       /* Make a copy of the host if it is local to this invocation
5747       of the transport. */
5748
5749       if (expanded_hosts)
5750         {
5751         thost = store_get(sizeof(host_item), GET_UNTAINTED);
5752         *thost = *host;
5753         thost->name = string_copy(host->name);
5754         thost->address = string_copy(host->address);
5755         }
5756       else
5757         thost = host;
5758
5759       if (!host_is_expired && ++unexpired_hosts_tried >= ob->hosts_max_try)
5760         {
5761         DEBUG(D_transport)
5762           debug_printf("hosts_max_try limit reached with this host\n");
5763         for (host_item * h = host; h; h = h->next) if (h->mx != host->mx)
5764           {
5765           nexthost = h;
5766           unexpired_hosts_tried--;
5767           DEBUG(D_transport) debug_printf("however, a higher MX host exists "
5768             "and will be tried\n");
5769           break;
5770           }
5771         }
5772
5773       /* Attempt the delivery. */
5774
5775       total_hosts_tried++;
5776       rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5777         &message_defer, FALSE);
5778
5779       /* Yield is one of:
5780          OK     => connection made, each address contains its result;
5781                      message_defer is set for message-specific defers (when all
5782                      recipients are marked defer)
5783          DEFER  => there was a non-message-specific delivery problem;
5784          ERROR  => there was a problem setting up the arguments for a filter,
5785                    or there was a problem with expanding added headers
5786       */
5787
5788       /* If the result is not OK, there was a non-message-specific problem.
5789       If the result is DEFER, we need to write to the logs saying what happened
5790       for this particular host, except in the case of authentication and TLS
5791       failures, where the log has already been written. If all hosts defer a
5792       general message is written at the end. */
5793
5794       if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
5795                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
5796         write_logs(host, first_addr->message, first_addr->basic_errno);
5797
5798 #ifndef DISABLE_EVENT
5799       if (rc == DEFER)
5800         deferred_event_raise(first_addr, host, US"msg:host:defer");
5801 #endif
5802
5803       /* If STARTTLS was accepted, but there was a failure in setting up the
5804       TLS session (usually a certificate screwup), and the host is not in
5805       hosts_require_tls, and tls_tempfail_tryclear is true, try again, with
5806       TLS forcibly turned off. We have to start from scratch with a new SMTP
5807       connection. That's why the retry is done from here, not from within
5808       smtp_deliver(). [Rejections of STARTTLS itself don't screw up the
5809       session, so the in-clear transmission after those errors, if permitted,
5810       happens inside smtp_deliver().] */
5811
5812 #ifndef DISABLE_TLS
5813       if (  rc == DEFER
5814          && first_addr->basic_errno == ERRNO_TLSFAILURE
5815          && ob->tls_tempfail_tryclear
5816          && verify_check_given_host(CUSS &ob->hosts_require_tls, host) != OK
5817          )
5818         {
5819         log_write(0, LOG_MAIN,
5820           "%s: delivering unencrypted to H=%s [%s] (not in hosts_require_tls)",
5821           first_addr->message, host->name, host->address);
5822         first_addr = prepare_addresses(addrlist, host);
5823         rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5824           &message_defer, TRUE);
5825         if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
5826           write_logs(host, first_addr->message, first_addr->basic_errno);
5827 # ifndef DISABLE_EVENT
5828         if (rc == DEFER)
5829           deferred_event_raise(first_addr, host, US"msg:host:defer");
5830 # endif
5831         }
5832 #endif  /*DISABLE_TLS*/
5833
5834 #ifndef DISABLE_EVENT
5835       /* If the last host gave a defer raise a per-message event */
5836
5837       if (  !(  nexthost
5838              && unexpired_hosts_tried < ob->hosts_max_try
5839              && total_hosts_tried < ob->hosts_max_try_hardlimit
5840              )
5841          && (message_defer || rc == DEFER)
5842          )
5843         deferred_event_raise(first_addr, host, US"msg:defer");
5844 #endif
5845       }
5846
5847     /* Delivery attempt finished */
5848
5849     set_process_info("delivering %s: just tried %s [%s]%s for %s%s: result %s",
5850       message_id, host->name, host->address, pistring, addrlist->address,
5851       addrlist->next ? " (& others)" : "", rc_to_string(rc));
5852
5853     /* Release serialization if set up */
5854
5855     if (serialize_key) enq_end(serialize_key);
5856
5857     /* If the result is DEFER, or if a host retry record is known to exist, we
5858     need to add an item to the retry chain for updating the retry database
5859     at the end of delivery. We only need to add the item to the top address,
5860     of course. Also, if DEFER, we mark the IP address unusable so as to skip it
5861     for any other delivery attempts using the same address. (It is copied into
5862     the unusable tree at the outer level, so even if different address blocks
5863     contain the same address, it still won't get tried again.) */
5864
5865     if (rc == DEFER || retry_host_key)
5866       {
5867       int delete_flag = rc != DEFER ? rf_delete : 0;
5868       if (!retry_host_key)
5869         {
5870         BOOL incl_ip;
5871         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5872                   US"retry_include_ip_address", ob->retry_include_ip_address,
5873                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5874           incl_ip = TRUE;       /* error; use most-specific retry record */
5875
5876         retry_host_key = incl_ip
5877           ? string_sprintf("T:%S:%s%s", host->name, host->address, pistring)
5878           : string_sprintf("T:%S%s", host->name, pistring);
5879         }
5880
5881       /* If a delivery of another message over an existing SMTP connection
5882       yields DEFER, we do NOT set up retry data for the host. This covers the
5883       case when there are delays in routing the addresses in the second message
5884       that are so long that the server times out. This is alleviated by not
5885       routing addresses that previously had routing defers when handling an
5886       existing connection, but even so, this case may occur (e.g. if a
5887       previously happily routed address starts giving routing defers). If the
5888       host is genuinely down, another non-continued message delivery will
5889       notice it soon enough. */
5890
5891       if (delete_flag != 0 || !continue_hostname)
5892         retry_add_item(first_addr, retry_host_key, rf_host | delete_flag);
5893
5894       /* We may have tried an expired host, if its retry time has come; ensure
5895       the status reflects the expiry for the benefit of any other addresses. */
5896
5897       if (rc == DEFER)
5898         {
5899         host->status = host_is_expired
5900           ? hstatus_unusable_expired : hstatus_unusable;
5901         host->why = hwhy_deferred;
5902         }
5903       }
5904
5905     /* If message_defer is set (host was OK, but every recipient got deferred
5906     because of some message-specific problem), or if that had happened
5907     previously so that a message retry key exists, add an appropriate item
5908     to the retry chain. Note that if there was a message defer but now there is
5909     a host defer, the message defer record gets deleted. That seems perfectly
5910     reasonable. Also, stop the message from being remembered as waiting
5911     for specific hosts. */
5912
5913     if (message_defer || retry_message_key)
5914       {
5915       int delete_flag = message_defer ? 0 : rf_delete;
5916       if (!retry_message_key)
5917         {
5918         BOOL incl_ip;
5919         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5920                   US"retry_include_ip_address", ob->retry_include_ip_address,
5921                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5922           incl_ip = TRUE;       /* error; use most-specific retry record */
5923
5924         retry_message_key = incl_ip
5925           ? string_sprintf("T:%S:%s%s:%s", host->name, host->address, pistring,
5926               message_id)
5927           : string_sprintf("T:%S%s:%s", host->name, pistring, message_id);
5928         }
5929       retry_add_item(addrlist, retry_message_key,
5930         rf_message | rf_host | delete_flag);
5931       update_waiting = FALSE;
5932       }
5933
5934     /* Any return other than DEFER (that is, OK or ERROR) means that the
5935     addresses have got their final statuses filled in for this host. In the OK
5936     case, see if any of them are deferred. */
5937
5938     if (rc == OK)
5939       for (address_item * addr = addrlist; addr; addr = addr->next)
5940         if (addr->transport_return == DEFER)
5941           { some_deferred = TRUE; break; }
5942
5943     /* If no addresses deferred or the result was ERROR, return. We do this for
5944     ERROR because a failing filter set-up or add_headers expansion is likely to
5945     fail for any host we try. */
5946
5947     if (rc == ERROR || (rc == OK && !some_deferred))
5948       goto END_TRANSPORT;
5949
5950     /* If the result was DEFER or some individual addresses deferred, let
5951     the loop run to try other hosts with the deferred addresses, except for the
5952     case when we were trying to deliver down an existing channel and failed.
5953     Don't try any other hosts in this case. */
5954
5955     if (continue_hostname) break;
5956
5957     /* If the whole delivery, or some individual addresses, were deferred and
5958     there are more hosts that could be tried, do not count this host towards
5959     the hosts_max_try limit if the age of the message is greater than the
5960     maximum retry time for this host. This means we may try try all hosts,
5961     ignoring the limit, when messages have been around for some time. This is
5962     important because if we don't try all hosts, the address will never time
5963     out. NOTE: this does not apply to hosts_max_try_hardlimit. */
5964
5965     if ((rc == DEFER || some_deferred) && nexthost)
5966       {
5967       BOOL timedout;
5968       retry_config * retry = retry_find_config(host->name, NULL, 0, 0);
5969
5970       if (retry && retry->rules)
5971         {
5972         retry_rule *last_rule;
5973         for (last_rule = retry->rules;
5974              last_rule->next;
5975              last_rule = last_rule->next);
5976         timedout = time(NULL) - received_time.tv_sec > last_rule->timeout;
5977         }
5978       else timedout = TRUE;    /* No rule => timed out */
5979
5980       if (timedout)
5981         {
5982         unexpired_hosts_tried--;
5983         DEBUG(D_transport) debug_printf("temporary delivery error(s) override "
5984           "hosts_max_try (message older than host's retry time)\n");
5985         }
5986       }
5987
5988     DEBUG(D_transport)
5989       {
5990       if (unexpired_hosts_tried >= ob->hosts_max_try)
5991         debug_printf("reached transport hosts_max_try limit %d\n",
5992           ob->hosts_max_try);
5993       if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5994         debug_printf("reached transport hosts_max_try_hardlimit limit %d\n",
5995           ob->hosts_max_try_hardlimit);
5996       }
5997
5998     testharness_pause_ms(500); /* let server debug out */
5999     }   /* End of loop for trying multiple hosts. */
6000
6001   /* If we failed to find a matching host in the list, for an already-open
6002   connection, just close it and start over with the list.  This can happen
6003   for routing that changes from run to run, or big multi-IP sites with
6004   round-robin DNS. */
6005
6006   if (continue_hostname && !continue_host_tried)
6007     {
6008     int fd = cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0;
6009
6010     DEBUG(D_transport) debug_printf("no hosts match already-open connection\n");
6011 #ifndef DISABLE_TLS
6012     /* A TLS conn could be open for a cutthrough, but not for a plain continued-
6013     transport */
6014 /*XXX doublecheck that! */
6015
6016     if (cutthrough.cctx.sock >= 0 && cutthrough.is_tls)
6017       {
6018       (void) tls_write(cutthrough.cctx.tls_ctx, US"QUIT\r\n", 6, FALSE);
6019       tls_close(cutthrough.cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
6020       cutthrough.cctx.tls_ctx = NULL;
6021       cutthrough.is_tls = FALSE;
6022       }
6023     else
6024 #else
6025       (void) write(fd, US"QUIT\r\n", 6);
6026 #endif
6027     (void) close(fd);
6028     cutthrough.cctx.sock = -1;
6029     continue_hostname = NULL;
6030     goto retry_non_continued;
6031     }
6032
6033   /* This is the end of the loop that repeats iff expired is TRUE and
6034   ob->delay_after_cutoff is FALSE. The second time round we will
6035   try those hosts that haven't been tried since the message arrived. */
6036
6037   DEBUG(D_transport)
6038     {
6039     debug_printf("all IP addresses skipped or deferred at least one address\n");
6040     if (expired && !ob->delay_after_cutoff && cutoff_retry == 0)
6041       debug_printf("retrying IP addresses not tried since message arrived\n");
6042     }
6043   }
6044
6045
6046 /* Get here if all IP addresses are skipped or defer at least one address. In
6047 MUA wrapper mode, this will happen only for connection or other non-message-
6048 specific failures. Force the delivery status for all addresses to FAIL. */
6049
6050 if (mua_wrapper)
6051   {
6052   for (address_item * addr = addrlist; addr; addr = addr->next)
6053     addr->transport_return = FAIL;
6054   goto END_TRANSPORT;
6055   }
6056
6057 /* In the normal, non-wrapper case, add a standard message to each deferred
6058 address if there hasn't been an error, that is, if it hasn't actually been
6059 tried this time. The variable "expired" will be FALSE if any deliveries were
6060 actually tried, or if there was at least one host that was not expired. That
6061 is, it is TRUE only if no deliveries were tried and all hosts were expired. If
6062 a delivery has been tried, an error code will be set, and the failing of the
6063 message is handled by the retry code later.
6064
6065 If queue_smtp is set, or this transport was called to send a subsequent message
6066 down an existing TCP/IP connection, and something caused the host not to be
6067 found, we end up here, but can detect these cases and handle them specially. */
6068
6069 for (address_item * addr = addrlist; addr; addr = addr->next)
6070   {
6071   /* If host is not NULL, it means that we stopped processing the host list
6072   because of hosts_max_try or hosts_max_try_hardlimit. In the former case, this
6073   means we need to behave as if some hosts were skipped because their retry
6074   time had not come. Specifically, this prevents the address from timing out.
6075   However, if we have hit hosts_max_try_hardlimit, we want to behave as if all
6076   hosts were tried. */
6077
6078   if (host)
6079     if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
6080       {
6081       DEBUG(D_transport)
6082         debug_printf("hosts_max_try_hardlimit reached: behave as if all "
6083           "hosts were tried\n");
6084       }
6085     else
6086       {
6087       DEBUG(D_transport)
6088         debug_printf("hosts_max_try limit caused some hosts to be skipped\n");
6089       setflag(addr, af_retry_skipped);
6090       }
6091
6092   if (f.queue_smtp)    /* no deliveries attempted */
6093     {
6094     addr->transport_return = DEFER;
6095     addr->basic_errno = 0;
6096     addr->message = US"SMTP delivery explicitly queued";
6097     }
6098
6099   else if (  addr->transport_return == DEFER
6100           && (addr->basic_errno == ERRNO_UNKNOWNERROR || addr->basic_errno == 0)
6101           && !addr->message
6102           )
6103     {
6104     addr->basic_errno = ERRNO_HRETRY;
6105     if (continue_hostname)
6106       addr->message = US"no host found for existing SMTP connection";
6107     else if (expired)
6108       {
6109       setflag(addr, af_pass_message);   /* This is not a security risk */
6110       addr->message = string_sprintf(
6111         "all hosts%s have been failing for a long time %s",
6112         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"",
6113         ob->delay_after_cutoff
6114         ? US"(and retry time not reached)"
6115         : US"and were last tried after this message arrived");
6116
6117       /* If we are already using fallback hosts, or there are no fallback hosts
6118       defined, convert the result to FAIL to cause a bounce. */
6119
6120       if (addr->host_list == addr->fallback_hosts || !addr->fallback_hosts)
6121         addr->transport_return = FAIL;
6122       }
6123     else
6124       {
6125       const char * s;
6126       if (hosts_retry == hosts_total)
6127         s = "retry time not reached for any host%s";
6128       else if (hosts_fail == hosts_total)
6129         s = "all host address lookups%s failed permanently";
6130       else if (hosts_defer == hosts_total)
6131         s = "all host address lookups%s failed temporarily";
6132       else if (hosts_serial == hosts_total)
6133         s = "connection limit reached for all hosts%s";
6134       else if (hosts_fail+hosts_defer == hosts_total)
6135         s = "all host address lookups%s failed";
6136       else
6137         s = "some host address lookups failed and retry time "
6138         "not reached for other hosts or connection limit reached%s";
6139
6140       addr->message = string_sprintf(s,
6141         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"");
6142       }
6143     }
6144   }
6145
6146 /* Update the database which keeps information about which messages are waiting
6147 for which hosts to become available. For some message-specific errors, the
6148 update_waiting flag is turned off because we don't want follow-on deliveries in
6149 those cases.  If this transport instance is explicitly limited to one message
6150 per connection then follow-on deliveries are not possible and there's no need
6151 to create/update the per-transport wait-<transport_name> database. */
6152
6153 if (update_waiting && tblock->connection_max_messages != 1)
6154   transport_update_waiting(hostlist, tblock->name);
6155
6156 END_TRANSPORT:
6157
6158 DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
6159
6160 return TRUE;   /* Each address has its status */
6161 }
6162
6163 #endif  /*!MACRO_PREDEF*/
6164 /* vi: aw ai sw=2
6165 */
6166 /* End of transport/smtp.c */