08d72f213dd56938af10b6b609378f99a6ea677b
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2024 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-or-later */
9
10
11 /* Functions for handling string expansion. */
12
13
14 #include "exim.h"
15
16 #ifdef MACRO_PREDEF
17 # include "macro_predef.h"
18 #endif
19
20 typedef unsigned esi_flags;
21 #define ESI_NOFLAGS             0
22 #define ESI_BRACE_ENDS          BIT(0)  /* expansion should stop at } */
23 #define ESI_HONOR_DOLLAR        BIT(1)  /* $ is meaningfull */
24 #define ESI_SKIPPING            BIT(2)  /* value will not be needed */
25 #define ESI_EXISTS_ONLY         BIT(3)  /* actual value not needed */
26
27 #ifdef STAND_ALONE
28 # ifndef SUPPORT_CRYPTEQ
29 #  define SUPPORT_CRYPTEQ
30 # endif
31 #endif  /*!STAND_ALONE*/
32
33 #ifdef SUPPORT_CRYPTEQ
34 # ifdef CRYPT_H
35 #  include <crypt.h>
36 # endif
37 # ifndef HAVE_CRYPT16
38 extern char* crypt16(char*, char*);
39 # endif
40 #endif
41
42 /* The handling of crypt16() is a mess. I will record below the analysis of the
43 mess that was sent to me. We decided, however, to make changing this very low
44 priority, because in practice people are moving away from the crypt()
45 algorithms nowadays, so it doesn't seem worth it.
46
47 <quote>
48 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
49 the first 8 characters of the password using a 20-round version of crypt
50 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
51 or an empty block if the password is less than 9 characters, using a
52 20-round version of crypt and the same salt as was used for the first
53 block.  Characters after the first 16 are ignored.  It always generates
54 a 16-byte hash, which is expressed together with the salt as a string
55 of 24 base 64 digits.  Here are some links to peruse:
56
57         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
58         http://seclists.org/bugtraq/1999/Mar/0076.html
59
60 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
61 and OSF/1.  This is the same as the standard crypt if given a password
62 of 8 characters or less.  If given more, it first does the same as crypt
63 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
64 using as salt the first two base 64 digits from the first hash block.
65 If the password is more than 16 characters then it crypts the 17th to 24th
66 characters using as salt the first two base 64 digits from the second hash
67 block.  And so on: I've seen references to it cutting off the password at
68 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
69
70         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
71         http://seclists.org/bugtraq/1999/Mar/0109.html
72         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
73              TET1_html/sec.c222.html#no_id_208
74
75 Exim has something it calls "crypt16".  It will either use a native
76 crypt16 or its own implementation.  A native crypt16 will presumably
77 be the one that I called "crypt16" above.  The internal "crypt16"
78 function, however, is a two-block-maximum implementation of what I called
79 "bigcrypt".  The documentation matches the internal code.
80
81 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
82 that crypt16 and bigcrypt were different things.
83
84 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
85 to whatever it is using under that name.  This unfortunately sets a
86 precedent for using "{crypt16}" to identify two incompatible algorithms
87 whose output can't be distinguished.  With "{crypt16}" thus rendered
88 ambiguous, I suggest you deprecate it and invent two new identifiers
89 for the two algorithms.
90
91 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
92 of the password separately means they can be cracked separately, so
93 the double-length hash only doubles the cracking effort instead of
94 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
95 bcrypt ({CRYPT}$2a$).
96 </quote>
97 */
98
99
100
101 /*************************************************
102 *            Local statics and tables            *
103 *************************************************/
104
105 /* Table of item names, and corresponding switch numbers. The names must be in
106 alphabetical order. */
107
108 static uschar *item_table[] = {
109   US"acl",
110   US"authresults",
111   US"certextract",
112   US"dlfunc",
113   US"env",
114   US"extract",
115   US"filter",
116   US"hash",
117   US"hmac",
118   US"if",
119 #ifdef SUPPORT_I18N
120   US"imapfolder",
121 #endif
122   US"length",
123   US"listextract",
124   US"listquote",
125   US"lookup",
126   US"map",
127   US"nhash",
128   US"perl",
129   US"prvs",
130   US"prvscheck",
131   US"readfile",
132   US"readsocket",
133   US"reduce",
134   US"run",
135   US"sg",
136   US"sort",
137 #ifdef SUPPORT_SRS
138   US"srs_encode",
139 #endif
140   US"substr",
141   US"tr" };
142
143 enum {
144   EITEM_ACL,
145   EITEM_AUTHRESULTS,
146   EITEM_CERTEXTRACT,
147   EITEM_DLFUNC,
148   EITEM_ENV,
149   EITEM_EXTRACT,
150   EITEM_FILTER,
151   EITEM_HASH,
152   EITEM_HMAC,
153   EITEM_IF,
154 #ifdef SUPPORT_I18N
155   EITEM_IMAPFOLDER,
156 #endif
157   EITEM_LENGTH,
158   EITEM_LISTEXTRACT,
159   EITEM_LISTQUOTE,
160   EITEM_LOOKUP,
161   EITEM_MAP,
162   EITEM_NHASH,
163   EITEM_PERL,
164   EITEM_PRVS,
165   EITEM_PRVSCHECK,
166   EITEM_READFILE,
167   EITEM_READSOCK,
168   EITEM_REDUCE,
169   EITEM_RUN,
170   EITEM_SG,
171   EITEM_SORT,
172 #ifdef SUPPORT_SRS
173   EITEM_SRS_ENCODE,
174 #endif
175   EITEM_SUBSTR,
176   EITEM_TR };
177
178 /* Tables of operator names, and corresponding switch numbers. The names must be
179 in alphabetical order. There are two tables, because underscore is used in some
180 cases to introduce arguments, whereas for other it is part of the name. This is
181 an historical mis-design. */
182
183 static uschar * op_table_underscore[] = {
184   US"from_utf8",
185   US"local_part",
186   US"quote_local_part",
187   US"reverse_ip",
188   US"time_eval",
189   US"time_interval"
190 #ifdef SUPPORT_I18N
191  ,US"utf8_domain_from_alabel",
192   US"utf8_domain_to_alabel",
193   US"utf8_localpart_from_alabel",
194   US"utf8_localpart_to_alabel"
195 #endif
196   };
197
198 enum {
199   EOP_FROM_UTF8,
200   EOP_LOCAL_PART,
201   EOP_QUOTE_LOCAL_PART,
202   EOP_REVERSE_IP,
203   EOP_TIME_EVAL,
204   EOP_TIME_INTERVAL
205 #ifdef SUPPORT_I18N
206  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
207   EOP_UTF8_DOMAIN_TO_ALABEL,
208   EOP_UTF8_LOCALPART_FROM_ALABEL,
209   EOP_UTF8_LOCALPART_TO_ALABEL
210 #endif
211   };
212
213 static uschar *op_table_main[] = {
214   US"address",
215   US"addresses",
216   US"base32",
217   US"base32d",
218   US"base62",
219   US"base62d",
220   US"base64",
221   US"base64d",
222   US"domain",
223   US"escape",
224   US"escape8bit",
225   US"eval",
226   US"eval10",
227   US"expand",
228   US"h",
229   US"hash",
230   US"headerwrap",
231   US"hex2b64",
232   US"hexquote",
233   US"ipv6denorm",
234   US"ipv6norm",
235   US"l",
236   US"lc",
237   US"length",
238   US"listcount",
239   US"listnamed",
240   US"mask",
241   US"md5",
242   US"nh",
243   US"nhash",
244   US"quote",
245   US"randint",
246   US"rfc2047",
247   US"rfc2047d",
248   US"rxquote",
249   US"s",
250   US"sha1",
251   US"sha2",
252   US"sha256",
253   US"sha3",
254   US"stat",
255   US"str2b64",
256   US"strlen",
257   US"substr",
258   US"uc",
259   US"utf8clean",
260   US"xtextd",
261   };
262
263 enum {
264   EOP_ADDRESS =  nelem(op_table_underscore),
265   EOP_ADDRESSES,
266   EOP_BASE32,
267   EOP_BASE32D,
268   EOP_BASE62,
269   EOP_BASE62D,
270   EOP_BASE64,
271   EOP_BASE64D,
272   EOP_DOMAIN,
273   EOP_ESCAPE,
274   EOP_ESCAPE8BIT,
275   EOP_EVAL,
276   EOP_EVAL10,
277   EOP_EXPAND,
278   EOP_H,
279   EOP_HASH,
280   EOP_HEADERWRAP,
281   EOP_HEX2B64,
282   EOP_HEXQUOTE,
283   EOP_IPV6DENORM,
284   EOP_IPV6NORM,
285   EOP_L,
286   EOP_LC,
287   EOP_LENGTH,
288   EOP_LISTCOUNT,
289   EOP_LISTNAMED,
290   EOP_MASK,
291   EOP_MD5,
292   EOP_NH,
293   EOP_NHASH,
294   EOP_QUOTE,
295   EOP_RANDINT,
296   EOP_RFC2047,
297   EOP_RFC2047D,
298   EOP_RXQUOTE,
299   EOP_S,
300   EOP_SHA1,
301   EOP_SHA2,
302   EOP_SHA256,
303   EOP_SHA3,
304   EOP_STAT,
305   EOP_STR2B64,
306   EOP_STRLEN,
307   EOP_SUBSTR,
308   EOP_UC,
309   EOP_UTF8CLEAN,
310   EOP_XTEXTD,
311   };
312
313
314 /* Table of condition names, and corresponding switch numbers. The names must
315 be in alphabetical order. */
316
317 static uschar *cond_table[] = {
318   US"<",
319   US"<=",
320   US"=",
321   US"==",     /* Backward compatibility */
322   US">",
323   US">=",
324   US"acl",
325   US"and",
326   US"bool",
327   US"bool_lax",
328   US"crypteq",
329   US"def",
330   US"eq",
331   US"eqi",
332   US"exists",
333   US"first_delivery",
334   US"forall",
335   US"forall_json",
336   US"forall_jsons",
337   US"forany",
338   US"forany_json",
339   US"forany_jsons",
340   US"ge",
341   US"gei",
342   US"gt",
343   US"gti",
344 #ifdef SUPPORT_SRS
345   US"inbound_srs",
346 #endif
347   US"inlist",
348   US"inlisti",
349   US"isip",
350   US"isip4",
351   US"isip6",
352   US"ldapauth",
353   US"le",
354   US"lei",
355   US"lt",
356   US"lti",
357   US"match",
358   US"match_address",
359   US"match_domain",
360   US"match_ip",
361   US"match_local_part",
362   US"or",
363   US"pam",
364   US"pwcheck",
365   US"queue_running",
366   US"radius",
367   US"saslauthd"
368 };
369
370 enum {
371   ECOND_NUM_L,
372   ECOND_NUM_LE,
373   ECOND_NUM_E,
374   ECOND_NUM_EE,
375   ECOND_NUM_G,
376   ECOND_NUM_GE,
377   ECOND_ACL,
378   ECOND_AND,
379   ECOND_BOOL,
380   ECOND_BOOL_LAX,
381   ECOND_CRYPTEQ,
382   ECOND_DEF,
383   ECOND_STR_EQ,
384   ECOND_STR_EQI,
385   ECOND_EXISTS,
386   ECOND_FIRST_DELIVERY,
387   ECOND_FORALL,
388   ECOND_FORALL_JSON,
389   ECOND_FORALL_JSONS,
390   ECOND_FORANY,
391   ECOND_FORANY_JSON,
392   ECOND_FORANY_JSONS,
393   ECOND_STR_GE,
394   ECOND_STR_GEI,
395   ECOND_STR_GT,
396   ECOND_STR_GTI,
397 #ifdef SUPPORT_SRS
398   ECOND_INBOUND_SRS,
399 #endif
400   ECOND_INLIST,
401   ECOND_INLISTI,
402   ECOND_ISIP,
403   ECOND_ISIP4,
404   ECOND_ISIP6,
405   ECOND_LDAPAUTH,
406   ECOND_STR_LE,
407   ECOND_STR_LEI,
408   ECOND_STR_LT,
409   ECOND_STR_LTI,
410   ECOND_MATCH,
411   ECOND_MATCH_ADDRESS,
412   ECOND_MATCH_DOMAIN,
413   ECOND_MATCH_IP,
414   ECOND_MATCH_LOCAL_PART,
415   ECOND_OR,
416   ECOND_PAM,
417   ECOND_PWCHECK,
418   ECOND_QUEUE_RUNNING,
419   ECOND_RADIUS,
420   ECOND_SASLAUTHD
421 };
422
423
424 /* Types of table entry */
425
426 enum vtypes {
427   vtype_int,            /* value is address of int */
428   vtype_filter_int,     /* ditto, but recognized only when filtering */
429   vtype_ino,            /* value is address of ino_t (not always an int) */
430   vtype_uid,            /* value is address of uid_t (not always an int) */
431   vtype_gid,            /* value is address of gid_t (not always an int) */
432   vtype_bool,           /* value is address of bool */
433   vtype_stringptr,      /* value is address of pointer to string */
434   vtype_msgbody,        /* as stringptr, but read when first required */
435   vtype_msgbody_end,    /* ditto, the end of the message */
436   vtype_msgheaders,     /* the message's headers, processed */
437   vtype_msgheaders_raw, /* the message's headers, unprocessed */
438   vtype_localpart,      /* extract local part from string */
439   vtype_domain,         /* extract domain from string */
440   vtype_string_func,    /* value is string returned by given function */
441   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
442   vtype_tode,           /* value not used; generate tod in epoch format */
443   vtype_todel,          /* value not used; generate tod in epoch/usec format */
444   vtype_todf,           /* value not used; generate full tod */
445   vtype_todl,           /* value not used; generate log tod */
446   vtype_todlf,          /* value not used; generate log file datestamp tod */
447   vtype_todzone,        /* value not used; generate time zone only */
448   vtype_todzulu,        /* value not used; generate zulu tod */
449   vtype_reply,          /* value not used; get reply from headers */
450   vtype_pid,            /* value not used; result is pid */
451   vtype_host_lookup,    /* value not used; get host name */
452   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
453   vtype_pspace,         /* partition space; value is T/F for spool/log */
454   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
455   vtype_cert            /* SSL certificate */
456 #ifndef DISABLE_DKIM
457   ,vtype_dkim           /* Lookup of value in DKIM signature */
458 #endif
459 };
460
461 /* Type for main variable table */
462
463 typedef struct {
464   const char *name;
465   enum vtypes type;
466   void       *value;
467 } var_entry;
468
469 /* Type for entries pointing to address/length pairs. Not currently
470 in use. */
471
472 typedef struct {
473   uschar **address;
474   int  *length;
475 } alblock;
476
477 typedef uschar * stringptr_fn_t(void);
478 static uschar * fn_recipients(void);
479 static uschar * fn_recipients_list(void);
480 static uschar * fn_queue_size(void);
481
482 /* This table must be kept in alphabetical order. */
483
484 static var_entry var_table[] = {
485   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
486      they will be confused with user-creatable ACL variables. */
487   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
488   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
489   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
490   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
491   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
492   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
493   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
494   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
495   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
496   { "acl_narg",            vtype_int,         &acl_narg },
497   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
498   { "address_data",        vtype_stringptr,   &deliver_address_data },
499   { "address_file",        vtype_stringptr,   &address_file },
500   { "address_pipe",        vtype_stringptr,   &address_pipe },
501 #ifdef EXPERIMENTAL_ARC
502   { "arc_domains",         vtype_string_func, (void *) &fn_arc_domains },
503   { "arc_oldest_pass",     vtype_int,         &arc_oldest_pass },
504   { "arc_state",           vtype_stringptr,   &arc_state },
505   { "arc_state_reason",    vtype_stringptr,   &arc_state_reason },
506 #endif
507   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
508   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
509   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
510   { "authentication_failed",vtype_int,        &authentication_failed },
511 #ifdef WITH_CONTENT_SCAN
512   { "av_failed",           vtype_int,         &av_failed },
513 #endif
514 #ifdef EXPERIMENTAL_BRIGHTMAIL
515   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
516   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
517   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
518   { "bmi_deliver",         vtype_int,         &bmi_deliver },
519 #endif
520   { "body_linecount",      vtype_int,         &body_linecount },
521   { "body_zerocount",      vtype_int,         &body_zerocount },
522   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
523   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
524   { "caller_gid",          vtype_gid,         &real_gid },
525   { "caller_uid",          vtype_uid,         &real_uid },
526   { "callout_address",     vtype_stringptr,   &callout_address },
527   { "compile_date",        vtype_stringptr,   &version_date },
528   { "compile_number",      vtype_stringptr,   &version_cnumber },
529   { "config_dir",          vtype_stringptr,   &config_main_directory },
530   { "config_file",         vtype_stringptr,   &config_main_filename },
531   { "connection_id",       vtype_stringptr,   &connection_id },
532   { "csa_status",          vtype_stringptr,   &csa_status },
533 #ifdef EXPERIMENTAL_DCC
534   { "dcc_header",          vtype_stringptr,   &dcc_header },
535   { "dcc_result",          vtype_stringptr,   &dcc_result },
536 #endif
537 #ifndef DISABLE_DKIM
538   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
539   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
540   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
541   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
542   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
543   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
544   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
545   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
546   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
547   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
548   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
549   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
550   { "dkim_key_length",     vtype_int,         &dkim_key_length },
551   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
552   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
553   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
554   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
555   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
556   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
557   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
558   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
559 #endif
560 #ifdef SUPPORT_DMARC
561   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
562   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
563   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
564   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
565 #endif
566   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
567   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
568   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
569   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
570   { "domain",              vtype_stringptr,   &deliver_domain },
571   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
572 #ifndef DISABLE_EVENT
573   { "event_data",          vtype_stringptr,   &event_data },
574
575   /*XXX want to use generic vars for as many of these as possible*/
576   { "event_defer_errno",   vtype_int,         &event_defer_errno },
577
578   { "event_name",          vtype_stringptr,   &event_name },
579 #endif
580   { "exim_gid",            vtype_gid,         &exim_gid },
581   { "exim_path",           vtype_stringptr,   &exim_path },
582   { "exim_uid",            vtype_uid,         &exim_uid },
583   { "exim_version",        vtype_stringptr,   &version_string },
584   { "headers_added",       vtype_string_func, (void *) &fn_hdrs_added },
585   { "home",                vtype_stringptr,   &deliver_home },
586   { "host",                vtype_stringptr,   &deliver_host },
587   { "host_address",        vtype_stringptr,   &deliver_host_address },
588   { "host_data",           vtype_stringptr,   &host_data },
589   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
590   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
591   { "host_port",           vtype_int,         &deliver_host_port },
592   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
593   { "inode",               vtype_ino,         &deliver_inode },
594   { "interface_address",   vtype_stringptr,   &interface_address },
595   { "interface_port",      vtype_int,         &interface_port },
596   { "item",                vtype_stringptr,   &iterate_item },
597 #ifdef LOOKUP_LDAP
598   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
599 #endif
600   { "load_average",        vtype_load_avg,    NULL },
601   { "local_part",          vtype_stringptr,   &deliver_localpart },
602   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
603   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
604   { "local_part_prefix_v", vtype_stringptr,   &deliver_localpart_prefix_v },
605   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
606   { "local_part_suffix_v", vtype_stringptr,   &deliver_localpart_suffix_v },
607 #ifdef HAVE_LOCAL_SCAN
608   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
609 #endif
610   { "local_user_gid",      vtype_gid,         &local_user_gid },
611   { "local_user_uid",      vtype_uid,         &local_user_uid },
612   { "localhost_number",    vtype_int,         &host_number },
613   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
614   { "log_space",           vtype_pspace,      (void *)FALSE },
615   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
616   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
617 #ifdef WITH_CONTENT_SCAN
618   { "malware_name",        vtype_stringptr,   &malware_name },
619 #endif
620   { "max_received_linelength", vtype_int,     &max_received_linelength },
621   { "message_age",         vtype_int,         &message_age },
622   { "message_body",        vtype_msgbody,     &message_body },
623   { "message_body_end",    vtype_msgbody_end, &message_body_end },
624   { "message_body_size",   vtype_int,         &message_body_size },
625   { "message_exim_id",     vtype_stringptr,   &message_id },
626   { "message_headers",     vtype_msgheaders,  NULL },
627   { "message_headers_raw", vtype_msgheaders_raw, NULL },
628   { "message_id",          vtype_stringptr,   &message_id },
629   { "message_linecount",   vtype_int,         &message_linecount },
630   { "message_size",        vtype_int,         &message_size },
631 #ifdef SUPPORT_I18N
632   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
633 #endif
634 #ifdef WITH_CONTENT_SCAN
635   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
636   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
637   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
638   { "mime_charset",        vtype_stringptr,   &mime_charset },
639   { "mime_content_description", vtype_stringptr, &mime_content_description },
640   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
641   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
642   { "mime_content_size",   vtype_int,         &mime_content_size },
643   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
644   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
645   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
646   { "mime_filename",       vtype_stringptr,   &mime_filename },
647   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
648   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
649   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
650   { "mime_part_count",     vtype_int,         &mime_part_count },
651 #endif
652   { "n0",                  vtype_filter_int,  &filter_n[0] },
653   { "n1",                  vtype_filter_int,  &filter_n[1] },
654   { "n2",                  vtype_filter_int,  &filter_n[2] },
655   { "n3",                  vtype_filter_int,  &filter_n[3] },
656   { "n4",                  vtype_filter_int,  &filter_n[4] },
657   { "n5",                  vtype_filter_int,  &filter_n[5] },
658   { "n6",                  vtype_filter_int,  &filter_n[6] },
659   { "n7",                  vtype_filter_int,  &filter_n[7] },
660   { "n8",                  vtype_filter_int,  &filter_n[8] },
661   { "n9",                  vtype_filter_int,  &filter_n[9] },
662   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
663   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
664   { "originator_gid",      vtype_gid,         &originator_gid },
665   { "originator_uid",      vtype_uid,         &originator_uid },
666   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
667   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
668   { "pid",                 vtype_pid,         NULL },
669 #ifndef DISABLE_PRDR
670   { "prdr_requested",      vtype_bool,        &prdr_requested },
671 #endif
672   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
673 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
674   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
675   { "proxy_external_port", vtype_int,         &proxy_external_port },
676   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
677   { "proxy_local_port",    vtype_int,         &proxy_local_port },
678   { "proxy_session",       vtype_bool,        &proxy_session },
679 #endif
680   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
681   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
682   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
683   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
684   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
685   { "queue_name",          vtype_stringptr,   &queue_name },
686   { "queue_size",          vtype_string_func, (void *) &fn_queue_size },
687   { "rcpt_count",          vtype_int,         &rcpt_count },
688   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
689   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
690   { "received_count",      vtype_int,         &received_count },
691   { "received_for",        vtype_stringptr,   &received_for },
692   { "received_ip_address", vtype_stringptr,   &interface_address },
693   { "received_port",       vtype_int,         &interface_port },
694   { "received_protocol",   vtype_stringptr,   &received_protocol },
695   { "received_time",       vtype_int,         &received_time.tv_sec },
696   { "recipient_data",      vtype_stringptr,   &recipient_data },
697   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
698   { "recipients",          vtype_string_func, (void *) &fn_recipients },
699   { "recipients_count",    vtype_int,         &recipients_count },
700   { "recipients_list",     vtype_string_func, (void *) &fn_recipients_list },
701   { "regex_cachesize",     vtype_int,         &regex_cachesize },/* undocumented; devel observability */
702 #ifdef WITH_CONTENT_SCAN
703   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
704 #endif
705   { "reply_address",       vtype_reply,       NULL },
706   { "return_path",         vtype_stringptr,   &return_path },
707   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
708   { "router_name",         vtype_stringptr,   &router_name },
709   { "runrc",               vtype_int,         &runrc },
710   { "self_hostname",       vtype_stringptr,   &self_hostname },
711   { "sender_address",      vtype_stringptr,   &sender_address },
712   { "sender_address_data", vtype_stringptr,   &sender_address_data },
713   { "sender_address_domain", vtype_domain,    &sender_address },
714   { "sender_address_local_part", vtype_localpart, &sender_address },
715   { "sender_data",         vtype_stringptr,   &sender_data },
716   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
717   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
718   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
719   { "sender_helo_verified",vtype_string_func, (void *) &sender_helo_verified_boolstr },
720   { "sender_host_address", vtype_stringptr,   &sender_host_address },
721   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
722   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
723   { "sender_host_name",    vtype_host_lookup, NULL },
724   { "sender_host_port",    vtype_int,         &sender_host_port },
725   { "sender_ident",        vtype_stringptr,   &sender_ident },
726   { "sender_rate",         vtype_stringptr,   &sender_rate },
727   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
728   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
729   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
730   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
731   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
732   { "sending_port",        vtype_int,         &sending_port },
733   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
734   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
735   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
736   { "smtp_command_history", vtype_string_func, (void *) &smtp_cmd_hist },
737   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
738   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
739   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
740   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
741   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
742   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
743   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
744   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
745   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
746   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
747   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
748   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
749 #ifdef WITH_CONTENT_SCAN
750   { "spam_action",         vtype_stringptr,   &spam_action },
751   { "spam_bar",            vtype_stringptr,   &spam_bar },
752   { "spam_report",         vtype_stringptr,   &spam_report },
753   { "spam_score",          vtype_stringptr,   &spam_score },
754   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
755 #endif
756 #ifdef SUPPORT_SPF
757   { "spf_guess",           vtype_stringptr,   &spf_guess },
758   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
759   { "spf_received",        vtype_stringptr,   &spf_received },
760   { "spf_result",          vtype_stringptr,   &spf_result },
761   { "spf_result_guessed",  vtype_bool,        &spf_result_guessed },
762   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
763 #endif
764   { "spool_directory",     vtype_stringptr,   &spool_directory },
765   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
766   { "spool_space",         vtype_pspace,      (void *)TRUE },
767 #ifdef SUPPORT_SRS
768   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
769 #endif
770   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
771
772   /* The non-(in,out) variables are now deprecated */
773   { "tls_bits",            vtype_int,         &tls_in.bits },
774   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
775   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
776
777   { "tls_in_bits",         vtype_int,         &tls_in.bits },
778   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
779   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
780   { "tls_in_cipher_std",   vtype_stringptr,   &tls_in.cipher_stdname },
781   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
782   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
783   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
784   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
785 #ifndef DISABLE_TLS_RESUME
786   { "tls_in_resumption",   vtype_int,         &tls_in.resumption },
787 #endif
788 #ifndef DISABLE_TLS
789   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
790 #endif
791   { "tls_in_ver",          vtype_stringptr,   &tls_in.ver },
792   { "tls_out_bits",        vtype_int,         &tls_out.bits },
793   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
794   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
795   { "tls_out_cipher_std",  vtype_stringptr,   &tls_out.cipher_stdname },
796 #ifdef SUPPORT_DANE
797   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
798 #endif
799   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
800   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
801   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
802   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
803 #ifndef DISABLE_TLS_RESUME
804   { "tls_out_resumption",  vtype_int,         &tls_out.resumption },
805 #endif
806 #ifndef DISABLE_TLS
807   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
808 #endif
809 #ifdef SUPPORT_DANE
810   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
811 #endif
812   { "tls_out_ver",         vtype_stringptr,   &tls_out.ver },
813
814   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
815 #ifndef DISABLE_TLS
816   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
817 #endif
818
819   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
820   { "tod_epoch",           vtype_tode,        NULL },
821   { "tod_epoch_l",         vtype_todel,       NULL },
822   { "tod_full",            vtype_todf,        NULL },
823   { "tod_log",             vtype_todl,        NULL },
824   { "tod_logfile",         vtype_todlf,       NULL },
825   { "tod_zone",            vtype_todzone,     NULL },
826   { "tod_zulu",            vtype_todzulu,     NULL },
827   { "transport_name",      vtype_stringptr,   &transport_name },
828   { "value",               vtype_stringptr,   &lookup_value },
829   { "verify_mode",         vtype_stringptr,   &verify_mode },
830   { "version_number",      vtype_stringptr,   &version_string },
831   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
832   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
833   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
834   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
835   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
836   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
837 };
838
839 #ifdef MACRO_PREDEF
840
841 /* dummies */
842 uschar * fn_arc_domains(void) {return NULL;}
843 uschar * fn_hdrs_added(void) {return NULL;}
844 uschar * fn_queue_size(void) {return NULL;}
845 uschar * fn_recipients(void) {return NULL;}
846 uschar * fn_recipients_list(void) {return NULL;}
847 uschar * sender_helo_verified_boolstr(void) {return NULL;}
848 uschar * smtp_cmd_hist(void) {return NULL;}
849
850
851
852 static void
853 expansion_items(void)
854 {
855 uschar buf[64];
856 for (int i = 0; i < nelem(item_table); i++)
857   {
858   spf(buf, sizeof(buf), CUS"_EXP_ITEM_%T", item_table[i]);
859   builtin_macro_create(buf);
860   }
861 }
862 static void
863 expansion_operators(void)
864 {
865 uschar buf[64];
866 for (int i = 0; i < nelem(op_table_underscore); i++)
867   {
868   spf(buf, sizeof(buf), CUS"_EXP_OP_%T", op_table_underscore[i]);
869   builtin_macro_create(buf);
870   }
871 for (int i = 0; i < nelem(op_table_main); i++)
872   {
873   spf(buf, sizeof(buf), CUS"_EXP_OP_%T", op_table_main[i]);
874   builtin_macro_create(buf);
875   }
876 }
877 static void
878 expansion_conditions(void)
879 {
880 uschar buf[64];
881 for (int i = 0; i < nelem(cond_table); i++)
882   {
883   spf(buf, sizeof(buf), CUS"_EXP_COND_%T", cond_table[i]);
884   builtin_macro_create(buf);
885   }
886 }
887 static void
888 expansion_variables(void)
889 {
890 uschar buf[64];
891 for (int i = 0; i < nelem(var_table); i++)
892   {
893   spf(buf, sizeof(buf), CUS"_EXP_VAR_%T", var_table[i].name);
894   builtin_macro_create(buf);
895   }
896 }
897
898 void
899 expansions(void)
900 {
901 expansion_items();
902 expansion_operators();
903 expansion_conditions();
904 expansion_variables();
905 }
906
907 #else   /*!MACRO_PREDEF*/
908
909 static uschar var_buffer[256];
910 static BOOL malformed_header;
911
912 /* For textual hashes */
913
914 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
915                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
916                                "0123456789";
917
918 enum { HMAC_MD5, HMAC_SHA1 };
919
920 /* For numeric hashes */
921
922 static unsigned int prime[] = {
923   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
924  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
925  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
926
927 /* For printing modes in symbolic form */
928
929 static uschar *mtable_normal[] =
930   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
931
932 static uschar *mtable_setid[] =
933   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
934
935 static uschar *mtable_sticky[] =
936   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
937
938 /* flags for find_header() */
939 #define FH_EXISTS_ONLY  BIT(0)
940 #define FH_WANT_RAW     BIT(1)
941 #define FH_WANT_LIST    BIT(2)
942
943 /* Recursively called function */
944 static uschar *expand_string_internal(const uschar *, esi_flags, const uschar **, BOOL *, BOOL *);
945 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
946
947
948 /*************************************************
949 *           Tables for UTF-8 support             *
950 *************************************************/
951
952 /* Table of the number of extra characters, indexed by the first character
953 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
954 0x3d. */
955
956 static uschar utf8_table1[] = {
957   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
958   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
959   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
960   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
961
962 /* These are the masks for the data bits in the first byte of a character,
963 indexed by the number of additional bytes. */
964
965 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
966
967 /* Get the next UTF-8 character, advancing the pointer. */
968
969 #define GETUTF8INC(c, ptr) \
970   c = *ptr++; \
971   if ((c & 0xc0) == 0xc0) \
972     { \
973     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
974     int s = 6*a; \
975     c = (c & utf8_table2[a]) << s; \
976     while (a-- > 0) \
977       { \
978       s -= 6; \
979       c |= (*ptr++ & 0x3f) << s; \
980       } \
981     }
982
983
984
985 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
986
987 /*************************************************
988 *           Binary chop search on a table        *
989 *************************************************/
990
991 /* This is used for matching expansion items and operators.
992
993 Arguments:
994   name        the name that is being sought
995   table       the table to search
996   table_size  the number of items in the table
997
998 Returns:      the offset in the table, or -1
999 */
1000
1001 static int
1002 chop_match(uschar *name, uschar **table, int table_size)
1003 {
1004 uschar **bot = table;
1005 uschar **top = table + table_size;
1006
1007 while (top > bot)
1008   {
1009   uschar **mid = bot + (top - bot)/2;
1010   int c = Ustrcmp(name, *mid);
1011   if (c == 0) return mid - table;
1012   if (c > 0) bot = mid + 1; else top = mid;
1013   }
1014
1015 return -1;
1016 }
1017
1018
1019
1020 /*************************************************
1021 *          Check a condition string              *
1022 *************************************************/
1023
1024 /* This function is called to expand a string, and test the result for a "true"
1025 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
1026 forced fail or lookup defer.
1027
1028 We used to release all store used, but this is not not safe due
1029 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
1030 is reasonably careful to release what it can.
1031
1032 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
1033
1034 Arguments:
1035   condition     the condition string
1036   m1            text to be incorporated in panic error
1037   m2            ditto
1038
1039 Returns:        TRUE if condition is met, FALSE if not
1040 */
1041
1042 BOOL
1043 expand_check_condition(const uschar * condition,
1044   const uschar * m1, const uschar * m2)
1045 {
1046 const uschar * ss = expand_cstring(condition);
1047 if (!ss)
1048   {
1049   if (!f.expand_string_forcedfail && !f.search_find_defer)
1050     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
1051       "for %s %s: %s", condition, m1, m2, expand_string_message);
1052   return FALSE;
1053   }
1054 return *ss && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
1055   strcmpic(ss, US"false") != 0;
1056 }
1057
1058
1059
1060
1061 /*************************************************
1062 *        Pseudo-random number generation         *
1063 *************************************************/
1064
1065 /* Pseudo-random number generation.  The result is not "expected" to be
1066 cryptographically strong but not so weak that someone will shoot themselves
1067 in the foot using it as a nonce in some email header scheme or whatever
1068 weirdness they'll twist this into.  The result should ideally handle fork().
1069
1070 However, if we're stuck unable to provide this, then we'll fall back to
1071 appallingly bad randomness.
1072
1073 If DISABLE_TLS is not defined then this will not be used except as an emergency
1074 fallback.
1075
1076 Arguments:
1077   max       range maximum
1078 Returns     a random number in range [0, max-1]
1079 */
1080
1081 #ifndef DISABLE_TLS
1082 # define vaguely_random_number vaguely_random_number_fallback
1083 #endif
1084 int
1085 vaguely_random_number(int max)
1086 {
1087 #ifndef DISABLE_TLS
1088 # undef vaguely_random_number
1089 #endif
1090 static pid_t pid = 0;
1091 pid_t p2;
1092
1093 if ((p2 = getpid()) != pid)
1094   {
1095   if (pid != 0)
1096     {
1097
1098 #ifdef HAVE_ARC4RANDOM
1099     /* cryptographically strong randomness, common on *BSD platforms, not
1100     so much elsewhere.  Alas. */
1101 # ifndef NOT_HAVE_ARC4RANDOM_STIR
1102     arc4random_stir();
1103 # endif
1104 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1105 # ifdef HAVE_SRANDOMDEV
1106     /* uses random(4) for seeding */
1107     srandomdev();
1108 # else
1109     {
1110     struct timeval tv;
1111     gettimeofday(&tv, NULL);
1112     srandom(tv.tv_sec | tv.tv_usec | getpid());
1113     }
1114 # endif
1115 #else
1116     /* Poor randomness and no seeding here */
1117 #endif
1118
1119     }
1120   pid = p2;
1121   }
1122
1123 #ifdef HAVE_ARC4RANDOM
1124 return arc4random() % max;
1125 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1126 return random() % max;
1127 #else
1128 /* This one returns a 16-bit number, definitely not crypto-strong */
1129 return random_number(max);
1130 #endif
1131 }
1132
1133
1134
1135
1136 /*************************************************
1137 *             Pick out a name from a string      *
1138 *************************************************/
1139
1140 /* If the name is too long, it is silently truncated.
1141
1142 Arguments:
1143   name      points to a buffer into which to put the name
1144   max       is the length of the buffer
1145   s         points to the first alphabetic character of the name
1146   extras    chars other than alphanumerics to permit
1147
1148 Returns:    pointer to the first character after the name
1149
1150 Note: The test for *s != 0 in the while loop is necessary because
1151 Ustrchr() yields non-NULL if the character is zero (which is not something
1152 I expected). */
1153
1154 static const uschar *
1155 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1156 {
1157 int ptr = 0;
1158 while (*s && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1159   {
1160   if (ptr < max-1) name[ptr++] = *s;
1161   s++;
1162   }
1163 name[ptr] = 0;
1164 return s;
1165 }
1166
1167
1168
1169 /*************************************************
1170 *     Pick out the rest of a header name         *
1171 *************************************************/
1172
1173 /* A variable name starting $header_ (or just $h_ for those who like
1174 abbreviations) might not be the complete header name because headers can
1175 contain any printing characters in their names, except ':'. This function is
1176 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1177 on the end, if the name was terminated by white space.
1178
1179 Arguments:
1180   name      points to a buffer in which the name read so far exists
1181   max       is the length of the buffer
1182   s         points to the first character after the name so far, i.e. the
1183             first non-alphameric character after $header_xxxxx
1184
1185 Returns:    a pointer to the first character after the header name
1186 */
1187
1188 static const uschar *
1189 read_header_name(uschar *name, int max, const uschar *s)
1190 {
1191 int prelen = Ustrchr(name, '_') - name + 1;
1192 int ptr = Ustrlen(name) - prelen;
1193 if (ptr > 0) memmove(name, name+prelen, ptr);
1194 while (mac_isgraph(*s) && *s != ':')
1195   {
1196   if (ptr < max-1) name[ptr++] = *s;
1197   s++;
1198   }
1199 if (*s == ':') s++;
1200 name[ptr++] = ':';
1201 name[ptr] = 0;
1202 return s;
1203 }
1204
1205
1206
1207 /*************************************************
1208 *           Pick out a number from a string      *
1209 *************************************************/
1210
1211 /* Arguments:
1212   n     points to an integer into which to put the number
1213   s     points to the first digit of the number
1214
1215 Returns:  a pointer to the character after the last digit
1216 */
1217 /*XXX consider expanding to int_eximarith_t.  But the test for
1218 "overbig numbers" in 0002 still needs to overflow it. */
1219
1220 static uschar *
1221 read_number(int *n, uschar *s)
1222 {
1223 *n = 0;
1224 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1225 return s;
1226 }
1227
1228 static const uschar *
1229 read_cnumber(int *n, const uschar *s)
1230 {
1231 *n = 0;
1232 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1233 return s;
1234 }
1235
1236
1237
1238 /*************************************************
1239 *        Extract keyed subfield from a string    *
1240 *************************************************/
1241
1242 /* The yield is in dynamic store; NULL means that the key was not found.
1243
1244 Arguments:
1245   key       points to the name of the key
1246   s         points to the string from which to extract the subfield
1247
1248 Returns:    NULL if the subfield was not found, or
1249             a pointer to the subfield's data
1250 */
1251
1252 uschar *
1253 expand_getkeyed(const uschar * key, const uschar * s)
1254 {
1255 int length = Ustrlen(key);
1256 Uskip_whitespace(&s);
1257
1258 /* Loop to search for the key */
1259
1260 while (*s)
1261   {
1262   int dkeylength;
1263   uschar * data;
1264   const uschar * dkey = s;
1265
1266   while (*s && *s != '=' && !isspace(*s)) s++;
1267   dkeylength = s - dkey;
1268   if (Uskip_whitespace(&s) == '=')
1269     while (isspace(*++s)) ;
1270
1271   data = string_dequote(&s);
1272   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1273     return data;
1274
1275   Uskip_whitespace(&s);
1276   }
1277
1278 return NULL;
1279 }
1280
1281
1282
1283 static var_entry *
1284 find_var_ent(uschar * name)
1285 {
1286 int first = 0;
1287 int last = nelem(var_table);
1288
1289 while (last > first)
1290   {
1291   int middle = (first + last)/2;
1292   int c = Ustrcmp(name, var_table[middle].name);
1293
1294   if (c > 0) { first = middle + 1; continue; }
1295   if (c < 0) { last = middle; continue; }
1296   return &var_table[middle];
1297   }
1298 return NULL;
1299 }
1300
1301 /*************************************************
1302 *   Extract numbered subfield from string        *
1303 *************************************************/
1304
1305 /* Extracts a numbered field from a string that is divided by tokens - for
1306 example a line from /etc/passwd is divided by colon characters.  First field is
1307 numbered one.  Negative arguments count from the right. Zero returns the whole
1308 string. Returns NULL if there are insufficient tokens in the string
1309
1310 ***WARNING***
1311 Modifies final argument - this is a dynamically generated string, so that's OK.
1312
1313 Arguments:
1314   field       number of field to be extracted,
1315                 first field = 1, whole string = 0, last field = -1
1316   separators  characters that are used to break string into tokens
1317   s           points to the string from which to extract the subfield
1318
1319 Returns:      NULL if the field was not found,
1320               a pointer to the field's data inside s (modified to add 0)
1321 */
1322
1323 static uschar *
1324 expand_gettokened (int field, uschar *separators, uschar *s)
1325 {
1326 int sep = 1;
1327 int count;
1328 uschar *ss = s;
1329 uschar *fieldtext = NULL;
1330
1331 if (field == 0) return s;
1332
1333 /* Break the line up into fields in place; for field > 0 we stop when we have
1334 done the number of fields we want. For field < 0 we continue till the end of
1335 the string, counting the number of fields. */
1336
1337 count = (field > 0)? field : INT_MAX;
1338
1339 while (count-- > 0)
1340   {
1341   size_t len;
1342
1343   /* Previous field was the last one in the string. For a positive field
1344   number, this means there are not enough fields. For a negative field number,
1345   check that there are enough, and scan back to find the one that is wanted. */
1346
1347   if (sep == 0)
1348     {
1349     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1350     if ((-field) == (INT_MAX - count - 1)) return s;
1351     while (field++ < 0)
1352       {
1353       ss--;
1354       while (ss[-1] != 0) ss--;
1355       }
1356     fieldtext = ss;
1357     break;
1358     }
1359
1360   /* Previous field was not last in the string; save its start and put a
1361   zero at its end. */
1362
1363   fieldtext = ss;
1364   len = Ustrcspn(ss, separators);
1365   sep = ss[len];
1366   ss[len] = 0;
1367   ss += len + 1;
1368   }
1369
1370 return fieldtext;
1371 }
1372
1373
1374 static uschar *
1375 expand_getlistele(int field, const uschar * list)
1376 {
1377 const uschar * tlist = list;
1378 int sep = 0;
1379 /* Tainted mem for the throwaway element copies */
1380 uschar * dummy = store_get(2, GET_TAINTED);
1381
1382 if (field < 0)
1383   {
1384   for (field++; string_nextinlist(&tlist, &sep, dummy, 1); ) field++;
1385   sep = 0;
1386   }
1387 if (field == 0) return NULL;
1388 while (--field > 0 && (string_nextinlist(&list, &sep, dummy, 1))) ;
1389 return string_nextinlist(&list, &sep, NULL, 0);
1390 }
1391
1392
1393 /* Certificate fields, by name.  Worry about by-OID later */
1394 /* Names are chosen to not have common prefixes */
1395
1396 #ifndef DISABLE_TLS
1397 typedef struct
1398 {
1399 uschar * name;
1400 int      namelen;
1401 uschar * (*getfn)(void * cert, uschar * mod);
1402 } certfield;
1403 static certfield certfields[] =
1404 {                       /* linear search; no special order */
1405   { US"version",         7,  &tls_cert_version },
1406   { US"serial_number",   13, &tls_cert_serial_number },
1407   { US"subject",         7,  &tls_cert_subject },
1408   { US"notbefore",       9,  &tls_cert_not_before },
1409   { US"notafter",        8,  &tls_cert_not_after },
1410   { US"issuer",          6,  &tls_cert_issuer },
1411   { US"signature",       9,  &tls_cert_signature },
1412   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1413   { US"subj_altname",    12, &tls_cert_subject_altname },
1414   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1415   { US"crl_uri",         7,  &tls_cert_crl_uri },
1416 };
1417
1418 static uschar *
1419 expand_getcertele(uschar * field, uschar * certvar)
1420 {
1421 var_entry * vp;
1422
1423 if (!(vp = find_var_ent(certvar)))
1424   {
1425   expand_string_message =
1426     string_sprintf("no variable named \"%s\"", certvar);
1427   return NULL;          /* Unknown variable name */
1428   }
1429 /* NB this stops us passing certs around in variable.  Might
1430 want to do that in future */
1431 if (vp->type != vtype_cert)
1432   {
1433   expand_string_message =
1434     string_sprintf("\"%s\" is not a certificate", certvar);
1435   return NULL;          /* Unknown variable name */
1436   }
1437 if (!*(void **)vp->value)
1438   return NULL;
1439
1440 if (*field >= '0' && *field <= '9')
1441   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1442
1443 for (certfield * cp = certfields;
1444      cp < certfields + nelem(certfields);
1445      cp++)
1446   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1447     {
1448     uschar * modifier = *(field += cp->namelen) == ','
1449       ? ++field : NULL;
1450     return (*cp->getfn)( *(void **)vp->value, modifier );
1451     }
1452
1453 expand_string_message =
1454   string_sprintf("bad field selector \"%s\" for certextract", field);
1455 return NULL;
1456 }
1457 #endif  /*DISABLE_TLS*/
1458
1459 /*************************************************
1460 *        Extract a substring from a string       *
1461 *************************************************/
1462
1463 /* Perform the ${substr or ${length expansion operations.
1464
1465 Arguments:
1466   subject     the input string
1467   value1      the offset from the start of the input string to the start of
1468                 the output string; if negative, count from the right.
1469   value2      the length of the output string, or negative (-1) for unset
1470                 if value1 is positive, unset means "all after"
1471                 if value1 is negative, unset means "all before"
1472   len         set to the length of the returned string
1473
1474 Returns:      pointer to the output string, or NULL if there is an error
1475 */
1476
1477 static uschar *
1478 extract_substr(uschar *subject, int value1, int value2, int *len)
1479 {
1480 int sublen = Ustrlen(subject);
1481
1482 if (value1 < 0)    /* count from right */
1483   {
1484   value1 += sublen;
1485
1486   /* If the position is before the start, skip to the start, and adjust the
1487   length. If the length ends up negative, the substring is null because nothing
1488   can precede. This falls out naturally when the length is unset, meaning "all
1489   to the left". */
1490
1491   if (value1 < 0)
1492     {
1493     value2 += value1;
1494     if (value2 < 0) value2 = 0;
1495     value1 = 0;
1496     }
1497
1498   /* Otherwise an unset length => characters before value1 */
1499
1500   else if (value2 < 0)
1501     {
1502     value2 = value1;
1503     value1 = 0;
1504     }
1505   }
1506
1507 /* For a non-negative offset, if the starting position is past the end of the
1508 string, the result will be the null string. Otherwise, an unset length means
1509 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1510
1511 else
1512   {
1513   if (value1 > sublen)
1514     {
1515     value1 = sublen;
1516     value2 = 0;
1517     }
1518   else if (value2 < 0) value2 = sublen;
1519   }
1520
1521 /* Cut the length down to the maximum possible for the offset value, and get
1522 the required characters. */
1523
1524 if (value1 + value2 > sublen) value2 = sublen - value1;
1525 *len = value2;
1526 return subject + value1;
1527 }
1528
1529
1530
1531
1532 /*************************************************
1533 *            Old-style hash of a string          *
1534 *************************************************/
1535
1536 /* Perform the ${hash expansion operation.
1537
1538 Arguments:
1539   subject     the input string (an expanded substring)
1540   value1      the length of the output string; if greater or equal to the
1541                 length of the input string, the input string is returned
1542   value2      the number of hash characters to use, or 26 if negative
1543   len         set to the length of the returned string
1544
1545 Returns:      pointer to the output string, or NULL if there is an error
1546 */
1547
1548 static uschar *
1549 compute_hash(uschar *subject, int value1, int value2, int *len)
1550 {
1551 int sublen = Ustrlen(subject);
1552
1553 if (value2 < 0) value2 = 26;
1554 else if (value2 > Ustrlen(hashcodes))
1555   {
1556   expand_string_message =
1557     string_sprintf("hash count \"%d\" too big", value2);
1558   return NULL;
1559   }
1560
1561 /* Calculate the hash text. We know it is shorter than the original string, so
1562 can safely place it in subject[] (we know that subject is always itself an
1563 expanded substring). */
1564
1565 if (value1 < sublen)
1566   {
1567   int c;
1568   int i = 0;
1569   int j = value1;
1570   while ((c = (subject[j])) != 0)
1571     {
1572     int shift = (c + j++) & 7;
1573     subject[i] ^= (c << shift) | (c >> (8-shift));
1574     if (++i >= value1) i = 0;
1575     }
1576   for (i = 0; i < value1; i++)
1577     subject[i] = hashcodes[(subject[i]) % value2];
1578   }
1579 else value1 = sublen;
1580
1581 *len = value1;
1582 return subject;
1583 }
1584
1585
1586
1587
1588 /*************************************************
1589 *             Numeric hash of a string           *
1590 *************************************************/
1591
1592 /* Perform the ${nhash expansion operation. The first characters of the
1593 string are treated as most important, and get the highest prime numbers.
1594
1595 Arguments:
1596   subject     the input string
1597   value1      the maximum value of the first part of the result
1598   value2      the maximum value of the second part of the result,
1599                 or negative to produce only a one-part result
1600   len         set to the length of the returned string
1601
1602 Returns:  pointer to the output string, or NULL if there is an error.
1603 */
1604
1605 static uschar *
1606 compute_nhash (uschar *subject, int value1, int value2, int *len)
1607 {
1608 uschar *s = subject;
1609 int i = 0;
1610 unsigned long int total = 0; /* no overflow */
1611
1612 while (*s != 0)
1613   {
1614   if (i == 0) i = nelem(prime) - 1;
1615   total += prime[i--] * (unsigned int)(*s++);
1616   }
1617
1618 /* If value2 is unset, just compute one number */
1619
1620 if (value2 < 0)
1621   s = string_sprintf("%lu", total % value1);
1622
1623 /* Otherwise do a div/mod hash */
1624
1625 else
1626   {
1627   total = total % (value1 * value2);
1628   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1629   }
1630
1631 *len = Ustrlen(s);
1632 return s;
1633 }
1634
1635
1636
1637
1638
1639 /*************************************************
1640 *     Find the value of a header or headers      *
1641 *************************************************/
1642
1643 /* Multiple instances of the same header get concatenated, and this function
1644 can also return a concatenation of all the header lines. When concatenating
1645 specific headers that contain lists of addresses, a comma is inserted between
1646 them. Otherwise we use a straight concatenation. Because some messages can have
1647 pathologically large number of lines, there is a limit on the length that is
1648 returned.
1649
1650 Arguments:
1651   name          the name of the header, without the leading $header_ or $h_,
1652                 or NULL if a concatenation of all headers is required
1653   newsize       return the size of memory block that was obtained; may be NULL
1654                 if exists_only is TRUE
1655   flags         FH_EXISTS_ONLY
1656                   set if called from a def: test; don't need to build a string;
1657                   just return a string that is not "" and not "0" if the header
1658                   exists
1659                 FH_WANT_RAW
1660                   set if called for $rh_ or $rheader_ items; no processing,
1661                   other than concatenating, will be done on the header. Also used
1662                   for $message_headers_raw.
1663                 FH_WANT_LIST
1664                   Double colon chars in the content, and replace newline with
1665                   colon between each element when concatenating; returning a
1666                   colon-sep list (elements might contain newlines)
1667   charset       name of charset to translate MIME words to; used only if
1668                 want_raw is false; if NULL, no translation is done (this is
1669                 used for $bh_ and $bheader_)
1670
1671 Returns:        NULL if the header does not exist, else a pointer to a new
1672                 store block
1673 */
1674
1675 static uschar *
1676 find_header(uschar * name, int * newsize, unsigned flags, const uschar * charset)
1677 {
1678 BOOL found = !name;
1679 int len = name ? Ustrlen(name) : 0;
1680 BOOL comma = FALSE;
1681 gstring * g = NULL;
1682 uschar * rawhdr;
1683
1684 for (header_line * h = header_list; h; h = h->next)
1685   if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1686     if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1687       {
1688       uschar * s, * t;
1689       size_t inc;
1690
1691       if (flags & FH_EXISTS_ONLY)
1692         return US"1";  /* don't need actual string */
1693
1694       found = TRUE;
1695       s = h->text + len;                /* text to insert */
1696       if (!(flags & FH_WANT_RAW))       /* unless wanted raw, */
1697         Uskip_whitespace(&s);           /* remove leading white space */
1698       t = h->text + h->slen;            /* end-point */
1699
1700       /* Unless wanted raw, remove trailing whitespace, including the
1701       newline. */
1702
1703       if (flags & FH_WANT_LIST)
1704         while (t > s && t[-1] == '\n') t--;
1705       else if (!(flags & FH_WANT_RAW))
1706         {
1707         while (t > s && isspace(t[-1])) t--;
1708
1709         /* Set comma if handling a single header and it's one of those
1710         that contains an address list, except when asked for raw headers. Only
1711         need to do this once. */
1712
1713         if (name && !comma && Ustrchr("BCFRST", h->type)) comma = TRUE;
1714         }
1715
1716       /* Trim the header roughly if we're approaching limits */
1717       inc = t - s;
1718       if (gstring_length(g) + inc > header_insert_maxlen)
1719         inc = header_insert_maxlen - gstring_length(g);
1720
1721       /* For raw just copy the data; for a list, add the data as a colon-sep
1722       list-element; for comma-list add as an unchecked comma,newline sep
1723       list-elemment; for other nonraw add as an unchecked newline-sep list (we
1724       stripped trailing WS above including the newline). We ignore the potential
1725       expansion due to colon-doubling, just leaving the loop if the limit is met
1726       or exceeded. */
1727
1728       if (flags & FH_WANT_LIST)
1729         g = string_append_listele_n(g, ':', s, (unsigned)inc);
1730       else if (flags & FH_WANT_RAW)
1731         g = string_catn(g, s, (unsigned)inc);
1732       else if (inc > 0)
1733         g = string_append2_listele_n(g, comma ? US",\n" : US"\n",
1734           s, (unsigned)inc);
1735
1736       if (gstring_length(g) >= header_insert_maxlen) break;
1737       }
1738
1739 if (!found) return NULL;        /* No header found */
1740 if (!g) return US"";
1741
1742 /* That's all we do for raw header expansion. */
1743
1744 *newsize = g->size;
1745 rawhdr = string_from_gstring(g);
1746 if (flags & FH_WANT_RAW)
1747   return rawhdr;
1748
1749 /* Otherwise do RFC 2047 decoding, translating the charset if requested.
1750 The rfc2047_decode2() function can return an error with decoded data if the
1751 charset translation fails. If decoding fails, it returns NULL. */
1752
1753 else
1754   {
1755   uschar * error, * decoded = rfc2047_decode2(rawhdr,
1756     check_rfc2047_length, charset, '?', NULL, newsize, &error);
1757   if (error)
1758     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1759       "    input was: %s\n", error, rawhdr);
1760   return decoded ? decoded : rawhdr;
1761   }
1762 }
1763
1764
1765
1766
1767 /* Append a "local" element to an Authentication-Results: header
1768 if this was a non-smtp message.
1769 */
1770
1771 static gstring *
1772 authres_local(gstring * g, const uschar * sysname)
1773 {
1774 if (!f.authentication_local)
1775   return g;
1776 g = string_append(g, 3, US";\n\tlocal=pass (non-smtp, ", sysname, US")");
1777 if (authenticated_id) g = string_append(g, 2, " u=", authenticated_id);
1778 return g;
1779 }
1780
1781
1782 /* Append an "iprev" element to an Authentication-Results: header
1783 if we have attempted to get the calling host's name.
1784 */
1785
1786 static gstring *
1787 authres_iprev(gstring * g)
1788 {
1789 if (sender_host_name)
1790   g = string_append(g, 3, US";\n\tiprev=pass (", sender_host_name, US")");
1791 else if (host_lookup_deferred)
1792   g = string_cat(g, US";\n\tiprev=temperror");
1793 else if (host_lookup_failed)
1794   g = string_cat(g, US";\n\tiprev=fail");
1795 else
1796   return g;
1797
1798 if (sender_host_address)
1799   g = string_append(g, 2, US" smtp.remote-ip=", sender_host_address);
1800 return g;
1801 }
1802
1803
1804
1805 /*************************************************
1806 *               Return list of recipients        *
1807 *************************************************/
1808 /* A recipients list is available only during system message filtering,
1809 during ACL processing after DATA, and while expanding pipe commands
1810 generated from a system filter, but not elsewhere.  Note that this does
1811 not check for commas in the elements, and uses comma-space as seperator -
1812 so cannot be used as an exim list as-is. */
1813
1814 static uschar *
1815 fn_recipients(void)
1816 {
1817 gstring * g = NULL;
1818
1819 if (!f.enable_dollar_recipients) return NULL;
1820
1821 for (int i = 0; i < recipients_count; i++)
1822   {
1823   const uschar * s = recipients_list[i].address;
1824   g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
1825   }
1826 gstring_release_unused(g);
1827 return string_from_gstring(g);
1828 }
1829
1830 /* Similar, but as a properly-quoted exim list */
1831
1832
1833 static uschar *
1834 fn_recipients_list(void)
1835 {
1836 gstring * g = NULL;
1837
1838 if (!f.enable_dollar_recipients) return NULL;
1839
1840 for (int i = 0; i < recipients_count; i++)
1841   g = string_append_listele(g, ':', recipients_list[i].address);
1842 gstring_release_unused(g);
1843 return string_from_gstring(g);
1844 }
1845
1846
1847 /*************************************************
1848 *               Return size of queue             *
1849 *************************************************/
1850 /* Ask the daemon for the queue size */
1851
1852 static uschar *
1853 fn_queue_size(void)
1854 {
1855 struct sockaddr_un sa_un = {.sun_family = AF_UNIX};
1856 uschar buf[16];
1857 int fd;
1858 ssize_t len;
1859 const uschar * where;
1860 uschar * sname;
1861
1862 if ((fd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
1863   {
1864   DEBUG(D_expand) debug_printf(" socket: %s\n", strerror(errno));
1865   return NULL;
1866   }
1867
1868 len = daemon_client_sockname(&sa_un, &sname);
1869
1870 if (bind(fd, (const struct sockaddr *)&sa_un, (socklen_t)len) < 0)
1871   { where = US"bind"; goto bad; }
1872
1873 #ifdef notdef
1874 debug_printf("local addr '%s%s'\n",
1875   *sa_un.sun_path ? "" : "@",
1876   sa_un.sun_path + (*sa_un.sun_path ? 0 : 1));
1877 #endif
1878
1879 len = daemon_notifier_sockname(&sa_un);
1880 if (connect(fd, (const struct sockaddr *)&sa_un, len) < 0)
1881   { where = US"connect"; goto bad2; }
1882
1883 buf[0] = NOTIFY_QUEUE_SIZE_REQ;
1884 if (send(fd, buf, 1, 0) < 0) { where = US"send"; goto bad; }
1885
1886 if (poll_one_fd(fd, POLLIN, 2 * 1000) != 1)
1887   {
1888   DEBUG(D_expand) debug_printf("no daemon response; using local evaluation\n");
1889   len = snprintf(CS buf, sizeof(buf), "%u", queue_count_cached());
1890   }
1891 else if ((len = recv(fd, buf, sizeof(buf), 0)) < 0)
1892   { where = US"recv"; goto bad2; }
1893
1894 close(fd);
1895 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1896 Uunlink(sname);
1897 #endif
1898 return string_copyn(buf, len);
1899
1900 bad2:
1901 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1902   Uunlink(sname);
1903 #endif
1904 bad:
1905   close(fd);
1906   DEBUG(D_expand) debug_printf(" %s: %s\n", where, strerror(errno));
1907   return NULL;
1908 }
1909
1910
1911 /*************************************************
1912 *               Find value of a variable         *
1913 *************************************************/
1914
1915 /* The table of variables is kept in alphabetic order, so we can search it
1916 using a binary chop. The "choplen" variable is nothing to do with the binary
1917 chop.
1918
1919 Arguments:
1920   name          the name of the variable being sought
1921   flags
1922     exists_only  TRUE if this is a def: test; passed on to find_header()
1923     skipping     TRUE => skip any processing evaluation; this is not the same as
1924                   exists_only because def: may test for values that are first
1925                   evaluated here
1926   newsize       pointer to an int which is initially zero; if the answer is in
1927                 a new memory buffer, *newsize is set to its size
1928
1929 Returns:        NULL if the variable does not exist, or
1930                 a pointer to the variable's contents, or
1931                 something non-NULL if exists_only is TRUE
1932 */
1933
1934 static const uschar *
1935 find_variable(uschar * name, esi_flags flags, int * newsize)
1936 {
1937 var_entry * vp;
1938 uschar *s, *domain;
1939 uschar **ss;
1940 void * val;
1941
1942 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1943 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1944 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1945 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1946 (this gave backwards compatibility at the changeover). There may be built-in
1947 variables whose names start acl_ but they should never start in this way. This
1948 slightly messy specification is a consequence of the history, needless to say.
1949
1950 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1951 set, in which case give an error. */
1952
1953 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1954      !isalpha(name[5]))
1955   {
1956   tree_node * node =
1957     tree_search(name[4] == 'c' ? acl_var_c : acl_var_m, name + 4);
1958   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1959   }
1960 else if (Ustrncmp(name, "r_", 2) == 0)
1961   {
1962   tree_node * node = tree_search(router_var, name + 2);
1963   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1964   }
1965
1966 /* Handle $auth<n>, $regex<n> variables. */
1967
1968 if (Ustrncmp(name, "auth", 4) == 0)
1969   {
1970   uschar *endptr;
1971   int n = Ustrtoul(name + 4, &endptr, 10);
1972   if (!*endptr && n != 0 && n <= AUTH_VARS)
1973     return auth_vars[n-1] ? auth_vars[n-1] : US"";
1974   }
1975 #ifdef WITH_CONTENT_SCAN
1976 else if (Ustrncmp(name, "regex", 5) == 0)
1977   {
1978   uschar *endptr;
1979   int n = Ustrtoul(name + 5, &endptr, 10);
1980   if (!*endptr && n != 0 && n <= REGEX_VARS)
1981     return regex_vars[n-1] ? regex_vars[n-1] : US"";
1982   }
1983 #endif
1984
1985 /* For all other variables, search the table */
1986
1987 if (!(vp = find_var_ent(name)))
1988   return NULL;          /* Unknown variable name */
1989
1990 /* Found an existing variable. If in skipping state, the value isn't needed,
1991 and we want to avoid processing (such as looking up the host name). */
1992
1993 if (flags & ESI_SKIPPING)
1994   return US"";
1995
1996 val = vp->value;
1997 switch (vp->type)
1998   {
1999   case vtype_filter_int:
2000     if (!f.filter_running) return NULL;
2001     /* Fall through */
2002     /* VVVVVVVVVVVV */
2003   case vtype_int:
2004     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
2005     return var_buffer;
2006
2007   case vtype_ino:
2008     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
2009     return var_buffer;
2010
2011   case vtype_gid:
2012     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
2013     return var_buffer;
2014
2015   case vtype_uid:
2016     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
2017     return var_buffer;
2018
2019   case vtype_bool:
2020     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
2021     return var_buffer;
2022
2023   case vtype_stringptr:                      /* Pointer to string */
2024     return (s = *((uschar **)(val))) ? s : US"";
2025
2026   case vtype_pid:
2027     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
2028     return var_buffer;
2029
2030   case vtype_load_avg:
2031     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
2032     return var_buffer;
2033
2034   case vtype_host_lookup:                    /* Lookup if not done so */
2035     if (  !sender_host_name && sender_host_address
2036        && !host_lookup_failed && host_name_lookup() == OK)
2037       host_build_sender_fullhost();
2038     return sender_host_name ? sender_host_name : US"";
2039
2040   case vtype_localpart:                      /* Get local part from address */
2041     if (!(s = *((uschar **)(val)))) return US"";
2042     if (!(domain = Ustrrchr(s, '@'))) return s;
2043     if (domain - s > sizeof(var_buffer) - 1)
2044       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
2045           " in string expansion", sizeof(var_buffer));
2046     return string_copyn(s, domain - s);
2047
2048   case vtype_domain:                         /* Get domain from address */
2049     if (!(s = *((uschar **)(val)))) return US"";
2050     domain = Ustrrchr(s, '@');
2051     return domain ? domain + 1 : US"";
2052
2053   case vtype_msgheaders:
2054     return find_header(NULL, newsize,
2055             flags & ESI_EXISTS_ONLY ? FH_EXISTS_ONLY : 0, NULL);
2056
2057   case vtype_msgheaders_raw:
2058     return find_header(NULL, newsize,
2059             flags & ESI_EXISTS_ONLY ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2060             NULL);
2061
2062   case vtype_msgbody:                        /* Pointer to msgbody string */
2063   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
2064     ss = (uschar **)(val);
2065     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
2066       {
2067       uschar * body;
2068       off_t start_offset_o = spool_data_start_offset(message_id);
2069       off_t start_offset = start_offset_o;
2070       int len = message_body_visible;
2071
2072       if (len > message_size) len = message_size;
2073       *ss = body = store_get(len+1, GET_TAINTED);
2074       body[0] = 0;
2075       if (vp->type == vtype_msgbody_end)
2076         {
2077         struct stat statbuf;
2078         if (fstat(deliver_datafile, &statbuf) == 0)
2079           {
2080           start_offset = statbuf.st_size - len;
2081           if (start_offset < start_offset_o)
2082             start_offset = start_offset_o;
2083           }
2084         }
2085       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
2086         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
2087           strerror(errno));
2088       if ((len = read(deliver_datafile, body, len)) > 0)
2089         {
2090         body[len] = 0;
2091         if (message_body_newlines)   /* Separate loops for efficiency */
2092           while (len > 0)
2093             { if (body[--len] == 0) body[len] = ' '; }
2094         else
2095           while (len > 0)
2096             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
2097         }
2098       }
2099     return *ss ? *ss : US"";
2100
2101   case vtype_todbsdin:                       /* BSD inbox time of day */
2102     return tod_stamp(tod_bsdin);
2103
2104   case vtype_tode:                           /* Unix epoch time of day */
2105     return tod_stamp(tod_epoch);
2106
2107   case vtype_todel:                          /* Unix epoch/usec time of day */
2108     return tod_stamp(tod_epoch_l);
2109
2110   case vtype_todf:                           /* Full time of day */
2111     return tod_stamp(tod_full);
2112
2113   case vtype_todl:                           /* Log format time of day */
2114     return tod_stamp(tod_log_bare);            /* (without timezone) */
2115
2116   case vtype_todzone:                        /* Time zone offset only */
2117     return tod_stamp(tod_zone);
2118
2119   case vtype_todzulu:                        /* Zulu time */
2120     return tod_stamp(tod_zulu);
2121
2122   case vtype_todlf:                          /* Log file datestamp tod */
2123     return tod_stamp(tod_log_datestamp_daily);
2124
2125   case vtype_reply:                          /* Get reply address */
2126     s = find_header(US"reply-to:", newsize,
2127             flags & ESI_EXISTS_ONLY ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2128             headers_charset);
2129     if (s) Uskip_whitespace(&s);
2130     if (!s || !*s)
2131       {
2132       *newsize = 0;                            /* For the *s==0 case */
2133       s = find_header(US"from:", newsize,
2134             flags & ESI_EXISTS_ONLY ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2135             headers_charset);
2136       }
2137     if (s)
2138       {
2139       uschar *t;
2140       Uskip_whitespace(&s);
2141       for (t = s; *t; t++) if (*t == '\n') *t = ' ';
2142       while (t > s && isspace(t[-1])) t--;
2143       *t = 0;
2144       }
2145     return s ? s : US"";
2146
2147   case vtype_string_func:
2148     {
2149     stringptr_fn_t * fn = (stringptr_fn_t *) val;
2150     uschar * s = fn();
2151     return s ? s : US"";
2152     }
2153
2154   case vtype_pspace:
2155     {
2156     int inodes;
2157     sprintf(CS var_buffer, PR_EXIM_ARITH,
2158       receive_statvfs(val == (void *)TRUE, &inodes));
2159     }
2160   return var_buffer;
2161
2162   case vtype_pinodes:
2163     {
2164     int inodes;
2165     (void) receive_statvfs(val == (void *)TRUE, &inodes);
2166     sprintf(CS var_buffer, "%d", inodes);
2167     }
2168   return var_buffer;
2169
2170   case vtype_cert:
2171     return *(void **)val ? US"<cert>" : US"";
2172
2173 #ifndef DISABLE_DKIM
2174   case vtype_dkim:
2175     return dkim_exim_expand_query((int)(long)val);
2176 #endif
2177
2178   }
2179
2180 return NULL;  /* Unknown variable. Silences static checkers. */
2181 }
2182
2183
2184
2185
2186 void
2187 modify_variable(uschar *name, void * value)
2188 {
2189 var_entry * vp;
2190 if ((vp = find_var_ent(name))) vp->value = value;
2191 return;          /* Unknown variable name, fail silently */
2192 }
2193
2194
2195
2196
2197
2198
2199 /*************************************************
2200 *           Read and expand substrings           *
2201 *************************************************/
2202
2203 /* This function is called to read and expand argument substrings for various
2204 expansion items. Some have a minimum requirement that is less than the maximum;
2205 in these cases, the first non-present one is set to NULL.
2206
2207 Arguments:
2208   sub        points to vector of pointers to set
2209   n          maximum number of substrings
2210   m          minimum required
2211   sptr       points to current string pointer
2212   flags
2213    skipping   the skipping flag
2214   check_end  if TRUE, check for final '}'
2215   name       name of item, for error message
2216   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
2217              the store
2218   textonly_p if not NULL, pointer to bitmask of which subs were text-only
2219              (did not change when expended)
2220
2221 Returns:     -1 OK; string pointer updated, but in "skipping" mode
2222              0 OK; string pointer updated
2223              1 curly bracketing error (too few arguments)
2224              2 too many arguments (only if check_end is set); message set
2225              3 other error (expansion failure)
2226 */
2227
2228 static int
2229 read_subs(uschar ** sub, int n, int m, const uschar ** sptr, esi_flags flags,
2230   BOOL check_end, uschar * name, BOOL * resetok, unsigned * textonly_p)
2231 {
2232 const uschar * s = *sptr;
2233 unsigned textonly_l = 0;
2234
2235 Uskip_whitespace(&s);
2236 for (int i = 0; i < n; i++)
2237   {
2238   BOOL textonly;
2239   if (*s != '{')
2240     {
2241     if (i < m)
2242       {
2243       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2244         "(min is %d)", name, m);
2245       return 1;
2246       }
2247     sub[i] = NULL;
2248     break;
2249     }
2250   if (!(sub[i] = expand_string_internal(s+1,
2251           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags & ESI_SKIPPING, &s, resetok,
2252           textonly_p ? &textonly : NULL)))
2253     return 3;
2254   if (*s++ != '}') return 1;
2255   if (textonly_p && textonly) textonly_l |= BIT(i);
2256   Uskip_whitespace(&s);
2257   }                                             /*{*/
2258 if (check_end && *s++ != '}')
2259   {
2260   if (s[-1] == '{')
2261     {
2262     expand_string_message = string_sprintf("Too many arguments for '%s' "
2263       "(max is %d)", name, n);
2264     return 2;
2265     }
2266   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2267   return 1;
2268   }
2269
2270 if (textonly_p) *textonly_p = textonly_l;
2271 *sptr = s;
2272 return flags & ESI_SKIPPING ? -1 : 0;
2273 }
2274
2275
2276
2277
2278 /*************************************************
2279 *     Elaborate message for bad variable         *
2280 *************************************************/
2281
2282 /* For the "unknown variable" message, take a look at the variable's name, and
2283 give additional information about possible ACL variables. The extra information
2284 is added on to expand_string_message.
2285
2286 Argument:   the name of the variable
2287 Returns:    nothing
2288 */
2289
2290 static void
2291 check_variable_error_message(uschar *name)
2292 {
2293 if (Ustrncmp(name, "acl_", 4) == 0)
2294   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2295     (name[4] == 'c' || name[4] == 'm')?
2296       (isalpha(name[5])?
2297         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2298         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2299       ) :
2300       US"user-defined ACL variables must start acl_c or acl_m");
2301 }
2302
2303
2304
2305 /*
2306 Load args from sub array to globals, and call acl_check().
2307 Sub array will be corrupted on return.
2308
2309 Returns:       OK         access is granted by an ACCEPT verb
2310                DISCARD    access is (apparently) granted by a DISCARD verb
2311                FAIL       access is denied
2312                FAIL_DROP  access is denied; drop the connection
2313                DEFER      can't tell at the moment
2314                ERROR      disaster
2315 */
2316 static int
2317 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2318 {
2319 int i;
2320 int sav_narg = acl_narg;
2321 int ret;
2322 uschar * dummy_logmsg;
2323 extern int acl_where;
2324
2325 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2326 for (i = 0; i < nsub && sub[i+1]; i++)
2327   {
2328   uschar * tmp = acl_arg[i];
2329   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2330   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2331   }
2332 acl_narg = i;
2333 while (i < nsub)
2334   {
2335   sub[i+1] = acl_arg[i];
2336   acl_arg[i++] = NULL;
2337   }
2338
2339 DEBUG(D_expand)
2340   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2341     sub[0],
2342     acl_narg>0 ? acl_arg[0] : US"<none>",
2343     acl_narg>1 ? " +more"   : "");
2344
2345 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2346
2347 for (i = 0; i < nsub; i++)
2348   acl_arg[i] = sub[i+1];        /* restore old args */
2349 acl_narg = sav_narg;
2350
2351 return ret;
2352 }
2353
2354
2355
2356
2357 /* Return pointer to dewrapped string, with enclosing specified chars removed.
2358 The given string is modified on return.  Leading whitespace is skipped while
2359 looking for the opening wrap character, then the rest is scanned for the trailing
2360 (non-escaped) wrap character.  A backslash in the string will act as an escape.
2361
2362 A nul is written over the trailing wrap, and a pointer to the char after the
2363 leading wrap is returned.
2364
2365 Arguments:
2366   s     String for de-wrapping
2367   wrap  Two-char string, the first being the opener, second the closer wrapping
2368         character
2369 Return:
2370   Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
2371 */
2372
2373 static uschar *
2374 dewrap(uschar * s, const uschar * wrap)
2375 {
2376 uschar * p = s;
2377 unsigned depth = 0;
2378 BOOL quotesmode = wrap[0] == wrap[1];
2379
2380 if (Uskip_whitespace(&p) == *wrap)
2381   {
2382   s = ++p;
2383   wrap++;
2384   while (*p)
2385     {
2386     if (*p == '\\') p++;
2387     else if (!quotesmode && *p == wrap[-1]) depth++;
2388     else if (*p == *wrap)
2389       if (depth == 0)
2390         {
2391         *p = '\0';
2392         return s;
2393         }
2394       else
2395         depth--;
2396     p++;
2397     }
2398   }
2399 expand_string_message = string_sprintf("missing '%c'", *wrap);
2400 return NULL;
2401 }
2402
2403
2404 /* Pull off the leading array or object element, returning
2405 a copy in an allocated string.  Update the list pointer.
2406
2407 The element may itself be an abject or array.
2408 Return NULL when the list is empty.
2409 */
2410
2411 static uschar *
2412 json_nextinlist(const uschar ** list)
2413 {
2414 unsigned array_depth = 0, object_depth = 0;
2415 BOOL quoted = FALSE;
2416 const uschar * s = *list, * item;
2417
2418 skip_whitespace(&s);
2419
2420 for (item = s;
2421      *s && (*s != ',' || array_depth != 0 || object_depth != 0 || quoted);
2422      s++)
2423   if (!quoted) switch (*s)
2424     {
2425     case '[': array_depth++; break;
2426     case ']': array_depth--; break;
2427     case '{': object_depth++; break;
2428     case '}': object_depth--; break;
2429     case '"': quoted = TRUE;
2430     }
2431   else switch(*s)
2432     {
2433     case '\\': s++; break;              /* backslash protects one char */
2434     case '"':  quoted = FALSE; break;
2435     }
2436 *list = *s ? s+1 : s;
2437 if (item == s) return NULL;
2438 item = string_copyn(item, s - item);
2439 DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
2440 return US item;
2441 }
2442
2443
2444
2445 /************************************************/
2446 /*  Return offset in ops table, or -1 if not found.
2447 Repoint to just after the operator in the string.
2448
2449 Argument:
2450  ss     string representation of operator
2451  opname split-out operator name
2452 */
2453
2454 static int
2455 identify_operator(const uschar ** ss, uschar ** opname)
2456 {
2457 const uschar * s = *ss;
2458 uschar name[256];
2459
2460 /* Numeric comparisons are symbolic */
2461
2462 if (*s == '=' || *s == '>' || *s == '<')
2463   {
2464   int p = 0;
2465   name[p++] = *s++;
2466   if (*s == '=')
2467     {
2468     name[p++] = '=';
2469     s++;
2470     }
2471   name[p] = 0;
2472   }
2473
2474 /* All other conditions are named */
2475
2476 else
2477   s = read_name(name, sizeof(name), s, US"_");
2478 *ss = s;
2479
2480 /* If we haven't read a name, it means some non-alpha character is first. */
2481
2482 if (!name[0])
2483   {
2484   expand_string_message = string_sprintf("condition name expected, "
2485     "but found \"%.16s\"", s);
2486   return -1;
2487   }
2488 DEBUG(D_expand) debug_printf_indent("cond: %s\n", name);
2489 if (opname)
2490   *opname = string_copy(name);
2491
2492 return chop_match(name, cond_table, nelem(cond_table));
2493 }
2494
2495
2496 /*************************************************
2497 *    Handle MD5 or SHA-1 computation for HMAC    *
2498 *************************************************/
2499
2500 /* These are some wrapping functions that enable the HMAC code to be a bit
2501 cleaner. A good compiler will spot the tail recursion.
2502
2503 Arguments:
2504   type         HMAC_MD5 or HMAC_SHA1
2505   remaining    are as for the cryptographic hash functions
2506
2507 Returns:       nothing
2508 */
2509
2510 static void
2511 chash_start(int type, void * base)
2512 {
2513 if (type == HMAC_MD5)
2514   md5_start((md5 *)base);
2515 else
2516   sha1_start((hctx *)base);
2517 }
2518
2519 static void
2520 chash_mid(int type, void * base, const uschar * string)
2521 {
2522 if (type == HMAC_MD5)
2523   md5_mid((md5 *)base, string);
2524 else
2525   sha1_mid((hctx *)base, string);
2526 }
2527
2528 static void
2529 chash_end(int type, void * base, const uschar * string, int length,
2530   uschar * digest)
2531 {
2532 if (type == HMAC_MD5)
2533   md5_end((md5 *)base, string, length, digest);
2534 else
2535   sha1_end((hctx *)base, string, length, digest);
2536 }
2537
2538
2539
2540
2541 #ifdef SUPPORT_SRS
2542 /* Do an hmac_md5.  The result is _not_ nul-terminated, and is sized as
2543 the smaller of a full hmac_md5 result (16 bytes) or the supplied output buffer.
2544
2545 Arguments:
2546         key     encoding key, nul-terminated
2547         src     data to be hashed, nul-terminated
2548         buf     output buffer
2549         len     size of output buffer
2550 */
2551
2552 static void
2553 hmac_md5(const uschar * key, const uschar * src, uschar * buf, unsigned len)
2554 {
2555 md5 md5_base;
2556 const uschar * keyptr;
2557 uschar * p;
2558 unsigned int keylen;
2559
2560 #define MD5_HASHLEN      16
2561 #define MD5_HASHBLOCKLEN 64
2562
2563 uschar keyhash[MD5_HASHLEN];
2564 uschar innerhash[MD5_HASHLEN];
2565 uschar finalhash[MD5_HASHLEN];
2566 uschar innerkey[MD5_HASHBLOCKLEN];
2567 uschar outerkey[MD5_HASHBLOCKLEN];
2568
2569 keyptr = key;
2570 keylen = Ustrlen(keyptr);
2571
2572 /* If the key is longer than the hash block length, then hash the key
2573 first */
2574
2575 if (keylen > MD5_HASHBLOCKLEN)
2576   {
2577   chash_start(HMAC_MD5, &md5_base);
2578   chash_end(HMAC_MD5, &md5_base, keyptr, keylen, keyhash);
2579   keyptr = keyhash;
2580   keylen = MD5_HASHLEN;
2581   }
2582
2583 /* Now make the inner and outer key values */
2584
2585 memset(innerkey, 0x36, MD5_HASHBLOCKLEN);
2586 memset(outerkey, 0x5c, MD5_HASHBLOCKLEN);
2587
2588 for (int i = 0; i < keylen; i++)
2589   {
2590   innerkey[i] ^= keyptr[i];
2591   outerkey[i] ^= keyptr[i];
2592   }
2593
2594 /* Now do the hashes */
2595
2596 chash_start(HMAC_MD5, &md5_base);
2597 chash_mid(HMAC_MD5, &md5_base, innerkey);
2598 chash_end(HMAC_MD5, &md5_base, src, Ustrlen(src), innerhash);
2599
2600 chash_start(HMAC_MD5, &md5_base);
2601 chash_mid(HMAC_MD5, &md5_base, outerkey);
2602 chash_end(HMAC_MD5, &md5_base, innerhash, MD5_HASHLEN, finalhash);
2603
2604 /* Encode the final hash as a hex string, limited by output buffer size */
2605
2606 p = buf;
2607 for (int i = 0, j = len; i < MD5_HASHLEN; i++)
2608   {
2609   if (j-- <= 0) break;
2610   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2611   if (j-- <= 0) break;
2612   *p++ = hex_digits[finalhash[i] & 0x0f];
2613   }
2614 return;
2615 }
2616 #endif /*SUPPORT_SRS*/
2617
2618
2619 /*************************************************
2620 *        Read and evaluate a condition           *
2621 *************************************************/
2622
2623 /*
2624 Arguments:
2625   s        points to the start of the condition text
2626   resetok  points to a BOOL which is written false if it is unsafe to
2627            free memory. Certain condition types (acl) may have side-effect
2628            allocation which must be preserved.
2629   yield    points to a BOOL to hold the result of the condition test;
2630            if NULL, we are just reading through a condition that is
2631            part of an "or" combination to check syntax, or in a state
2632            where the answer isn't required
2633
2634 Returns:   a pointer to the first character after the condition, or
2635            NULL after an error
2636 */
2637
2638 static const uschar *
2639 eval_condition(const uschar * s, BOOL * resetok, BOOL * yield)
2640 {
2641 BOOL testfor = TRUE, tempcond, combined_cond;
2642 BOOL * subcondptr;
2643 BOOL sub2_honour_dollar = TRUE, is_forany, is_json, is_jsons;
2644 int rc, cond_type;
2645 int_eximarith_t num[2];
2646 struct stat statbuf;
2647 uschar * opname;
2648 uschar name[256];
2649 const uschar * sub[10], * next;
2650 unsigned sub_textonly = 0;
2651
2652 expand_level++;
2653 for (;;)
2654   if (Uskip_whitespace(&s) == '!') { testfor = !testfor; s++; } else break;
2655
2656 switch(cond_type = identify_operator(&s, &opname))
2657   {
2658   /* def: tests for a non-empty variable, or for the existence of a header. If
2659   yield == NULL we are in a skipping state, and don't care about the answer. */
2660
2661   case ECOND_DEF:
2662     {
2663     const uschar * t;
2664
2665     if (*s != ':')
2666       {
2667       expand_string_message = US"\":\" expected after \"def\"";
2668       goto failout;
2669       }
2670
2671     s = read_name(name, sizeof(name), s+1, US"_");
2672
2673     /* Test for a header's existence. If the name contains a closing brace
2674     character, this may be a user error where the terminating colon has been
2675     omitted. Set a flag to adjust a subsequent error message in this case. */
2676
2677     if (  ( *(t = name) == 'h'
2678           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
2679           )
2680        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
2681        )
2682       {
2683       s = read_header_name(name, sizeof(name), s);
2684       /* {-for-text-editors */
2685       if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2686       if (yield) *yield =
2687         (find_header(name, NULL, FH_EXISTS_ONLY, NULL) != NULL) == testfor;
2688       }
2689
2690     /* Test for a variable's having a non-empty value. A non-existent variable
2691     causes an expansion failure. */
2692
2693     else
2694       {
2695       if (!(t = find_variable(name,
2696         yield ? ESI_EXISTS_ONLY : ESI_EXISTS_ONLY | ESI_SKIPPING, NULL)))
2697         {
2698         expand_string_message = name[0]
2699           ? string_sprintf("unknown variable \"%s\" after \"def:\"", name)
2700           : US"variable name omitted after \"def:\"";
2701         check_variable_error_message(name);
2702         goto failout;
2703         }
2704       if (yield) *yield = (t[0] != 0) == testfor;
2705       }
2706
2707     next = s; goto out;
2708     }
2709
2710
2711   /* first_delivery tests for first delivery attempt */
2712
2713   case ECOND_FIRST_DELIVERY:
2714   if (yield) *yield = f.deliver_firsttime == testfor;
2715   next = s; goto out;
2716
2717
2718   /* queue_running tests for any process started by a queue runner */
2719
2720   case ECOND_QUEUE_RUNNING:
2721   if (yield) *yield = (queue_run_pid != (pid_t)0) == testfor;
2722   next = s; goto out;
2723
2724
2725   /* exists:  tests for file existence
2726        isip:  tests for any IP address
2727       isip4:  tests for an IPv4 address
2728       isip6:  tests for an IPv6 address
2729         pam:  does PAM authentication
2730      radius:  does RADIUS authentication
2731    ldapauth:  does LDAP authentication
2732     pwcheck:  does Cyrus SASL pwcheck authentication
2733   */
2734
2735   case ECOND_EXISTS:
2736   case ECOND_ISIP:
2737   case ECOND_ISIP4:
2738   case ECOND_ISIP6:
2739   case ECOND_PAM:
2740   case ECOND_RADIUS:
2741   case ECOND_LDAPAUTH:
2742   case ECOND_PWCHECK:
2743
2744   if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START; /* }-for-text-editors */
2745
2746    {
2747     BOOL textonly;
2748     sub[0] = expand_string_internal(s+1,
2749       ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | (yield ? ESI_NOFLAGS : ESI_SKIPPING),
2750       &s, resetok, &textonly);
2751     if (!sub[0]) goto failout;
2752     if (textonly) sub_textonly |= BIT(0);
2753    }
2754   /* {-for-text-editors */
2755   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2756
2757   if (!yield) { next = s; goto out; }  /* No need to run the test if skipping */
2758
2759   switch(cond_type)
2760     {
2761     case ECOND_EXISTS:
2762     if ((expand_forbid & RDO_EXISTS) != 0)
2763       {
2764       expand_string_message = US"File existence tests are not permitted";
2765       goto failout;
2766       }
2767     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2768     break;
2769
2770     case ECOND_ISIP:
2771     case ECOND_ISIP4:
2772     case ECOND_ISIP6:
2773     {
2774       const uschar *errp;
2775       const uschar **errpp;
2776       DEBUG(D_expand) errpp = &errp; else errpp = 0;
2777       if (0 == (rc = string_is_ip_addressX(sub[0], NULL, errpp)))
2778         DEBUG(D_expand) debug_printf("failed: %s\n", errp);
2779
2780       *yield = ( cond_type == ECOND_ISIP  ? rc != 0 :
2781                  cond_type == ECOND_ISIP4 ? rc == 4 : rc == 6) == testfor;
2782     }
2783
2784     break;
2785
2786     /* Various authentication tests - all optionally compiled */
2787
2788     case ECOND_PAM:
2789     #ifdef SUPPORT_PAM
2790     rc = auth_call_pam(sub[0], &expand_string_message);
2791     goto END_AUTH;
2792     #else
2793     goto COND_FAILED_NOT_COMPILED;
2794     #endif  /* SUPPORT_PAM */
2795
2796     case ECOND_RADIUS:
2797     #ifdef RADIUS_CONFIG_FILE
2798     rc = auth_call_radius(sub[0], &expand_string_message);
2799     goto END_AUTH;
2800     #else
2801     goto COND_FAILED_NOT_COMPILED;
2802     #endif  /* RADIUS_CONFIG_FILE */
2803
2804     case ECOND_LDAPAUTH:
2805     #ifdef LOOKUP_LDAP
2806       {
2807       int expand_setup = -1;
2808       const lookup_info * li = search_findtype(US"ldapauth", 8);
2809       void * handle;
2810
2811       if (li && (handle = search_open(NULL, li, 0, NULL, NULL)))
2812         rc = search_find(handle, NULL, sub[0],
2813                         -1, NULL, 0, 0, &expand_setup, NULL)
2814           ? OK : f.search_find_defer ? DEFER : FAIL;
2815       else
2816         { expand_string_message = search_error_message; rc = FAIL; }
2817       }
2818     goto END_AUTH;
2819     #else
2820     goto COND_FAILED_NOT_COMPILED;
2821     #endif  /* LOOKUP_LDAP */
2822
2823     case ECOND_PWCHECK:
2824     #ifdef CYRUS_PWCHECK_SOCKET
2825     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2826     goto END_AUTH;
2827     #else
2828     goto COND_FAILED_NOT_COMPILED;
2829     #endif  /* CYRUS_PWCHECK_SOCKET */
2830
2831     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2832         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2833     END_AUTH:
2834     if (rc == ERROR || rc == DEFER) goto failout;
2835     *yield = (rc == OK) == testfor;
2836     #endif
2837     }
2838   next = s; goto out;
2839
2840
2841   /* call ACL (in a conditional context).  Accept true, deny false.
2842   Defer is a forced-fail.  Anything set by message= goes to $value.
2843   Up to ten parameters are used; we use the braces round the name+args
2844   like the saslauthd condition does, to permit a variable number of args.
2845   See also the expansion-item version EITEM_ACL and the traditional
2846   acl modifier ACLC_ACL.
2847   Since the ACL may allocate new global variables, tell our caller to not
2848   reclaim memory.
2849   */
2850
2851   case ECOND_ACL:
2852     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2853     {
2854     uschar *sub[10];
2855     uschar *user_msg;
2856     BOOL cond = FALSE;
2857
2858     Uskip_whitespace(&s);
2859     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2860
2861     switch(read_subs(sub, nelem(sub), 1, &s,
2862         yield ? ESI_NOFLAGS : ESI_SKIPPING, TRUE, name, resetok, NULL))
2863       {
2864       case 1: expand_string_message = US"too few arguments or bracketing "
2865         "error for acl";
2866       case 2:
2867       case 3: goto failout;
2868       }
2869
2870     if (yield)
2871       {
2872       int rc;
2873       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2874       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
2875         {
2876         case OK:
2877           cond = TRUE;
2878         case FAIL:
2879           lookup_value = NULL;
2880           if (user_msg)
2881             lookup_value = string_copy(user_msg);
2882           *yield = cond == testfor;
2883           break;
2884
2885         case DEFER:
2886           f.expand_string_forcedfail = TRUE;
2887           /*FALLTHROUGH*/
2888         default:
2889           expand_string_message = string_sprintf("%s from acl \"%s\"",
2890             rc_names[rc], sub[0]);
2891           goto failout;
2892         }
2893       }
2894     next = s; goto out;
2895     }
2896
2897
2898   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2899
2900      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2901
2902   However, the last two are optional. That is why the whole set is enclosed
2903   in their own set of braces. */
2904
2905   case ECOND_SASLAUTHD:
2906 #ifndef CYRUS_SASLAUTHD_SOCKET
2907     goto COND_FAILED_NOT_COMPILED;
2908 #else
2909     {
2910     uschar *sub[4];
2911     Uskip_whitespace(&s);
2912     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2913     switch(read_subs(sub, nelem(sub), 2, &s,
2914         yield ? ESI_NOFLAGS : ESI_SKIPPING, TRUE, name, resetok, NULL))
2915       {
2916       case 1: expand_string_message = US"too few arguments or bracketing "
2917         "error for saslauthd";
2918       case 2:
2919       case 3: goto failout;
2920       }
2921     if (!sub[2]) sub[3] = NULL;  /* realm if no service */
2922     if (yield)
2923       {
2924       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2925         &expand_string_message);
2926       if (rc == ERROR || rc == DEFER) goto failout;
2927       *yield = (rc == OK) == testfor;
2928       }
2929     next = s; goto out;
2930     }
2931 #endif /* CYRUS_SASLAUTHD_SOCKET */
2932
2933
2934   /* symbolic operators for numeric and string comparison, and a number of
2935   other operators, all requiring two arguments.
2936
2937   crypteq:           encrypts plaintext and compares against an encrypted text,
2938                        using crypt(), crypt16(), MD5 or SHA-1
2939   inlist/inlisti:    checks if first argument is in the list of the second
2940   match:             does a regular expression match and sets up the numerical
2941                        variables if it succeeds
2942   match_address:     matches in an address list
2943   match_domain:      matches in a domain list
2944   match_ip:          matches a host list that is restricted to IP addresses
2945   match_local_part:  matches in a local part list
2946   */
2947
2948   case ECOND_MATCH_ADDRESS:
2949   case ECOND_MATCH_DOMAIN:
2950   case ECOND_MATCH_IP:
2951   case ECOND_MATCH_LOCAL_PART:
2952 #ifndef EXPAND_LISTMATCH_RHS
2953     sub2_honour_dollar = FALSE;
2954 #endif
2955     /* FALLTHROUGH */
2956
2957   case ECOND_CRYPTEQ:
2958   case ECOND_INLIST:
2959   case ECOND_INLISTI:
2960   case ECOND_MATCH:
2961
2962   case ECOND_NUM_L:     /* Numerical comparisons */
2963   case ECOND_NUM_LE:
2964   case ECOND_NUM_E:
2965   case ECOND_NUM_EE:
2966   case ECOND_NUM_G:
2967   case ECOND_NUM_GE:
2968
2969   case ECOND_STR_LT:    /* String comparisons */
2970   case ECOND_STR_LTI:
2971   case ECOND_STR_LE:
2972   case ECOND_STR_LEI:
2973   case ECOND_STR_EQ:
2974   case ECOND_STR_EQI:
2975   case ECOND_STR_GT:
2976   case ECOND_STR_GTI:
2977   case ECOND_STR_GE:
2978   case ECOND_STR_GEI:
2979
2980   for (int i = 0; i < 2; i++)
2981     {
2982     BOOL textonly;
2983     /* Sometimes, we don't expand substrings; too many insecure configurations
2984     created using match_address{}{} and friends, where the second param
2985     includes information from untrustworthy sources. */
2986     /*XXX is this moot given taint-tracking? */
2987
2988     esi_flags flags = ESI_BRACE_ENDS;
2989
2990     if (!(i > 0 && !sub2_honour_dollar)) flags |= ESI_HONOR_DOLLAR;
2991     if (!yield) flags |= ESI_SKIPPING;
2992
2993     if (Uskip_whitespace(&s) != '{')
2994       {
2995       if (i == 0) goto COND_FAILED_CURLY_START;
2996       expand_string_message = string_sprintf("missing 2nd string in {} "
2997         "after \"%s\"", opname);
2998       goto failout;
2999       }
3000     if (!(sub[i] = expand_string_internal(s+1, flags, &s, resetok, &textonly)))
3001       goto failout;
3002     if (textonly) sub_textonly |= BIT(i);
3003     DEBUG(D_expand) if (i == 1 && !sub2_honour_dollar && Ustrchr(sub[1], '$'))
3004       debug_printf_indent("WARNING: the second arg is NOT expanded,"
3005                         " for security reasons\n");
3006     if (*s++ != '}') goto COND_FAILED_CURLY_END;
3007
3008     /* Convert to numerical if required; we know that the names of all the
3009     conditions that compare numbers do not start with a letter. This just saves
3010     checking for them individually. */
3011
3012     if (!isalpha(opname[0]) && yield)
3013       if (sub[i][0] == 0)
3014         {
3015         num[i] = 0;
3016         DEBUG(D_expand)
3017           debug_printf_indent("empty string cast to zero for numerical comparison\n");
3018         }
3019       else
3020         {
3021         num[i] = expanded_string_integer(sub[i], FALSE);
3022         if (expand_string_message) goto failout;
3023         }
3024     }
3025
3026   /* Result not required */
3027
3028   if (!yield) { next = s; goto out; }
3029
3030   /* Do an appropriate comparison */
3031
3032   switch(cond_type)
3033     {
3034     case ECOND_NUM_E:
3035     case ECOND_NUM_EE:
3036       tempcond = (num[0] == num[1]); break;
3037
3038     case ECOND_NUM_G:
3039       tempcond = (num[0] > num[1]); break;
3040
3041     case ECOND_NUM_GE:
3042       tempcond = (num[0] >= num[1]); break;
3043
3044     case ECOND_NUM_L:
3045       tempcond = (num[0] < num[1]); break;
3046
3047     case ECOND_NUM_LE:
3048       tempcond = (num[0] <= num[1]); break;
3049
3050     case ECOND_STR_LT:
3051       tempcond = (Ustrcmp(sub[0], sub[1]) < 0); break;
3052
3053     case ECOND_STR_LTI:
3054       tempcond = (strcmpic(sub[0], sub[1]) < 0); break;
3055
3056     case ECOND_STR_LE:
3057       tempcond = (Ustrcmp(sub[0], sub[1]) <= 0); break;
3058
3059     case ECOND_STR_LEI:
3060       tempcond = (strcmpic(sub[0], sub[1]) <= 0); break;
3061
3062     case ECOND_STR_EQ:
3063       tempcond = (Ustrcmp(sub[0], sub[1]) == 0); break;
3064
3065     case ECOND_STR_EQI:
3066       tempcond = (strcmpic(sub[0], sub[1]) == 0); break;
3067
3068     case ECOND_STR_GT:
3069       tempcond = (Ustrcmp(sub[0], sub[1]) > 0); break;
3070
3071     case ECOND_STR_GTI:
3072       tempcond = (strcmpic(sub[0], sub[1]) > 0); break;
3073
3074     case ECOND_STR_GE:
3075       tempcond = (Ustrcmp(sub[0], sub[1]) >= 0); break;
3076
3077     case ECOND_STR_GEI:
3078       tempcond = (strcmpic(sub[0], sub[1]) >= 0); break;
3079
3080     case ECOND_MATCH:   /* Regular expression match */
3081       {
3082       const pcre2_code * re = regex_compile(sub[1],
3083                   sub_textonly & BIT(1) ? MCS_CACHEABLE : MCS_NOFLAGS,
3084                   &expand_string_message, pcre_gen_cmp_ctx);
3085       if (!re)
3086         goto failout;
3087
3088       tempcond = regex_match_and_setup(re, sub[0], 0, -1);
3089       break;
3090       }
3091
3092     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
3093       rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0,
3094                               CUSS &lookup_value);
3095       goto MATCHED_SOMETHING;
3096
3097     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
3098       rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
3099         MCL_DOMAIN + MCL_NOEXPAND, TRUE, CUSS &lookup_value);
3100       goto MATCHED_SOMETHING;
3101
3102     case ECOND_MATCH_IP:       /* Match IP address in a host list */
3103       if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
3104         {
3105         expand_string_message = string_sprintf("\"%s\" is not an IP address",
3106           sub[0]);
3107         goto failout;
3108         }
3109       else
3110         {
3111         unsigned int *nullcache = NULL;
3112         check_host_block cb;
3113
3114         cb.host_name = US"";
3115         cb.host_address = sub[0];
3116
3117         /* If the host address starts off ::ffff: it is an IPv6 address in
3118         IPv4-compatible mode. Find the IPv4 part for checking against IPv4
3119         addresses. */
3120
3121         cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
3122           cb.host_address + 7 : cb.host_address;
3123
3124         rc = match_check_list(
3125                &sub[1],                   /* the list */
3126                0,                         /* separator character */
3127                &hostlist_anchor,          /* anchor pointer */
3128                &nullcache,                /* cache pointer */
3129                check_host,                /* function for testing */
3130                &cb,                       /* argument for function */
3131                MCL_HOST,                  /* type of check */
3132                sub[0],                    /* text for debugging */
3133                CUSS &lookup_value);       /* where to pass back data */
3134         }
3135       goto MATCHED_SOMETHING;
3136
3137     case ECOND_MATCH_LOCAL_PART:
3138       rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
3139         MCL_LOCALPART + MCL_NOEXPAND, TRUE, CUSS &lookup_value);
3140       /* Fall through */
3141       /* VVVVVVVVVVVV */
3142       MATCHED_SOMETHING:
3143       switch(rc)
3144         {
3145         case OK:   tempcond = TRUE;  break;
3146         case FAIL: tempcond = FALSE; break;
3147
3148         case DEFER:
3149           expand_string_message = string_sprintf("unable to complete match "
3150             "against \"%s\": %s", sub[1], search_error_message);
3151           goto failout;
3152         }
3153
3154       break;
3155
3156     /* Various "encrypted" comparisons. If the second string starts with
3157     "{" then an encryption type is given. Default to crypt() or crypt16()
3158     (build-time choice). */
3159     /* }-for-text-editors */
3160
3161     case ECOND_CRYPTEQ:
3162     #ifndef SUPPORT_CRYPTEQ
3163       goto COND_FAILED_NOT_COMPILED;
3164     #else
3165       if (strncmpic(sub[1], US"{md5}", 5) == 0)
3166         {
3167         int sublen = Ustrlen(sub[1]+5);
3168         md5 base;
3169         uschar digest[16];
3170
3171         md5_start(&base);
3172         md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
3173
3174         /* If the length that we are comparing against is 24, the MD5 digest
3175         is expressed as a base64 string. This is the way LDAP does it. However,
3176         some other software uses a straightforward hex representation. We assume
3177         this if the length is 32. Other lengths fail. */
3178
3179         if (sublen == 24)
3180           {
3181           uschar *coded = b64encode(CUS digest, 16);
3182           DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
3183             "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3184           tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
3185           }
3186         else if (sublen == 32)
3187           {
3188           uschar coded[36];
3189           for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3190           coded[32] = 0;
3191           DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
3192             "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3193           tempcond = (strcmpic(coded, sub[1]+5) == 0);
3194           }
3195         else
3196           {
3197           DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
3198             "fail\n  crypted=%s\n", sub[1]+5);
3199           tempcond = FALSE;
3200           }
3201         }
3202
3203       else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
3204         {
3205         int sublen = Ustrlen(sub[1]+6);
3206         hctx h;
3207         uschar digest[20];
3208
3209         sha1_start(&h);
3210         sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
3211
3212         /* If the length that we are comparing against is 28, assume the SHA1
3213         digest is expressed as a base64 string. If the length is 40, assume a
3214         straightforward hex representation. Other lengths fail. */
3215
3216         if (sublen == 28)
3217           {
3218           uschar *coded = b64encode(CUS digest, 20);
3219           DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
3220             "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3221           tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
3222           }
3223         else if (sublen == 40)
3224           {
3225           uschar coded[44];
3226           for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3227           coded[40] = 0;
3228           DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
3229             "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3230           tempcond = (strcmpic(coded, sub[1]+6) == 0);
3231           }
3232         else
3233           {
3234           DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
3235             "fail\n  crypted=%s\n", sub[1]+6);
3236           tempcond = FALSE;
3237           }
3238         }
3239
3240       else   /* {crypt} or {crypt16} and non-{ at start */
3241              /* }-for-text-editors */
3242         {
3243         int which = 0;
3244         uschar *coded;
3245
3246         if (strncmpic(sub[1], US"{crypt}", 7) == 0)
3247           {
3248           sub[1] += 7;
3249           which = 1;
3250           }
3251         else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
3252           {
3253           sub[1] += 9;
3254           which = 2;
3255           }
3256         else if (sub[1][0] == '{')              /* }-for-text-editors */
3257           {
3258           expand_string_message = string_sprintf("unknown encryption mechanism "
3259             "in \"%s\"", sub[1]);
3260           goto failout;
3261           }
3262
3263         switch(which)
3264           {
3265           case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
3266           case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
3267           default: coded = US crypt16(CS sub[0], CS sub[1]); break;
3268           }
3269
3270         #define STR(s) # s
3271         #define XSTR(s) STR(s)
3272         DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
3273           "  subject=%s\n  crypted=%s\n",
3274           which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
3275           coded, sub[1]);
3276         #undef STR
3277         #undef XSTR
3278
3279         /* If the encrypted string contains fewer than two characters (for the
3280         salt), force failure. Otherwise we get false positives: with an empty
3281         string the yield of crypt() is an empty string! */
3282
3283         if (coded)
3284           tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
3285         else if (errno == EINVAL)
3286           tempcond = FALSE;
3287         else
3288           {
3289           expand_string_message = string_sprintf("crypt error: %s\n",
3290             US strerror(errno));
3291           goto failout;
3292           }
3293         }
3294       break;
3295     #endif  /* SUPPORT_CRYPTEQ */
3296
3297     case ECOND_INLIST:
3298     case ECOND_INLISTI:
3299       {
3300       const uschar * list = sub[1];
3301       int sep = 0;
3302       uschar *save_iterate_item = iterate_item;
3303       int (*compare)(const uschar *, const uschar *);
3304
3305       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", opname, sub[0]);
3306
3307       tempcond = FALSE;
3308       compare = cond_type == ECOND_INLISTI
3309         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
3310
3311       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
3312         {
3313         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
3314         if (compare(sub[0], iterate_item) == 0)
3315           {
3316           tempcond = TRUE;
3317           lookup_value = iterate_item;
3318           break;
3319           }
3320         }
3321       iterate_item = save_iterate_item;
3322       }
3323
3324     }   /* Switch for comparison conditions */
3325
3326   *yield = tempcond == testfor;
3327   next = s; goto out;    /* End of comparison conditions */
3328
3329
3330   /* and/or: computes logical and/or of several conditions */
3331
3332   case ECOND_AND:
3333   case ECOND_OR:
3334   subcondptr = (yield == NULL) ? NULL : &tempcond;
3335   combined_cond = (cond_type == ECOND_AND);
3336
3337   Uskip_whitespace(&s);
3338   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3339
3340   for (;;)
3341     {
3342     /* {-for-text-editors */
3343     if (Uskip_whitespace(&s) == '}') break;
3344     if (*s != '{')                                      /* }-for-text-editors */
3345       {
3346       expand_string_message = string_sprintf("each subcondition "
3347         "inside an \"%s{...}\" condition must be in its own {}", opname);
3348       goto failout;
3349       }
3350
3351     if (!(s = eval_condition(s+1, resetok, subcondptr)))
3352       {
3353       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
3354         expand_string_message, opname);
3355       goto failout;
3356       }
3357     Uskip_whitespace(&s);
3358
3359     /* {-for-text-editors */
3360     if (*s++ != '}')
3361       {
3362       /* {-for-text-editors */
3363       expand_string_message = string_sprintf("missing } at end of condition "
3364         "inside \"%s\" group", opname);
3365       goto failout;
3366       }
3367
3368     if (yield)
3369       if (cond_type == ECOND_AND)
3370         {
3371         combined_cond &= tempcond;
3372         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
3373         }                                       /* evaluate any more */
3374       else
3375         {
3376         combined_cond |= tempcond;
3377         if (combined_cond) subcondptr = NULL;   /* once true, don't */
3378         }                                       /* evaluate any more */
3379     }
3380
3381   if (yield) *yield = (combined_cond == testfor);
3382   next = ++s; goto out;
3383
3384
3385   /* forall/forany: iterates a condition with different values */
3386
3387   case ECOND_FORALL:      is_forany = FALSE;  is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3388   case ECOND_FORANY:      is_forany = TRUE;   is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3389   case ECOND_FORALL_JSON: is_forany = FALSE;  is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3390   case ECOND_FORANY_JSON: is_forany = TRUE;   is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3391   case ECOND_FORALL_JSONS: is_forany = FALSE; is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3392   case ECOND_FORANY_JSONS: is_forany = TRUE;  is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3393
3394   FORMANY:
3395     {
3396     const uschar * list;
3397     int sep = 0;
3398     uschar *save_iterate_item = iterate_item;
3399
3400     DEBUG(D_expand) debug_printf_indent("condition: %s\n", opname);
3401
3402     Uskip_whitespace(&s);
3403     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3404     if (!(sub[0] = expand_string_internal(s,
3405       ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | (yield ? ESI_NOFLAGS : ESI_SKIPPING),
3406       &s, resetok, NULL)))
3407       goto failout;
3408     /* {-for-text-editors */
3409     if (*s++ != '}') goto COND_FAILED_CURLY_END;
3410
3411     Uskip_whitespace(&s);
3412     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3413
3414     sub[1] = s;
3415
3416     /* Call eval_condition once, with result discarded (as if scanning a
3417     "false" part). This allows us to find the end of the condition, because if
3418     the list it empty, we won't actually evaluate the condition for real. */
3419
3420     if (!(s = eval_condition(sub[1], resetok, NULL)))
3421       {
3422       expand_string_message = string_sprintf("%s inside \"%s\" condition",
3423         expand_string_message, opname);
3424       goto failout;
3425       }
3426     Uskip_whitespace(&s);
3427
3428     /* {-for-text-editors */
3429     if (*s++ != '}')
3430       {
3431       /* {-for-text-editors */
3432       expand_string_message = string_sprintf("missing } at end of condition "
3433         "inside \"%s\"", opname);
3434       goto failout;
3435       }
3436
3437     if (yield) *yield = !testfor;
3438     list = sub[0];
3439     if (is_json) list = dewrap(string_copy(list), US"[]");
3440     while ((iterate_item = is_json
3441       ? json_nextinlist(&list) : string_nextinlist(&list, &sep, NULL, 0)))
3442       {
3443       if (is_jsons)
3444         if (!(iterate_item = dewrap(iterate_item, US"\"\"")))
3445           {
3446           expand_string_message =
3447             string_sprintf("%s wrapping string result for extract jsons",
3448               expand_string_message);
3449           iterate_item = save_iterate_item;
3450           goto failout;
3451           }
3452
3453       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", opname, iterate_item);
3454       if (!eval_condition(sub[1], resetok, &tempcond))
3455         {
3456         expand_string_message = string_sprintf("%s inside \"%s\" condition",
3457           expand_string_message, opname);
3458         iterate_item = save_iterate_item;
3459         goto failout;
3460         }
3461       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", opname,
3462         tempcond? "true":"false");
3463
3464       if (yield) *yield = (tempcond == testfor);
3465       if (tempcond == is_forany) break;
3466       }
3467
3468     iterate_item = save_iterate_item;
3469     next = s; goto out;
3470     }
3471
3472
3473   /* The bool{} expansion condition maps a string to boolean.
3474   The values supported should match those supported by the ACL condition
3475   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
3476   of true/false.  Note that Router "condition" rules have a different
3477   interpretation, where general data can be used and only a few values
3478   map to FALSE.
3479   Note that readconf.c boolean matching, for boolean configuration options,
3480   only matches true/yes/false/no.
3481   The bool_lax{} condition matches the Router logic, which is much more
3482   liberal. */
3483   case ECOND_BOOL:
3484   case ECOND_BOOL_LAX:
3485     {
3486     uschar *sub_arg[1];
3487     uschar *t, *t2;
3488     uschar *ourname;
3489     size_t len;
3490     BOOL boolvalue = FALSE;
3491
3492     if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3493     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3494     switch(read_subs(sub_arg, 1, 1, &s,
3495             yield ? ESI_NOFLAGS : ESI_SKIPPING, FALSE, ourname, resetok, NULL))
3496       {
3497       case 1: expand_string_message = string_sprintf(
3498                   "too few arguments or bracketing error for %s",
3499                   ourname);
3500       /*FALLTHROUGH*/
3501       case 2:
3502       case 3: goto failout;
3503       }
3504     t = sub_arg[0];
3505     Uskip_whitespace(&t);
3506     if ((len = Ustrlen(t)))
3507       {
3508       /* trailing whitespace: seems like a good idea to ignore it too */
3509       t2 = t + len - 1;
3510       while (isspace(*t2)) t2--;
3511       if (t2 != (t + len))
3512         {
3513         *++t2 = '\0';
3514         len = t2 - t;
3515         }
3516       }
3517     DEBUG(D_expand)
3518       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3519     /* logic for the lax case from expand_check_condition(), which also does
3520     expands, and the logic is both short and stable enough that there should
3521     be no maintenance burden from replicating it. */
3522     if (len == 0)
3523       boolvalue = FALSE;
3524     else if (*t == '-'
3525              ? Ustrspn(t+1, "0123456789") == len-1
3526              : Ustrspn(t,   "0123456789") == len)
3527       {
3528       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3529       /* expand_check_condition only does a literal string "0" check */
3530       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3531         boolvalue = TRUE;
3532       }
3533     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3534       boolvalue = TRUE;
3535     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3536       boolvalue = FALSE;
3537     else if (cond_type == ECOND_BOOL_LAX)
3538       boolvalue = TRUE;
3539     else
3540       {
3541       expand_string_message = string_sprintf("unrecognised boolean "
3542        "value \"%s\"", t);
3543       goto failout;
3544       }
3545     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3546         boolvalue? "true":"false");
3547     if (yield) *yield = (boolvalue == testfor);
3548     next = s; goto out;
3549     }
3550
3551 #ifdef SUPPORT_SRS
3552   case ECOND_INBOUND_SRS:
3553     /* ${if inbound_srs {local_part}{secret}  {yes}{no}} */
3554     {
3555     uschar * sub[2];
3556     const pcre2_code * re;
3557     pcre2_match_data * md;
3558     PCRE2_SIZE * ovec;
3559     int quoting = 0;
3560     uschar cksum[4];
3561     BOOL boolvalue = FALSE;
3562
3563     switch(read_subs(sub, 2, 2, CUSS &s,
3564             yield ? ESI_NOFLAGS : ESI_SKIPPING, FALSE, name, resetok, NULL))
3565       {
3566       case 1: expand_string_message = US"too few arguments or bracketing "
3567         "error for inbound_srs";
3568       case 2:
3569       case 3: goto failout;
3570       }
3571
3572     /* Match the given local_part against the SRS-encoded pattern */
3573
3574     re = regex_must_compile(US"^(?i)SRS0=([^=]+)=([A-Z2-7]{2})=([^=]*)=(.*)$",
3575                             MCS_CASELESS | MCS_CACHEABLE, FALSE);
3576     md = pcre2_match_data_create(4+1, pcre_gen_ctx);
3577     if (pcre2_match(re, sub[0], PCRE2_ZERO_TERMINATED, 0, PCRE_EOPT,
3578                     md, pcre_gen_mtc_ctx) < 0)
3579       {
3580       DEBUG(D_expand) debug_printf("no match for SRS'd local-part pattern\n");
3581       goto srs_result;
3582       }
3583     ovec = pcre2_get_ovector_pointer(md);
3584
3585     if (sub[0][0] == '"')
3586       quoting = 1;
3587     else for (uschar * s = sub[0]; *s; s++)
3588       if (!isalnum(*s) && Ustrchr(".!#$%&'*+-/=?^_`{|}~", *s) == NULL)
3589         { quoting = 1; break; }
3590     if (quoting)
3591       DEBUG(D_expand) debug_printf_indent("auto-quoting local part\n");
3592
3593     /* Record the (quoted, if needed) decoded recipient as $srs_recipient */
3594
3595     srs_recipient = string_sprintf("%.*s%.*S%.*s@%.*S",         /* lowercased */
3596                       quoting, "\"",
3597                       (int) (ovec[9]-ovec[8]), sub[0] + ovec[8],  /* substr 4 */
3598                       quoting, "\"",
3599                       (int) (ovec[7]-ovec[6]), sub[0] + ovec[6]); /* substr 3 */
3600
3601     /* If a zero-length secret was given, we're done.  Otherwise carry on
3602     and validate the given SRS local_part againt our secret. */
3603
3604     if (*sub[1])
3605       {
3606       /* check the timestamp */
3607         {
3608         struct timeval now;
3609         uschar * ss = sub[0] + ovec[4]; /* substring 2, the timestamp */
3610         long d;
3611         int n;
3612
3613         gettimeofday(&now, NULL);
3614         now.tv_sec /= 86400;                    /* days since epoch */
3615
3616         /* Decode substring 2 from base32 to a number */
3617
3618         for (d = 0, n = ovec[5]-ovec[4]; n; n--)
3619           {
3620           uschar * t = Ustrchr(base32_chars, *ss++);
3621           d = d * 32 + (t - base32_chars);
3622           }
3623
3624         if (((now.tv_sec - d) & 0x3ff) > 10)    /* days since SRS generated */
3625           {
3626           DEBUG(D_expand) debug_printf("SRS too old\n");
3627           goto srs_result;
3628           }
3629         }
3630
3631       /* check length of substring 1, the offered checksum */
3632
3633       if (ovec[3]-ovec[2] != 4)
3634         {
3635         DEBUG(D_expand) debug_printf("SRS checksum wrong size\n");
3636         goto srs_result;
3637         }
3638
3639       /* Hash the address with our secret, and compare that computed checksum
3640       with the one extracted from the arg */
3641
3642       hmac_md5(sub[1], srs_recipient, cksum, sizeof(cksum));
3643       if (Ustrncmp(cksum, sub[0] + ovec[2], 4) != 0)
3644         {
3645         DEBUG(D_expand) debug_printf("SRS checksum mismatch\n");
3646         goto srs_result;
3647         }
3648       }
3649     boolvalue = TRUE;
3650
3651 srs_result:
3652     /* pcre2_match_data_free(md);       gen ctx needs no free */
3653     if (yield) *yield = (boolvalue == testfor);
3654     next = s; goto out;
3655     }
3656 #endif /*SUPPORT_SRS*/
3657
3658   /* Unknown condition */
3659
3660   default:
3661     if (!expand_string_message || !*expand_string_message)
3662       expand_string_message = string_sprintf("unknown condition \"%s\"", opname);
3663     goto failout;
3664   }   /* End switch on condition type */
3665
3666 /* Missing braces at start and end of data */
3667
3668 COND_FAILED_CURLY_START:
3669 expand_string_message = string_sprintf("missing { after \"%s\"", opname);
3670 goto failout;
3671
3672 COND_FAILED_CURLY_END:
3673 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3674   opname);
3675 goto failout;
3676
3677 /* A condition requires code that is not compiled */
3678
3679 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3680     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3681     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3682 COND_FAILED_NOT_COMPILED:
3683 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3684   opname);
3685 goto failout;
3686 #endif
3687
3688 failout:
3689   next = NULL;
3690 out:
3691   expand_level--;
3692   return next;
3693 }
3694
3695
3696
3697
3698 /*************************************************
3699 *          Save numerical variables              *
3700 *************************************************/
3701
3702 /* This function is called from items such as "if" that want to preserve and
3703 restore the numbered variables.
3704
3705 Arguments:
3706   save_expand_string    points to an array of pointers to set
3707   save_expand_nlength   points to an array of ints for the lengths
3708
3709 Returns:                the value of expand max to save
3710 */
3711
3712 static int
3713 save_expand_strings(const uschar **save_expand_nstring, int *save_expand_nlength)
3714 {
3715 for (int i = 0; i <= expand_nmax; i++)
3716   {
3717   save_expand_nstring[i] = expand_nstring[i];
3718   save_expand_nlength[i] = expand_nlength[i];
3719   }
3720 return expand_nmax;
3721 }
3722
3723
3724
3725 /*************************************************
3726 *           Restore numerical variables          *
3727 *************************************************/
3728
3729 /* This function restored saved values of numerical strings.
3730
3731 Arguments:
3732   save_expand_nmax      the number of strings to restore
3733   save_expand_string    points to an array of pointers
3734   save_expand_nlength   points to an array of ints
3735
3736 Returns:                nothing
3737 */
3738
3739 static void
3740 restore_expand_strings(int save_expand_nmax, const uschar **save_expand_nstring,
3741   int *save_expand_nlength)
3742 {
3743 expand_nmax = save_expand_nmax;
3744 for (int i = 0; i <= expand_nmax; i++)
3745   {
3746   expand_nstring[i] = save_expand_nstring[i];
3747   expand_nlength[i] = save_expand_nlength[i];
3748   }
3749 }
3750
3751
3752
3753
3754
3755 /*************************************************
3756 *            Handle yes/no substrings            *
3757 *************************************************/
3758
3759 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3760 alternative substrings that depend on whether or not the condition was true,
3761 or the lookup or extraction succeeded. The substrings always have to be
3762 expanded, to check their syntax, but "skipping" is set when the result is not
3763 needed - this avoids unnecessary nested lookups.
3764
3765 Arguments:
3766   flags
3767    skipping       TRUE if we were skipping when this item was reached
3768   yes            TRUE if the first string is to be used, else use the second
3769   save_lookup    a value to put back into lookup_value before the 2nd expansion
3770   sptr           points to the input string pointer
3771   yieldptr       points to the output growable-string pointer
3772   type           "lookup", "if", "extract", "run", "env", "listextract" or
3773                  "certextract" for error message
3774   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3775                 the store.
3776
3777 Returns:         0 OK; lookup_value has been reset to save_lookup
3778                  1 expansion failed
3779                  2 expansion failed because of bracketing error
3780 */
3781
3782 static int
3783 process_yesno(esi_flags flags, BOOL yes, uschar *save_lookup, const uschar **sptr,
3784   gstring ** yieldptr, uschar *type, BOOL *resetok)
3785 {
3786 int rc = 0;
3787 const uschar *s = *sptr;    /* Local value */
3788 uschar *sub1, *sub2;
3789 const uschar * errwhere;
3790
3791 flags &= ESI_SKIPPING;          /* Ignore all buf the skipping flag */
3792
3793 /* If there are no following strings, we substitute the contents of $value for
3794 lookups and for extractions in the success case. For the ${if item, the string
3795 "true" is substituted. In the fail case, nothing is substituted for all three
3796 items. */
3797
3798 if (skip_whitespace(&s) == '}')
3799   {
3800   if (type[0] == 'i')
3801     {
3802     if (yes && !(flags & ESI_SKIPPING))
3803       *yieldptr = string_catn(*yieldptr, US"true", 4);
3804     }
3805   else
3806     {
3807     if (yes && lookup_value && !(flags & ESI_SKIPPING))
3808       *yieldptr = string_cat(*yieldptr, lookup_value);
3809     lookup_value = save_lookup;
3810     }
3811   s++;
3812   goto RETURN;
3813   }
3814
3815 /* The first following string must be braced. */
3816
3817 if (*s++ != '{')
3818   {
3819   errwhere = US"'yes' part did not start with '{'";             /*}}*/
3820   goto FAILED_CURLY;
3821   }
3822
3823 /* Expand the first substring. Forced failures are noticed only if we actually
3824 want this string. Set skipping in the call in the fail case (this will always
3825 be the case if we were already skipping). */
3826
3827 sub1 = expand_string_internal(s,
3828   ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | (yes ? ESI_NOFLAGS : ESI_SKIPPING),
3829   &s, resetok, NULL);
3830 if (sub1 == NULL && (yes || !f.expand_string_forcedfail)) goto FAILED;
3831 f.expand_string_forcedfail = FALSE;
3832                                                                 /*{{*/
3833 if (*s++ != '}')
3834   {
3835   errwhere = US"'yes' part did not end with '}'";
3836   goto FAILED_CURLY;
3837   }
3838
3839 /* If we want the first string, add it to the output */
3840
3841 if (yes)
3842   *yieldptr = string_cat(*yieldptr, sub1);
3843
3844 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3845 $value to what it was at the start of the item, so that it has this value
3846 during the second string expansion. For the call from "if" or "run" to this
3847 function, save_lookup is set to lookup_value, so that this statement does
3848 nothing. */
3849
3850 lookup_value = save_lookup;
3851
3852 /* There now follows either another substring, or "fail", or nothing. This
3853 time, forced failures are noticed only if we want the second string. We must
3854 set skipping in the nested call if we don't want this string, or if we were
3855 already skipping. */
3856
3857 if (skip_whitespace(&s) == '{')                                 /*}*/
3858   {
3859   esi_flags s_flags = ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags;
3860   if (yes) s_flags |= ESI_SKIPPING;
3861   sub2 = expand_string_internal(s+1, s_flags, &s, resetok, NULL);
3862   if (!sub2 && (!yes || !f.expand_string_forcedfail)) goto FAILED;
3863   f.expand_string_forcedfail = FALSE;                           /*{*/
3864   if (*s++ != '}')
3865     {
3866     errwhere = US"'no' part did not start with '{'";            /*}*/
3867     goto FAILED_CURLY;
3868     }
3869
3870   /* If we want the second string, add it to the output */
3871
3872   if (!yes)
3873     *yieldptr = string_cat(*yieldptr, sub2);
3874   }
3875                                                                 /*{{*/
3876 /* If there is no second string, but the word "fail" is present when the use of
3877 the second string is wanted, set a flag indicating it was a forced failure
3878 rather than a syntactic error. Swallow the terminating } in case this is nested
3879 inside another lookup or if or extract. */
3880
3881 else if (*s != '}')
3882   {
3883   uschar name[256];
3884   /* deconst cast ok here as source is s anyway */
3885   s = US read_name(name, sizeof(name), s, US"_");
3886   if (Ustrcmp(name, "fail") == 0)
3887     {
3888     if (!yes && !(flags & ESI_SKIPPING))
3889       {
3890       Uskip_whitespace(&s);                                     /*{{*/
3891       if (*s++ != '}')
3892         {
3893         errwhere = US"did not close with '}' after forcedfail";
3894         goto FAILED_CURLY;
3895         }
3896       expand_string_message =
3897         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3898       f.expand_string_forcedfail = TRUE;
3899       goto FAILED;
3900       }
3901     }
3902   else
3903     {
3904     expand_string_message =
3905       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3906     goto FAILED;
3907     }
3908   }
3909
3910 /* All we have to do now is to check on the final closing brace. */
3911
3912 skip_whitespace(&s);                                            /*{{*/
3913 if (*s++ != '}')
3914   {
3915   errwhere = US"did not close with '}'";
3916   goto FAILED_CURLY;
3917   }
3918
3919
3920 RETURN:
3921 /* Update the input pointer value before returning */
3922 *sptr = s;
3923 return rc;
3924
3925 FAILED_CURLY:
3926   /* Get here if there is a bracketing failure */
3927   expand_string_message = string_sprintf(
3928     "curly-bracket problem in conditional yes/no parsing: %s\n"
3929     " remaining string is '%s'", errwhere, --s);
3930   rc = 2;
3931   goto RETURN;
3932
3933 FAILED:
3934   /* Get here for other failures */
3935   rc = 1;
3936   goto RETURN;
3937 }
3938
3939
3940
3941
3942 /********************************************************
3943 * prvs: Get last three digits of days since Jan 1, 1970 *
3944 ********************************************************/
3945
3946 /* This is needed to implement the "prvs" BATV reverse
3947    path signing scheme
3948
3949 Argument: integer "days" offset to add or substract to
3950           or from the current number of days.
3951
3952 Returns:  pointer to string containing the last three
3953           digits of the number of days since Jan 1, 1970,
3954           modified by the offset argument, NULL if there
3955           was an error in the conversion.
3956
3957 */
3958
3959 static uschar *
3960 prvs_daystamp(int day_offset)
3961 {
3962 uschar * days = store_get(32, GET_UNTAINTED);      /* Need at least 24 for cases */
3963 (void)string_format(days, 32, TIME_T_FMT,          /* where TIME_T_FMT is %lld */
3964   (time(NULL) + day_offset*86400)/86400);
3965 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3966 }
3967
3968
3969
3970 /********************************************************
3971 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3972 ********************************************************/
3973
3974 /* This is needed to implement the "prvs" BATV reverse
3975    path signing scheme
3976
3977 Arguments:
3978   address RFC2821 Address to use
3979       key The key to use (must be less than 64 characters
3980           in size)
3981   key_num Single-digit key number to use. Defaults to
3982           '0' when NULL.
3983
3984 Returns:  pointer to string containing the first three
3985           bytes of the final hash in hex format, NULL if
3986           there was an error in the process.
3987 */
3988
3989 static uschar *
3990 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3991 {
3992 gstring * hash_source;
3993 uschar * p;
3994 hctx h;
3995 uschar innerhash[20];
3996 uschar finalhash[20];
3997 uschar innerkey[64];
3998 uschar outerkey[64];
3999 uschar *finalhash_hex;
4000
4001 if (!key_num)
4002   key_num = US"0";
4003
4004 if (Ustrlen(key) > 64)
4005   return NULL;
4006
4007 hash_source = string_catn(NULL, key_num, 1);
4008 hash_source = string_catn(hash_source, daystamp, 3);
4009 hash_source = string_cat(hash_source, address);
4010
4011 DEBUG(D_expand)
4012   debug_printf_indent("prvs: hash source is '%Y'\n", hash_source);
4013
4014 memset(innerkey, 0x36, 64);
4015 memset(outerkey, 0x5c, 64);
4016
4017 for (int i = 0; i < Ustrlen(key); i++)
4018   {
4019   innerkey[i] ^= key[i];
4020   outerkey[i] ^= key[i];
4021   }
4022
4023 chash_start(HMAC_SHA1, &h);
4024 chash_mid(HMAC_SHA1, &h, innerkey);
4025 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
4026
4027 chash_start(HMAC_SHA1, &h);
4028 chash_mid(HMAC_SHA1, &h, outerkey);
4029 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
4030
4031 /* Hashing is deemed sufficient to de-taint any input data */
4032
4033 p = finalhash_hex = store_get(40, GET_UNTAINTED);
4034 for (int i = 0; i < 3; i++)
4035   {
4036   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
4037   *p++ = hex_digits[finalhash[i] & 0x0f];
4038   }
4039 *p = '\0';
4040
4041 return finalhash_hex;
4042 }
4043
4044
4045
4046
4047 /*************************************************
4048 *        Join a file onto the output string      *
4049 *************************************************/
4050
4051 /* This is used for readfile/readsock and after a run expansion.
4052 It joins the contents of a file onto the output string, globally replacing
4053 newlines with a given string (optionally).
4054
4055 Arguments:
4056   f            the FILE
4057   yield        pointer to the expandable string struct
4058   eol          newline replacement string, or NULL
4059
4060 Returns:       new pointer for expandable string, terminated if non-null
4061 */
4062
4063 gstring *
4064 cat_file(FILE * f, gstring * yield, uschar * eol)
4065 {
4066 uschar buffer[1024];
4067
4068 while (Ufgets(buffer, sizeof(buffer), f))
4069   {
4070   int len = Ustrlen(buffer);
4071   if (eol && buffer[len-1] == '\n') len--;
4072   yield = string_catn(yield, buffer, len);
4073   if (eol && buffer[len])
4074     yield = string_cat(yield, eol);
4075   }
4076 return yield;
4077 }
4078
4079
4080 #ifndef DISABLE_TLS
4081 gstring *
4082 cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
4083 {
4084 int rc;
4085 uschar buffer[1024];
4086
4087 /*XXX could we read direct into a pre-grown string? */
4088
4089 while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
4090   for (uschar * s = buffer; rc--; s++)
4091     yield = eol && *s == '\n'
4092       ? string_cat(yield, eol) : string_catn(yield, s, 1);
4093
4094 /* We assume that all errors, and any returns of zero bytes,
4095 are actually EOF. */
4096
4097 return yield;
4098 }
4099 #endif
4100
4101
4102 /*************************************************
4103 *          Evaluate numeric expression           *
4104 *************************************************/
4105
4106 /* This is a set of mutually recursive functions that evaluate an arithmetic
4107 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
4108 these functions that is called from elsewhere is eval_expr, whose interface is:
4109
4110 Arguments:
4111   sptr        pointer to the pointer to the string - gets updated
4112   decimal     TRUE if numbers are to be assumed decimal
4113   error       pointer to where to put an error message - must be NULL on input
4114   endket      TRUE if ')' must terminate - FALSE for external call
4115
4116 Returns:      on success: the value of the expression, with *error still NULL
4117               on failure: an undefined value, with *error = a message
4118 */
4119
4120 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
4121
4122
4123 static int_eximarith_t
4124 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
4125 {
4126 uschar *s = *sptr;
4127 int_eximarith_t x = eval_op_or(&s, decimal, error);
4128
4129 if (!*error)
4130   if (endket)
4131     if (*s != ')')
4132       *error = US"expecting closing parenthesis";
4133     else
4134       while (isspace(*++s)) ;
4135   else if (*s)
4136     *error = US"expecting operator";
4137 *sptr = s;
4138 return x;
4139 }
4140
4141
4142 static int_eximarith_t
4143 eval_number(uschar **sptr, BOOL decimal, uschar **error)
4144 {
4145 int c;
4146 int_eximarith_t n;
4147 uschar *s = *sptr;
4148
4149 if (isdigit((c = Uskip_whitespace(&s))))
4150   {
4151   int count;
4152   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
4153   s += count;
4154   switch (tolower(*s))
4155     {
4156     default: break;
4157     case 'k': n *= 1024; s++; break;
4158     case 'm': n *= 1024*1024; s++; break;
4159     case 'g': n *= 1024*1024*1024; s++; break;
4160     }
4161   Uskip_whitespace(&s);
4162   }
4163 else if (c == '(')
4164   {
4165   s++;
4166   n = eval_expr(&s, decimal, error, 1);
4167   }
4168 else
4169   {
4170   *error = US"expecting number or opening parenthesis";
4171   n = 0;
4172   }
4173 *sptr = s;
4174 return n;
4175 }
4176
4177
4178 static int_eximarith_t
4179 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
4180 {
4181 uschar *s = *sptr;
4182 int_eximarith_t x;
4183 Uskip_whitespace(&s);
4184 if (*s == '+' || *s == '-' || *s == '~')
4185   {
4186   int op = *s++;
4187   x = eval_op_unary(&s, decimal, error);
4188   if (op == '-') x = -x;
4189     else if (op == '~') x = ~x;
4190   }
4191 else
4192   x = eval_number(&s, decimal, error);
4193
4194 *sptr = s;
4195 return x;
4196 }
4197
4198
4199 static int_eximarith_t
4200 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
4201 {
4202 uschar *s = *sptr;
4203 int_eximarith_t x = eval_op_unary(&s, decimal, error);
4204 if (!*error)
4205   {
4206   while (*s == '*' || *s == '/' || *s == '%')
4207     {
4208     int op = *s++;
4209     int_eximarith_t y = eval_op_unary(&s, decimal, error);
4210     if (*error) break;
4211     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
4212      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
4213      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
4214      * -N*M is INT_MIN will yield INT_MIN.
4215      * Since we don't support floating point, this is somewhat simpler.
4216      * Ideally, we'd return an error, but since we overflow for all other
4217      * arithmetic, consistency suggests otherwise, but what's the correct value
4218      * to use?  There is none.
4219      * The C standard guarantees overflow for unsigned arithmetic but signed
4220      * overflow invokes undefined behaviour; in practice, this is overflow
4221      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
4222      * that long/longlong larger than int are available, or we could just work
4223      * with larger types.  We should consider whether to guarantee 32bit eval
4224      * and 64-bit working variables, with errors returned.  For now ...
4225      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
4226      * can just let the other invalid results occur otherwise, as they have
4227      * until now.  For this one case, we can coerce.
4228      */
4229     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
4230       {
4231       DEBUG(D_expand)
4232         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
4233             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
4234       x = EXIM_ARITH_MAX;
4235       continue;
4236       }
4237     if (op == '*')
4238       x *= y;
4239     else
4240       {
4241       if (y == 0)
4242         {
4243         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
4244         x = 0;
4245         break;
4246         }
4247       if (op == '/')
4248         x /= y;
4249       else
4250         x %= y;
4251       }
4252     }
4253   }
4254 *sptr = s;
4255 return x;
4256 }
4257
4258
4259 static int_eximarith_t
4260 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
4261 {
4262 uschar *s = *sptr;
4263 int_eximarith_t x = eval_op_mult(&s, decimal, error);
4264 if (!*error)
4265   {
4266   while (*s == '+' || *s == '-')
4267     {
4268     int op = *s++;
4269     int_eximarith_t y = eval_op_mult(&s, decimal, error);
4270     if (*error) break;
4271     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
4272        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
4273       {                 /* over-conservative check */
4274       *error = op == '+'
4275         ? US"overflow in sum" : US"overflow in difference";
4276       break;
4277       }
4278     if (op == '+') x += y; else x -= y;
4279     }
4280   }
4281 *sptr = s;
4282 return x;
4283 }
4284
4285
4286 static int_eximarith_t
4287 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
4288 {
4289 uschar *s = *sptr;
4290 int_eximarith_t x = eval_op_sum(&s, decimal, error);
4291 if (!*error)
4292   {
4293   while ((*s == '<' || *s == '>') && s[1] == s[0])
4294     {
4295     int_eximarith_t y;
4296     int op = *s++;
4297     s++;
4298     y = eval_op_sum(&s, decimal, error);
4299     if (*error) break;
4300     if (op == '<') x <<= y; else x >>= y;
4301     }
4302   }
4303 *sptr = s;
4304 return x;
4305 }
4306
4307
4308 static int_eximarith_t
4309 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
4310 {
4311 uschar *s = *sptr;
4312 int_eximarith_t x = eval_op_shift(&s, decimal, error);
4313 if (!*error)
4314   {
4315   while (*s == '&')
4316     {
4317     int_eximarith_t y;
4318     s++;
4319     y = eval_op_shift(&s, decimal, error);
4320     if (*error) break;
4321     x &= y;
4322     }
4323   }
4324 *sptr = s;
4325 return x;
4326 }
4327
4328
4329 static int_eximarith_t
4330 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
4331 {
4332 uschar *s = *sptr;
4333 int_eximarith_t x = eval_op_and(&s, decimal, error);
4334 if (!*error)
4335   {
4336   while (*s == '^')
4337     {
4338     int_eximarith_t y;
4339     s++;
4340     y = eval_op_and(&s, decimal, error);
4341     if (*error) break;
4342     x ^= y;
4343     }
4344   }
4345 *sptr = s;
4346 return x;
4347 }
4348
4349
4350 static int_eximarith_t
4351 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
4352 {
4353 uschar *s = *sptr;
4354 int_eximarith_t x = eval_op_xor(&s, decimal, error);
4355 if (!*error)
4356   {
4357   while (*s == '|')
4358     {
4359     int_eximarith_t y;
4360     s++;
4361     y = eval_op_xor(&s, decimal, error);
4362     if (*error) break;
4363     x |= y;
4364     }
4365   }
4366 *sptr = s;
4367 return x;
4368 }
4369
4370
4371
4372 /************************************************/
4373 /* Comparison operation for sort expansion.  We need to avoid
4374 re-expanding the fields being compared, so need a custom routine.
4375
4376 Arguments:
4377  cond_type              Comparison operator code
4378  leftarg, rightarg      Arguments for comparison
4379
4380 Return true iff (leftarg compare rightarg)
4381 */
4382
4383 static BOOL
4384 sortsbefore(int cond_type, BOOL alpha_cond,
4385   const uschar * leftarg, const uschar * rightarg)
4386 {
4387 int_eximarith_t l_num, r_num;
4388
4389 if (!alpha_cond)
4390   {
4391   l_num = expanded_string_integer(leftarg, FALSE);
4392   if (expand_string_message) return FALSE;
4393   r_num = expanded_string_integer(rightarg, FALSE);
4394   if (expand_string_message) return FALSE;
4395
4396   switch (cond_type)
4397     {
4398     case ECOND_NUM_G:   return l_num >  r_num;
4399     case ECOND_NUM_GE:  return l_num >= r_num;
4400     case ECOND_NUM_L:   return l_num <  r_num;
4401     case ECOND_NUM_LE:  return l_num <= r_num;
4402     default: break;
4403     }
4404   }
4405 else
4406   switch (cond_type)
4407     {
4408     case ECOND_STR_LT:  return Ustrcmp (leftarg, rightarg) <  0;
4409     case ECOND_STR_LTI: return strcmpic(leftarg, rightarg) <  0;
4410     case ECOND_STR_LE:  return Ustrcmp (leftarg, rightarg) <= 0;
4411     case ECOND_STR_LEI: return strcmpic(leftarg, rightarg) <= 0;
4412     case ECOND_STR_GT:  return Ustrcmp (leftarg, rightarg) >  0;
4413     case ECOND_STR_GTI: return strcmpic(leftarg, rightarg) >  0;
4414     case ECOND_STR_GE:  return Ustrcmp (leftarg, rightarg) >= 0;
4415     case ECOND_STR_GEI: return strcmpic(leftarg, rightarg) >= 0;
4416     default: break;
4417     }
4418 return FALSE;   /* should not happen */
4419 }
4420
4421
4422 /* Expand a named list.  Return false on failure. */
4423 static gstring *
4424 expand_listnamed(gstring * yield, const uschar * name, const uschar * listtype)
4425 {
4426 tree_node *t = NULL;
4427 const uschar * list;
4428 int sep = 0;
4429 uschar * item;
4430 BOOL needsep = FALSE;
4431 #define LISTNAMED_BUF_SIZE 256
4432 uschar b[LISTNAMED_BUF_SIZE];
4433 uschar * buffer = b;
4434
4435 if (*name == '+') name++;
4436 if (!listtype)          /* no-argument version */
4437   {
4438   if (  !(t = tree_search(addresslist_anchor, name))
4439      && !(t = tree_search(domainlist_anchor,  name))
4440      && !(t = tree_search(hostlist_anchor,    name)))
4441     t = tree_search(localpartlist_anchor, name);
4442   }
4443 else switch(*listtype)  /* specific list-type version */
4444   {
4445   case 'a': t = tree_search(addresslist_anchor,   name); break;
4446   case 'd': t = tree_search(domainlist_anchor,    name); break;
4447   case 'h': t = tree_search(hostlist_anchor,      name); break;
4448   case 'l': t = tree_search(localpartlist_anchor, name); break;
4449   default:
4450     expand_string_message = US"bad suffix on \"list\" operator";
4451     return yield;
4452   }
4453
4454 if(!t)
4455   {
4456   expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
4457     name, !listtype?""
4458       : *listtype=='a'?"address "
4459       : *listtype=='d'?"domain "
4460       : *listtype=='h'?"host "
4461       : *listtype=='l'?"localpart "
4462       : 0);
4463   return yield;
4464   }
4465
4466 list = ((namedlist_block *)(t->data.ptr))->string;
4467
4468 /* The list could be quite long so we (re)use a buffer for each element
4469 rather than getting each in new memory */
4470
4471 if (is_tainted(list)) buffer = store_get(LISTNAMED_BUF_SIZE, GET_TAINTED);
4472 while ((item = string_nextinlist(&list, &sep, buffer, LISTNAMED_BUF_SIZE)))
4473   {
4474   uschar * buf = US" : ";
4475   if (needsep)
4476     yield = string_catn(yield, buf, 3);
4477   else
4478     needsep = TRUE;
4479
4480   if (*item == '+')     /* list item is itself a named list */
4481     {
4482     yield = expand_listnamed(yield, item, listtype);
4483     if (expand_string_message)
4484       return yield;
4485     }
4486
4487   else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
4488     {
4489     char tok[3];
4490     tok[0] = sep; tok[1] = ':'; tok[2] = 0;
4491
4492     for(char * cp; cp = strpbrk(CCS item, tok); item = US cp)
4493       {
4494       yield = string_catn(yield, item, cp - CS item);
4495       if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
4496         yield = string_catn(yield, US"::", 2);
4497       else              /* sep in item; should already be doubled; emit once */
4498         {
4499         yield = string_catn(yield, US tok, 1);
4500         if (*cp == sep) cp++;
4501         }
4502       }
4503     yield = string_cat(yield, item);
4504     }
4505   else
4506     yield = string_cat(yield, item);
4507   }
4508 return yield;
4509 }
4510
4511
4512
4513 /************************************************/
4514 static void
4515 debug_expansion_interim(const uschar * what, const uschar * value, int nchar,
4516   esi_flags flags)
4517 {
4518 debug_printf_indent("%V", "K");
4519
4520 for (int fill = 11 - Ustrlen(what); fill > 0; fill--)
4521   debug_printf("%V", "-");
4522
4523 debug_printf("%s: %.*W\n", what, nchar, value);
4524 if (is_tainted(value))
4525   debug_printf_indent("%V          %V(tainted)\n",
4526     flags & ESI_SKIPPING ? "|" : " ", "\\__");
4527 }
4528
4529
4530 /*************************************************
4531 *                 Expand string                  *
4532 *************************************************/
4533
4534 /* Returns either an unchanged string, or the expanded string in stacking pool
4535 store. Interpreted sequences are:
4536
4537    \...                    normal escaping rules
4538    $name                   substitutes the variable
4539    ${name}                 ditto
4540    ${op:string}            operates on the expanded string value
4541    ${item{arg1}{arg2}...}  expands the args and then does the business
4542                              some literal args are not enclosed in {}
4543
4544 There are now far too many operators and item types to make it worth listing
4545 them here in detail any more.
4546
4547 We use an internal routine recursively to handle embedded substrings. The
4548 external function follows. The yield is NULL if the expansion failed, and there
4549 are two cases: if something collapsed syntactically, or if "fail" was given
4550 as the action on a lookup failure. These can be distinguished by looking at the
4551 variable expand_string_forcedfail, which is TRUE in the latter case.
4552
4553 The skipping flag is set true when expanding a substring that isn't actually
4554 going to be used (after "if" or "lookup") and it prevents lookups from
4555 happening lower down.
4556
4557 Store usage: At start, a store block of the length of the input plus 64
4558 is obtained. This is expanded as necessary by string_cat(), which might have to
4559 get a new block, or might be able to expand the original. At the end of the
4560 function we can release any store above that portion of the yield block that
4561 was actually used. In many cases this will be optimal.
4562
4563 However: if the first item in the expansion is a variable name or header name,
4564 we reset the store before processing it; if the result is in fresh store, we
4565 use that without copying. This is helpful for expanding strings like
4566 $message_headers which can get very long.
4567
4568 There's a problem if a ${dlfunc item has side-effects that cause allocation,
4569 since resetting the store at the end of the expansion will free store that was
4570 allocated by the plugin code as well as the slop after the expanded string. So
4571 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
4572 and, given the acl condition, ${if }. This is an unfortunate consequence of
4573 string expansion becoming too powerful.
4574
4575 Arguments:
4576   string         the string to be expanded
4577   flags
4578    brace_ends     expansion is to stop at }
4579    honour_dollar  TRUE if $ is to be expanded,
4580                   FALSE if it's just another character
4581    skipping       TRUE for recursive calls when the value isn't actually going
4582                   to be used (to allow for optimisation)
4583   left           if not NULL, a pointer to the first character after the
4584                  expansion is placed here (typically used with brace_ends)
4585   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
4586                  the store.
4587   textonly_p     if not NULL, pointer to flag - write bool for only-met-text
4588
4589 Returns:         NULL if expansion fails:
4590                    expand_string_forcedfail is set TRUE if failure was forced
4591                    expand_string_message contains a textual error message
4592                  a pointer to the expanded string on success
4593 */
4594
4595 static uschar *
4596 expand_string_internal(const uschar * string, esi_flags flags, const uschar ** left,
4597   BOOL *resetok_p, BOOL * textonly_p)
4598 {
4599 rmark reset_point = store_mark();
4600 gstring * yield = string_get(Ustrlen(string) + 64);
4601 int item_type;
4602 const uschar * s = string;
4603 const uschar * save_expand_nstring[EXPAND_MAXN+1];
4604 int save_expand_nlength[EXPAND_MAXN+1];
4605 BOOL resetok = TRUE, first = TRUE, textonly = TRUE;
4606
4607 expand_level++;
4608 f.expand_string_forcedfail = FALSE;
4609 expand_string_message = US"";
4610
4611 if (is_tainted(string))
4612   {
4613   expand_string_message =
4614     string_sprintf("attempt to expand tainted string '%s'", s);
4615   log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4616   goto EXPAND_FAILED;
4617   }
4618
4619 while (*s)
4620   {
4621   uschar name[256];
4622
4623   DEBUG(D_expand)
4624     {
4625     debug_printf_indent("%V%V%s: %W\n",
4626       first ? "/" : "K",
4627       flags & ESI_SKIPPING ? "---" : "",
4628       flags & ESI_SKIPPING ? "scanning" : "considering", s);
4629     first = FALSE;
4630     }
4631
4632   /* \ escapes the next character, which must exist, or else
4633   the expansion fails. There's a special escape, \N, which causes
4634   copying of the subject verbatim up to the next \N. Otherwise,
4635   the escapes are the standard set. */
4636
4637   if (*s == '\\')
4638     {
4639     if (s[1] == 0)
4640       {
4641       expand_string_message = US"\\ at end of string";
4642       goto EXPAND_FAILED;
4643       }
4644
4645     if (s[1] == 'N')
4646       {
4647       const uschar * t = s + 2;
4648       for (s = t; *s ; s++) if (*s == '\\' && s[1] == 'N') break;
4649
4650       DEBUG(D_expand)
4651         debug_expansion_interim(US"protected", t, (int)(s - t), flags);
4652       if (!(flags & ESI_SKIPPING))
4653         yield = string_catn(yield, t, s - t);
4654       if (*s) s += 2;
4655       }
4656     else
4657       {
4658       uschar ch[1];
4659       DEBUG(D_expand)
4660         debug_printf_indent("%Vbackslashed: '\\%c'\n", "K", s[1]);
4661       ch[0] = string_interpret_escape(&s);
4662       if (!(flags & ESI_SKIPPING))
4663         yield = string_catn(yield, ch, 1);
4664       s++;
4665       }
4666     continue;
4667     }
4668
4669                                                                         /*{{*/
4670   /* Anything other than $ is just copied verbatim, unless we are
4671   looking for a terminating } character. */
4672
4673   if (flags & ESI_BRACE_ENDS && *s == '}') break;
4674
4675   if (*s != '$' || !(flags & ESI_HONOR_DOLLAR))
4676     {
4677     int i = 1;                                                          /*{*/
4678     for (const uschar * t = s+1;
4679         *t && *t != '$' && *t != '}' && *t != '\\'; t++) i++;
4680
4681     DEBUG(D_expand) debug_expansion_interim(US"text", s, i, flags);
4682
4683     if (!(flags & ESI_SKIPPING))
4684       yield = string_catn(yield, s, i);
4685     s += i;
4686     continue;
4687     }
4688   textonly = FALSE;
4689
4690   /* No { after the $ - must be a plain name or a number for string
4691   match variable. There has to be a fudge for variables that are the
4692   names of header fields preceded by "$header_" because header field
4693   names can contain any printing characters except space and colon.
4694   For those that don't like typing this much, "$h_" is a synonym for
4695   "$header_". A non-existent header yields a NULL value; nothing is
4696   inserted. */  /*}*/
4697
4698   if (isalpha(*++s))
4699     {
4700     const uschar * value;
4701     int newsize = 0, len;
4702     gstring * g = NULL;
4703     uschar * t;
4704
4705     s = read_name(name, sizeof(name), s, US"_");
4706
4707     /* If this is the first thing to be expanded, release the pre-allocated
4708     buffer. */
4709
4710     if (!(flags & ESI_SKIPPING))
4711       if (!yield)
4712         g = store_get(sizeof(gstring), GET_UNTAINTED);
4713       else if (yield->ptr == 0)
4714         {
4715         if (resetok) reset_point = store_reset(reset_point);
4716         yield = NULL;
4717         reset_point = store_mark();
4718         g = store_get(sizeof(gstring), GET_UNTAINTED);  /* alloc _before_ calling find_variable() */
4719         }
4720
4721     /* Header */
4722
4723     if (  ( *(t = name) == 'h'
4724           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
4725           )
4726        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
4727        )
4728       {
4729       unsigned flags = *name == 'r' ? FH_WANT_RAW
4730                       : *name == 'l' ? FH_WANT_RAW|FH_WANT_LIST
4731                       : 0;
4732       const uschar * charset = *name == 'b' ? NULL : headers_charset;
4733
4734       s = read_header_name(name, sizeof(name), s);
4735       value = find_header(name, &newsize, flags, charset);
4736
4737       /* If we didn't find the header, and the header contains a closing brace
4738       character, this may be a user error where the terminating colon
4739       has been omitted. Set a flag to adjust the error message in this case.
4740       But there is no error here - nothing gets inserted. */
4741
4742       if (!value)
4743         {                                                               /*{*/
4744         if (Ustrchr(name, '}')) malformed_header = TRUE;
4745         continue;
4746         }
4747       }
4748
4749     /* Variable */
4750
4751     else if (!(value = find_variable(name, flags, &newsize)))
4752       {
4753       expand_string_message =
4754         string_sprintf("unknown variable name \"%s\"", name);
4755         check_variable_error_message(name);
4756       goto EXPAND_FAILED;
4757       }
4758
4759     /* If the data is known to be in a new buffer, newsize will be set to the
4760     size of that buffer. If this is the first thing in an expansion string,
4761     yield will be NULL; just point it at the new store instead of copying. Many
4762     expansion strings contain just one reference, so this is a useful
4763     optimization, especially for humungous headers.  We need to use a gstring
4764     structure that is not allocated after that new-buffer, else a later store
4765     reset in the middle of the buffer will make it inaccessible. */
4766
4767     len = Ustrlen(value);
4768     DEBUG(D_expand) debug_expansion_interim(US"value", value, len, flags);
4769     if (!(flags & ESI_SKIPPING))
4770       if (!yield && newsize != 0)
4771         {
4772         yield = g;
4773         yield->size = newsize;
4774         yield->ptr = len;
4775         yield->s = US value; /* known to be in new store i.e. a copy, so deconst safe */
4776         }
4777       else
4778         yield = string_catn(yield, value, len);
4779
4780     continue;
4781     }
4782
4783   if (isdigit(*s))              /* A $<n> variable */
4784     {
4785     int n;
4786     s = read_cnumber(&n, s);
4787     if (n >= 0 && n <= expand_nmax)
4788       {
4789       DEBUG(D_expand) debug_expansion_interim(US"value", expand_nstring[n], expand_nlength[n], flags);
4790       if (!(flags & ESI_SKIPPING))
4791         yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4792       }
4793     continue;
4794     }
4795
4796   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4797
4798   if (*s != '{')                                                        /*}*/
4799     {
4800     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4801     goto EXPAND_FAILED;
4802     }
4803
4804   /* After { there can be various things, but they all start with
4805   an initial word, except for a number for a string match variable. */  /*}*/
4806
4807   if (isdigit(*++s))
4808     {
4809     int n;
4810     s = read_cnumber(&n, s);                                            /*{{*/
4811     if (*s++ != '}')
4812       {
4813       expand_string_message = US"} expected after number";
4814       goto EXPAND_FAILED;
4815       }
4816     if (n >= 0 && n <= expand_nmax)
4817       {
4818       DEBUG(D_expand) debug_expansion_interim(US"value", expand_nstring[n], expand_nlength[n], flags);
4819       if (!(flags & ESI_SKIPPING))
4820         yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4821       }
4822     continue;
4823     }
4824
4825   if (!isalpha(*s))
4826     {
4827     expand_string_message = US"letter or digit expected after ${";      /*}*/
4828     goto EXPAND_FAILED;
4829     }
4830
4831   /* Allow "-" in names to cater for substrings with negative
4832   arguments. Since we are checking for known names after { this is
4833   OK. */                                                                /*}*/
4834
4835   s = read_name(name, sizeof(name), s, US"_-");
4836   item_type = chop_match(name, item_table, nelem(item_table));
4837
4838   /* Switch on item type.  All nondefault choices should "continue* when
4839   skipping, but "break" otherwise so we get debug output for the item
4840   expansion. */
4841   {
4842   int expansion_start = gstring_length(yield);
4843   switch(item_type)
4844     {
4845     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4846     If the ACL returns accept or reject we return content set by "message ="
4847     There is currently no limit on recursion; this would have us call
4848     acl_check_internal() directly and get a current level from somewhere.
4849     See also the acl expansion condition ECOND_ACL and the traditional
4850     acl modifier ACLC_ACL.
4851     Assume that the function has side-effects on the store that must be preserved.
4852     */
4853
4854     case EITEM_ACL:
4855       /* ${acl {name} {arg1}{arg2}...} */
4856       {
4857       uschar * sub[10]; /* name + arg1-arg9 (which must match number of acl_arg[]) */
4858       uschar * user_msg;
4859       int rc;
4860
4861       switch(read_subs(sub, nelem(sub), 1, &s, flags, TRUE, name, &resetok, NULL))
4862         {
4863         case -1: continue;              /* skipping */
4864         case 1: goto EXPAND_FAILED_CURLY;
4865         case 2:
4866         case 3: goto EXPAND_FAILED;
4867         }
4868
4869       resetok = FALSE;
4870       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
4871         {
4872         case OK:
4873         case FAIL:
4874           DEBUG(D_expand)
4875             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4876           if (user_msg)
4877             yield = string_cat(yield, user_msg);
4878           break;
4879
4880         case DEFER:
4881           f.expand_string_forcedfail = TRUE;
4882           /*FALLTHROUGH*/
4883         default:
4884           expand_string_message = string_sprintf("%s from acl \"%s\"",
4885             rc_names[rc], sub[0]);
4886           goto EXPAND_FAILED;
4887         }
4888       break;
4889       }
4890
4891     case EITEM_AUTHRESULTS:
4892       /* ${authresults {mysystemname}} */
4893       {
4894       uschar * sub_arg[1];
4895
4896       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, flags, TRUE, name, &resetok, NULL))
4897         {
4898         case -1: continue;      /* If skipping, we don't actually do anything */
4899         case 1: goto EXPAND_FAILED_CURLY;
4900         case 2:
4901         case 3: goto EXPAND_FAILED;
4902         }
4903
4904       yield = string_append(yield, 3,
4905                         US"Authentication-Results: ", sub_arg[0], US"; none");
4906       yield->ptr -= 6;                  /* ignore tha ": none" for now */
4907
4908       yield = authres_local(yield, sub_arg[0]);
4909       yield = authres_iprev(yield);
4910       yield = authres_smtpauth(yield);
4911 #ifdef SUPPORT_SPF
4912       yield = authres_spf(yield);
4913 #endif
4914 #ifndef DISABLE_DKIM
4915       yield = authres_dkim(yield);
4916 #endif
4917 #ifdef SUPPORT_DMARC
4918       yield = authres_dmarc(yield);
4919 #endif
4920 #ifdef EXPERIMENTAL_ARC
4921       yield = authres_arc(yield);
4922 #endif
4923       break;
4924       }
4925
4926     /* Handle conditionals - preserve the values of the numerical expansion
4927     variables in case they get changed by a regular expression match in the
4928     condition. If not, they retain their external settings. At the end
4929     of this "if" section, they get restored to their previous values. */
4930
4931     case EITEM_IF:
4932       {
4933       BOOL cond = FALSE;
4934       const uschar *next_s;
4935       int save_expand_nmax =
4936         save_expand_strings(save_expand_nstring, save_expand_nlength);
4937       uschar * save_lookup_value = lookup_value;
4938
4939       Uskip_whitespace(&s);
4940       if (!(next_s = eval_condition(s, &resetok, flags & ESI_SKIPPING ? NULL : &cond)))
4941         goto EXPAND_FAILED;  /* message already set */
4942
4943       DEBUG(D_expand)
4944         {
4945         debug_expansion_interim(US"condition", s, (int)(next_s - s), flags);
4946         debug_expansion_interim(US"result",
4947           cond ? US"true" : US"false", cond ? 4 : 5, flags);
4948         }
4949
4950       s = next_s;
4951
4952       /* The handling of "yes" and "no" result strings is now in a separate
4953       function that is also used by ${lookup} and ${extract} and ${run}. */
4954
4955       switch(process_yesno(
4956                flags,                   /* were previously skipping */
4957                cond,                    /* success/failure indicator */
4958                lookup_value,                    /* value to reset for string2 */
4959                &s,                      /* input pointer */
4960                &yield,                  /* output pointer */
4961                US"if",                  /* condition type */
4962                &resetok))
4963         {
4964         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4965         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4966         }
4967
4968       /* Restore external setting of expansion variables for continuation
4969       at this level. */
4970
4971       lookup_value = save_lookup_value;
4972       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4973         save_expand_nlength);
4974       break;
4975       }
4976
4977 #ifdef SUPPORT_I18N
4978     case EITEM_IMAPFOLDER:
4979       {                         /* ${imapfolder {name}{sep}{specials}} */
4980       uschar *sub_arg[3];
4981       uschar *encoded;
4982
4983       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, flags, TRUE, name, &resetok, NULL))
4984         {
4985         case 1: goto EXPAND_FAILED_CURLY;
4986         case 2:
4987         case 3: goto EXPAND_FAILED;
4988         }
4989
4990       if (!sub_arg[1])                  /* One argument */
4991         {
4992         sub_arg[1] = US"/";             /* default separator */
4993         sub_arg[2] = NULL;
4994         }
4995       else if (Ustrlen(sub_arg[1]) != 1)
4996         {
4997         expand_string_message =
4998           string_sprintf(
4999                 "IMAP folder separator must be one character, found \"%s\"",
5000                 sub_arg[1]);
5001         goto EXPAND_FAILED;
5002         }
5003
5004       if (flags & ESI_SKIPPING) continue;
5005
5006       if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
5007                           sub_arg[1][0], sub_arg[2], &expand_string_message)))
5008         goto EXPAND_FAILED;
5009       yield = string_cat(yield, encoded);
5010       break;
5011       }
5012 #endif
5013
5014     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
5015     expanding an internal string that isn't actually going to be used. All we
5016     need to do is check the syntax, so don't do a lookup at all. Preserve the
5017     values of the numerical expansion variables in case they get changed by a
5018     partial lookup. If not, they retain their external settings. At the end
5019     of this "lookup" section, they get restored to their previous values. */
5020
5021     case EITEM_LOOKUP:
5022       {
5023       int expand_setup = 0, nameptr = 0;
5024       int partial, affixlen, starflags;
5025       const lookup_info * li;
5026       uschar * key, * filename;
5027       const uschar * affix, * opts;
5028       uschar * save_lookup_value = lookup_value;
5029       int save_expand_nmax =
5030         save_expand_strings(save_expand_nstring, save_expand_nlength);
5031
5032       if (expand_forbid & RDO_LOOKUP)
5033         {
5034         expand_string_message = US"lookup expansions are not permitted";
5035         goto EXPAND_FAILED;
5036         }
5037
5038       /* Get the key we are to look up for single-key+file style lookups.
5039       Otherwise set the key NULL pro-tem. */
5040
5041       if (Uskip_whitespace(&s) == '{')                                  /*}*/
5042         {
5043         key = expand_string_internal(s+1,
5044                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
5045         if (!key) goto EXPAND_FAILED;                   /*{{*/
5046         if (*s++ != '}')
5047           {
5048           expand_string_message = US"missing '}' after lookup key";
5049           goto EXPAND_FAILED_CURLY;
5050           }
5051         Uskip_whitespace(&s);
5052         }
5053       else key = NULL;
5054
5055       /* Find out the type of database */
5056
5057       if (!isalpha(*s))
5058         {
5059         expand_string_message = US"missing lookup type";
5060         goto EXPAND_FAILED;
5061         }
5062
5063       /* The type is a string that may contain special characters of various
5064       kinds. Allow everything except space or { to appear; the actual content
5065       is checked by search_findtype_partial. */         /*}*/
5066
5067       while (*s && *s != '{' && !isspace(*s))           /*}*/
5068         {
5069         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
5070         s++;
5071         }
5072       name[nameptr] = '\0';
5073       Uskip_whitespace(&s);
5074
5075       /* Now check for the individual search type and any partial or default
5076       options. Only those types that are actually in the binary are valid. */
5077
5078       if (!(li = search_findtype_partial(name, &partial, &affix, &affixlen,
5079           &starflags, &opts)))
5080         {
5081         expand_string_message = search_error_message;
5082         goto EXPAND_FAILED;
5083         }
5084
5085       /* Check that a key was provided for those lookup types that need it,
5086       and was not supplied for those that use the query style. */
5087
5088       if (!mac_islookup(li, lookup_querystyle|lookup_absfilequery))
5089         {
5090         if (!key)
5091           {
5092           expand_string_message = string_sprintf("missing {key} for single-"
5093             "key \"%s\" lookup", name);
5094           goto EXPAND_FAILED;
5095           }
5096         }
5097       else if (key)
5098         {
5099         expand_string_message = string_sprintf("a single key was given for "
5100           "lookup type \"%s\", which is not a single-key lookup type", name);
5101         goto EXPAND_FAILED;
5102         }
5103
5104       /* Get the next string in brackets and expand it. It is the file name for
5105       single-key+file lookups, and the whole query otherwise. In the case of
5106       queries that also require a file name (e.g. sqlite), the file name comes
5107       first. */
5108
5109       if (*s != '{')
5110         {
5111         expand_string_message = US"missing '{' for lookup file-or-query arg";
5112         goto EXPAND_FAILED_CURLY;                                               /*}}*/
5113         }
5114       if (!(filename = expand_string_internal(s+1,
5115                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
5116         goto EXPAND_FAILED;
5117                                                                                 /*{{*/
5118       if (*s++ != '}')
5119         {
5120         expand_string_message = US"missing '}' closing lookup file-or-query arg";
5121         goto EXPAND_FAILED_CURLY;
5122         }
5123       Uskip_whitespace(&s);
5124
5125       /* If this isn't a single-key+file lookup, re-arrange the variables
5126       to be appropriate for the search_ functions. For query-style lookups,
5127       there is just a "key", and no file name. For the special query-style +
5128       file types, the query (i.e. "key") starts with a file name. */
5129
5130       if (!key)
5131         key = search_args(li, name, filename, &filename, opts);
5132
5133       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
5134       the entry was not found. Note that there is no search_close() function.
5135       Files are left open in case of re-use. At suitable places in higher logic,
5136       search_tidyup() is called to tidy all open files. This can save opening
5137       the same file several times. However, files may also get closed when
5138       others are opened, if too many are open at once. The rule is that a
5139       handle should not be used after a second search_open().
5140
5141       Request that a partial search sets up $1 and maybe $2 by passing
5142       expand_setup containing zero. If its value changes, reset expand_nmax,
5143       since new variables will have been set. Note that at the end of this
5144       "lookup" section, the old numeric variables are restored. */
5145
5146       if (flags & ESI_SKIPPING)
5147         lookup_value = NULL;
5148       else
5149         {
5150         void * handle = search_open(filename, li, 0, NULL, NULL);
5151         if (!handle)
5152           {
5153           expand_string_message = search_error_message;
5154           goto EXPAND_FAILED;
5155           }
5156         lookup_value = search_find(handle, filename, key, partial, affix,
5157           affixlen, starflags, &expand_setup, opts);
5158         if (f.search_find_defer)
5159           {
5160           expand_string_message =
5161             string_sprintf("lookup of \"%s\" gave DEFER: %s",
5162               string_printing2(key, SP_TAB), search_error_message);
5163           goto EXPAND_FAILED;
5164           }
5165         if (expand_setup > 0) expand_nmax = expand_setup;
5166         }
5167
5168       /* The handling of "yes" and "no" result strings is now in a separate
5169       function that is also used by ${if} and ${extract}. */
5170
5171       switch(process_yesno(
5172                flags,                   /* were previously skipping */
5173                lookup_value != NULL,    /* success/failure indicator */
5174                save_lookup_value,       /* value to reset for string2 */
5175                &s,                      /* input pointer */
5176                &yield,                  /* output pointer */
5177                US"lookup",              /* condition type */
5178                &resetok))
5179         {
5180         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5181         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5182         }
5183
5184       /* Restore external setting of expansion variables for carrying on
5185       at this level, and continue. */
5186
5187       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5188         save_expand_nlength);
5189
5190       if (flags & ESI_SKIPPING) continue;
5191       break;
5192       }
5193
5194     /* If Perl support is configured, handle calling embedded perl subroutines,
5195     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
5196     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
5197     arguments (defined below). */
5198
5199 #define EXIM_PERL_MAX_ARGS 8
5200
5201     case EITEM_PERL:
5202 #ifndef EXIM_PERL
5203       expand_string_message = US"\"${perl\" encountered, but this facility "    /*}*/
5204         "is not included in this binary";
5205       goto EXPAND_FAILED;
5206
5207 #else   /* EXIM_PERL */
5208       {
5209       uschar * sub_arg[EXIM_PERL_MAX_ARGS + 2];
5210       gstring * new_yield;
5211
5212       if (expand_forbid & RDO_PERL)
5213         {
5214         expand_string_message = US"Perl calls are not permitted";
5215         goto EXPAND_FAILED;
5216         }
5217
5218       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, flags, TRUE,
5219            name, &resetok, NULL))
5220         {
5221         case -1: continue;      /* If skipping, we don't actually do anything */
5222         case 1: goto EXPAND_FAILED_CURLY;
5223         case 2:
5224         case 3: goto EXPAND_FAILED;
5225         }
5226
5227       /* Start the interpreter if necessary */
5228
5229       if (!opt_perl_started)
5230         {
5231         uschar * initerror;
5232         if (!opt_perl_startup)
5233           {
5234           expand_string_message = US"A setting of perl_startup is needed when "
5235             "using the Perl interpreter";
5236           goto EXPAND_FAILED;
5237           }
5238         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
5239         if ((initerror = init_perl(opt_perl_startup)))
5240           {
5241           expand_string_message =
5242             string_sprintf("error in perl_startup code: %s\n", initerror);
5243           goto EXPAND_FAILED;
5244           }
5245         opt_perl_started = TRUE;
5246         }
5247
5248       /* Call the function */
5249
5250       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
5251       new_yield = call_perl_cat(yield, &expand_string_message,
5252         sub_arg[0], sub_arg + 1);
5253
5254       /* NULL yield indicates failure; if the message pointer has been set to
5255       NULL, the yield was undef, indicating a forced failure. Otherwise the
5256       message will indicate some kind of Perl error. */
5257
5258       if (!new_yield)
5259         {
5260         if (!expand_string_message)
5261           {
5262           expand_string_message =
5263             string_sprintf("Perl subroutine \"%s\" returned undef to force "
5264               "failure", sub_arg[0]);
5265           f.expand_string_forcedfail = TRUE;
5266           }
5267         goto EXPAND_FAILED;
5268         }
5269
5270       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
5271       set during a callback from Perl. */
5272
5273       f.expand_string_forcedfail = FALSE;
5274       yield = new_yield;
5275       break;
5276       }
5277 #endif /* EXIM_PERL */
5278
5279     /* Transform email address to "prvs" scheme to use
5280        as BATV-signed return path */
5281
5282     case EITEM_PRVS:
5283       {
5284       uschar * sub_arg[3], * p, * domain;
5285
5286       switch(read_subs(sub_arg, 3, 2, &s, flags, TRUE, name, &resetok, NULL))
5287         {
5288         case -1: continue;      /* If skipping, we don't actually do anything */
5289         case 1: goto EXPAND_FAILED_CURLY;
5290         case 2:
5291         case 3: goto EXPAND_FAILED;
5292         }
5293
5294       /* sub_arg[0] is the address */
5295       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
5296          || domain == sub_arg[0] || Ustrlen(domain) == 1)
5297         {
5298         expand_string_message = US"prvs first argument must be a qualified email address";
5299         goto EXPAND_FAILED;
5300         }
5301
5302       /* Calculate the hash. The third argument must be a single-digit
5303       key number, or unset. */
5304
5305       if (  sub_arg[2]
5306          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
5307         {
5308         expand_string_message = US"prvs third argument must be a single digit";
5309         goto EXPAND_FAILED;
5310         }
5311
5312       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
5313       if (!p)
5314         {
5315         expand_string_message = US"prvs hmac-sha1 conversion failed";
5316         goto EXPAND_FAILED;
5317         }
5318
5319       /* Now separate the domain from the local part */
5320       *domain++ = '\0';
5321
5322       yield = string_catn(yield, US"prvs=", 5);
5323       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
5324       yield = string_catn(yield, prvs_daystamp(7), 3);
5325       yield = string_catn(yield, p, 6);
5326       yield = string_catn(yield, US"=", 1);
5327       yield = string_cat (yield, sub_arg[0]);
5328       yield = string_catn(yield, US"@", 1);
5329       yield = string_cat (yield, domain);
5330
5331       break;
5332       }
5333
5334     /* Check a prvs-encoded address for validity */
5335
5336     case EITEM_PRVSCHECK:
5337       {
5338       uschar * sub_arg[3], * p;
5339       gstring * g;
5340       const pcre2_code * re;
5341
5342       /* Reset expansion variables */
5343       prvscheck_result = NULL;
5344       prvscheck_address = NULL;
5345       prvscheck_keynum = NULL;
5346
5347       switch(read_subs(sub_arg, 1, 1, &s, flags, FALSE, name, &resetok, NULL))
5348         {
5349         case 1: goto EXPAND_FAILED_CURLY;
5350         case 2:
5351         case 3: goto EXPAND_FAILED;
5352         }
5353
5354       re = regex_must_compile(
5355         US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
5356         MCS_CASELESS | MCS_CACHEABLE, FALSE);
5357
5358       if (regex_match_and_setup(re,sub_arg[0],0,-1))
5359         {
5360         uschar * local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
5361         uschar * key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
5362         uschar * daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
5363         uschar * hash = string_copyn(expand_nstring[3],expand_nlength[3]);
5364         uschar * domain = string_copyn(expand_nstring[5],expand_nlength[5]);
5365
5366         DEBUG(D_expand)
5367           {
5368           debug_printf_indent("prvscheck localpart: %s\n", local_part);
5369           debug_printf_indent("prvscheck key number: %s\n", key_num);
5370           debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
5371           debug_printf_indent("prvscheck hash: %s\n", hash);
5372           debug_printf_indent("prvscheck domain: %s\n", domain);
5373           }
5374
5375         /* Set up expansion variables */
5376         g = string_cat (NULL, local_part);
5377         g = string_catn(g, US"@", 1);
5378         g = string_cat (g, domain);
5379         prvscheck_address = string_from_gstring(g);
5380         prvscheck_keynum = string_copy(key_num);
5381
5382         /* Now expand the second argument */
5383         switch(read_subs(sub_arg, 1, 1, &s, flags, FALSE, name, &resetok, NULL))
5384           {
5385           case 1: goto EXPAND_FAILED_CURLY;
5386           case 2:
5387           case 3: goto EXPAND_FAILED;
5388           }
5389
5390         /* Now we have the key and can check the address. */
5391
5392         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
5393           daystamp);
5394         if (!p)
5395           {
5396           expand_string_message = US"hmac-sha1 conversion failed";
5397           goto EXPAND_FAILED;
5398           }
5399
5400         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
5401         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
5402
5403         if (Ustrcmp(p,hash) == 0)
5404           {
5405           /* Success, valid BATV address. Now check the expiry date. */
5406           uschar *now = prvs_daystamp(0);
5407           unsigned int inow = 0,iexpire = 1;
5408
5409           (void)sscanf(CS now,"%u",&inow);
5410           (void)sscanf(CS daystamp,"%u",&iexpire);
5411
5412           /* When "iexpire" is < 7, a "flip" has occurred.
5413              Adjust "inow" accordingly. */
5414           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
5415
5416           if (iexpire >= inow)
5417             {
5418             prvscheck_result = US"1";
5419             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $prvscheck_result set to 1\n");
5420             }
5421           else
5422             {
5423             prvscheck_result = NULL;
5424             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $prvscheck_result unset\n");
5425             }
5426           }
5427         else
5428           {
5429           prvscheck_result = NULL;
5430           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $prvscheck_result unset\n");
5431           }
5432
5433         /* Now expand the final argument. We leave this till now so that
5434         it can include $prvscheck_result. */
5435
5436         switch(read_subs(sub_arg, 1, 0, &s, flags, TRUE, name, &resetok, NULL))
5437           {
5438           case 1: goto EXPAND_FAILED_CURLY;
5439           case 2:
5440           case 3: goto EXPAND_FAILED;
5441           }
5442
5443         yield = string_cat(yield,
5444           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
5445
5446         /* Reset the "internal" variables afterwards, because they are in
5447         dynamic store that will be reclaimed if the expansion succeeded. */
5448
5449         prvscheck_address = NULL;
5450         prvscheck_keynum = NULL;
5451         }
5452       else
5453         /* Does not look like a prvs encoded address, return the empty string.
5454            We need to make sure all subs are expanded first, so as to skip over
5455            the entire item. */
5456
5457         switch(read_subs(sub_arg, 2, 1, &s, flags, TRUE, name, &resetok, NULL))
5458           {
5459           case 1: goto EXPAND_FAILED_CURLY;
5460           case 2:
5461           case 3: goto EXPAND_FAILED;
5462           }
5463
5464       if (flags & ESI_SKIPPING) continue;
5465       break;
5466       }
5467
5468     /* Handle "readfile" to insert an entire file */
5469
5470     case EITEM_READFILE:
5471       {
5472       FILE * f;
5473       uschar * sub_arg[2];
5474
5475       if ((expand_forbid & RDO_READFILE) != 0)
5476         {
5477         expand_string_message = US"file insertions are not permitted";
5478         goto EXPAND_FAILED;
5479         }
5480
5481       switch(read_subs(sub_arg, 2, 1, &s, flags, TRUE, name, &resetok, NULL))
5482         {
5483         case -1: continue;      /* If skipping, we don't actually do anything */
5484         case 1: goto EXPAND_FAILED_CURLY;
5485         case 2:
5486         case 3: goto EXPAND_FAILED;
5487         }
5488
5489       /* Open the file and read it */
5490
5491       if (!(f = Ufopen(sub_arg[0], "rb")))
5492         {
5493         expand_string_message = string_open_failed("%s", sub_arg[0]);
5494         goto EXPAND_FAILED;
5495         }
5496
5497       yield = cat_file(f, yield, sub_arg[1]);
5498       (void)fclose(f);
5499       break;
5500       }
5501
5502     /* Handle "readsocket" to insert data from a socket, either
5503     Inet or Unix domain */
5504
5505     case EITEM_READSOCK:
5506       {
5507       uschar * arg;
5508       uschar * sub_arg[4];
5509
5510       if (expand_forbid & RDO_READSOCK)
5511         {
5512         expand_string_message = US"socket insertions are not permitted";
5513         goto EXPAND_FAILED;
5514         }
5515
5516       /* Read up to 4 arguments, but don't do the end of item check afterwards,
5517       because there may be a string for expansion on failure. */
5518
5519       switch(read_subs(sub_arg, 4, 2, &s, flags, FALSE, name, &resetok, NULL))
5520         {
5521         case 1: goto EXPAND_FAILED_CURLY;
5522         case 2:                             /* Won't occur: no end check */
5523         case 3: goto EXPAND_FAILED;
5524         }
5525
5526       /* If skipping, we don't actually do anything. Otherwise, arrange to
5527       connect to either an IP or a Unix socket. */
5528
5529       if (!(flags & ESI_SKIPPING))
5530         {
5531         const lookup_info * li = search_findtype(US"readsock", 8);
5532         gstring * g = NULL;
5533         void * handle;
5534         int expand_setup = -1;
5535         uschar * s;
5536
5537         if (!li)
5538           {
5539           expand_string_message = search_error_message;
5540           goto EXPAND_FAILED;
5541           }
5542
5543         /* If the reqstr is empty, flag that and set a dummy */
5544
5545         if (!sub_arg[1][0])
5546           {
5547           g = string_append_listele(g, ',', US"send=no");
5548           sub_arg[1] = US"DUMMY";
5549           }
5550
5551         /* Re-marshall the options */
5552
5553         if (sub_arg[2])
5554           {
5555           const uschar * list = sub_arg[2];
5556           uschar * item;
5557           int sep = 0;
5558
5559           /* First option has no tag and is timeout */
5560           if ((item = string_nextinlist(&list, &sep, NULL, 0)))
5561             g = string_append_listele(g, ',',
5562                   string_sprintf("timeout=%s", item));
5563
5564           /* The rest of the options from the expansion */
5565           while ((item = string_nextinlist(&list, &sep, NULL, 0)))
5566             g = string_append_listele(g, ',', item);
5567
5568           /* possibly plus an EOL string.  Process with escapes, to protect
5569           from list-processing.  The only current user of eol= in search
5570           options is the readsock expansion. */
5571
5572           if (sub_arg[3] && *sub_arg[3])
5573             g = string_append_listele(g, ',',
5574                   string_sprintf("eol=%s",
5575                     string_printing2(sub_arg[3], SP_TAB|SP_SPACE)));
5576           }
5577
5578         /* Gat a (possibly cached) handle for the connection */
5579
5580         if (!(handle = search_open(sub_arg[0], li, 0, NULL, NULL)))
5581           {
5582           if (*expand_string_message) goto EXPAND_FAILED;
5583           expand_string_message = search_error_message;
5584           search_error_message = NULL;
5585           goto SOCK_FAIL;
5586           }
5587
5588         /* Get (possibly cached) results for the lookup */
5589         /* sspec: sub_arg[0]  req: sub_arg[1]  opts: g */
5590
5591         if ((s = search_find(handle, sub_arg[0], sub_arg[1], -1, NULL, 0, 0,
5592                                     &expand_setup, string_from_gstring(g))))
5593           yield = string_cat(yield, s);
5594         else if (f.search_find_defer)
5595           {
5596           expand_string_message = search_error_message;
5597           search_error_message = NULL;
5598           goto SOCK_FAIL;
5599           }
5600         else
5601           {     /* should not happen, at present */
5602           expand_string_message = search_error_message;
5603           search_error_message = NULL;
5604           goto SOCK_FAIL;
5605           }
5606         }
5607
5608       /* The whole thing has worked (or we were skipping). If there is a
5609       failure string following, we need to skip it. */
5610
5611       if (*s == '{')                                                    /*}*/
5612         {
5613         if (!expand_string_internal(s+1,
5614           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &s, &resetok, NULL))
5615           goto EXPAND_FAILED;                                           /*{*/
5616         if (*s++ != '}')
5617           {                                                             /*{*/
5618           expand_string_message = US"missing '}' closing failstring for readsocket";
5619           goto EXPAND_FAILED_CURLY;
5620           }
5621         Uskip_whitespace(&s);
5622         }
5623
5624     READSOCK_DONE:                                                      /*{*/
5625       if (*s++ != '}')
5626         {                                                               /*{*/
5627         expand_string_message = US"missing '}' closing readsocket";
5628         goto EXPAND_FAILED_CURLY;
5629         }
5630       if (flags & ESI_SKIPPING) continue;
5631       break;
5632
5633       /* Come here on failure to create socket, connect socket, write to the
5634       socket, or timeout on reading. If another substring follows, expand and
5635       use it. Otherwise, those conditions give expand errors. */
5636
5637     SOCK_FAIL:
5638       if (*s != '{') goto EXPAND_FAILED;                                /*}*/
5639       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
5640       if (!(arg = expand_string_internal(s+1,
5641                     ESI_BRACE_ENDS | ESI_HONOR_DOLLAR, &s, &resetok, NULL)))
5642         goto EXPAND_FAILED;
5643       yield = string_cat(yield, arg);                                   /*{*/
5644       if (*s++ != '}')
5645         {                                                               /*{*/
5646         expand_string_message = US"missing '}' closing failstring for readsocket";
5647         goto EXPAND_FAILED_CURLY;
5648         }
5649       Uskip_whitespace(&s);
5650       goto READSOCK_DONE;
5651       }
5652
5653     /* Handle "run" to execute a program. */
5654
5655     case EITEM_RUN:
5656       {
5657       FILE * f;
5658       const uschar * arg, ** argv;
5659       unsigned late_expand = TSUC_EXPAND_ARGS | TSUC_ALLOW_TAINTED_ARGS | TSUC_ALLOW_RECIPIENTS;
5660
5661       if (expand_forbid & RDO_RUN)
5662         {
5663         expand_string_message = US"running a command is not permitted";
5664         goto EXPAND_FAILED;
5665         }
5666
5667       /* Handle options to the "run" */
5668
5669       while (*s == ',')
5670         if (Ustrncmp(++s, "preexpand", 9) == 0)
5671           { late_expand = 0; s += 9; }
5672         else
5673           {
5674           const uschar * t = s;
5675           while (isalpha(*++t)) ;
5676           expand_string_message = string_sprintf("bad option '%.*s' for run",
5677                                                   (int)(t-s), s);
5678           goto EXPAND_FAILED;
5679           }
5680       Uskip_whitespace(&s);
5681
5682       if (*s != '{')                                    /*}*/
5683         {
5684         expand_string_message = US"missing '{' for command arg of run";
5685         goto EXPAND_FAILED_CURLY;                       /*"}*/
5686         }
5687       s++;
5688
5689       if (late_expand)          /* this is the default case */
5690         {
5691         int n;
5692         const uschar * t;
5693         /* Locate the end of the args */
5694         (void) expand_string_internal(s,
5695           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &t, NULL, NULL);
5696         n = t - s;
5697         arg = flags & ESI_SKIPPING ? NULL : string_copyn(s, n);
5698         s += n;
5699         }
5700       else
5701         {
5702         DEBUG(D_expand)
5703           debug_printf_indent("args string for ${run} expand before split\n");
5704         if (!(arg = expand_string_internal(s,
5705                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
5706           goto EXPAND_FAILED;
5707         Uskip_whitespace(&s);
5708         }
5709                                                         /*{*/
5710       if (*s++ != '}')
5711         {                                               /*{*/
5712         expand_string_message = US"missing '}' closing command arg of run";
5713         goto EXPAND_FAILED_CURLY;
5714         }
5715
5716       if (flags & ESI_SKIPPING)   /* Just pretend it worked when we're skipping */
5717         {
5718         runrc = 0;
5719         lookup_value = NULL;
5720         }
5721       else
5722         {
5723         int fd_in, fd_out;
5724         pid_t pid;
5725
5726         if (!transport_set_up_command(&argv,    /* anchor for arg list */
5727             arg,                                /* raw command */
5728             late_expand,                /* expand args if not already done */
5729             0,                          /* not relevant when... */
5730             NULL,                       /* no transporting address */
5731             US"${run} expansion",       /* for error messages */
5732             &expand_string_message))    /* where to put error message */
5733           goto EXPAND_FAILED;
5734
5735         /* Create the child process, making it a group leader. */
5736
5737         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE,
5738                               US"expand-run")) < 0)
5739           {
5740           expand_string_message =
5741             string_sprintf("couldn't create child process: %s", strerror(errno));
5742           goto EXPAND_FAILED;
5743           }
5744
5745         /* Nothing is written to the standard input. */
5746
5747         (void)close(fd_in);
5748
5749         /* Read the pipe to get the command's output into $value (which is kept
5750         in lookup_value). Read during execution, so that if the output exceeds
5751         the OS pipe buffer limit, we don't block forever. Remember to not release
5752         memory just allocated for $value. */
5753
5754         resetok = FALSE;
5755         f = fdopen(fd_out, "rb");
5756         sigalrm_seen = FALSE;
5757         ALARM(60);
5758         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5759         ALARM_CLR(0);
5760         (void)fclose(f);
5761
5762         /* Wait for the process to finish, applying the timeout, and inspect its
5763         return code for serious disasters. Simple non-zero returns are passed on.
5764         */
5765
5766         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5767           {
5768           if (sigalrm_seen || runrc == -256)
5769             {
5770             expand_string_message = US"command timed out";
5771             killpg(pid, SIGKILL);       /* Kill the whole process group */
5772             }
5773
5774           else if (runrc == -257)
5775             expand_string_message = string_sprintf("wait() failed: %s",
5776               strerror(errno));
5777
5778           else
5779             expand_string_message = string_sprintf("command killed by signal %d",
5780               -runrc);
5781
5782           goto EXPAND_FAILED;
5783           }
5784         }
5785
5786       /* Process the yes/no strings; $value may be useful in both cases */
5787
5788       switch(process_yesno(
5789                flags,                   /* were previously skipping */
5790                runrc == 0,              /* success/failure indicator */
5791                lookup_value,            /* value to reset for string2 */
5792                &s,                      /* input pointer */
5793                &yield,                  /* output pointer */
5794                US"run",                 /* condition type */
5795                &resetok))
5796         {
5797         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5798         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5799         }
5800
5801       if (flags & ESI_SKIPPING) continue;
5802       break;
5803       }
5804
5805     /* Handle character translation for "tr" */
5806
5807     case EITEM_TR:
5808       {
5809       int oldptr = gstring_length(yield);
5810       int o2m;
5811       uschar * sub[3];
5812
5813       switch(read_subs(sub, 3, 3, &s, flags, TRUE, name, &resetok, NULL))
5814         {
5815         case -1: continue;      /* skipping */
5816         case 1: goto EXPAND_FAILED_CURLY;
5817         case 2:
5818         case 3: goto EXPAND_FAILED;
5819         }
5820
5821       if (  (yield = string_cat(yield, sub[0]))
5822          && (o2m = Ustrlen(sub[2]) - 1) >= 0)
5823           for (; oldptr < yield->ptr; oldptr++)
5824         {
5825         uschar * m = Ustrrchr(sub[1], yield->s[oldptr]);
5826         if (m)
5827           {
5828           int o = m - sub[1];
5829           yield->s[oldptr] = sub[2][o < o2m ? o : o2m];
5830           }
5831         }
5832
5833       break;
5834       }
5835
5836     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5837     expanded arguments. */
5838
5839     case EITEM_HASH:
5840     case EITEM_LENGTH:
5841     case EITEM_NHASH:
5842     case EITEM_SUBSTR:
5843       {
5844       int len;
5845       uschar *ret;
5846       int val[2] = { 0, -1 };
5847       uschar * sub[3];
5848
5849       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5850       Ensure that sub[2] is set in the ${length } case. */
5851
5852       sub[2] = NULL;
5853       switch(read_subs(sub, item_type == EITEM_LENGTH ? 2:3, 2, &s, flags,
5854              TRUE, name, &resetok, NULL))
5855         {
5856         case -1: continue;      /* skipping */
5857         case 1: goto EXPAND_FAILED_CURLY;
5858         case 2:
5859         case 3: goto EXPAND_FAILED;
5860         }
5861
5862       /* Juggle the arguments if there are only two of them: always move the
5863       string to the last position and make ${length{n}{str}} equivalent to
5864       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5865
5866       if (!sub[2])
5867         {
5868         sub[2] = sub[1];
5869         sub[1] = NULL;
5870         if (item_type == EITEM_LENGTH)
5871           {
5872           sub[1] = sub[0];
5873           sub[0] = NULL;
5874           }
5875         }
5876
5877       for (int i = 0; i < 2; i++) if (sub[i])
5878         {
5879         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5880         if (*ret != 0 || (i != 0 && val[i] < 0))
5881           {
5882           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5883             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5884           goto EXPAND_FAILED;
5885           }
5886         }
5887
5888       ret =
5889         item_type == EITEM_HASH
5890         ?  compute_hash(sub[2], val[0], val[1], &len)
5891         : item_type == EITEM_NHASH
5892         ? compute_nhash(sub[2], val[0], val[1], &len)
5893         : extract_substr(sub[2], val[0], val[1], &len);
5894       if (!ret)
5895         goto EXPAND_FAILED;
5896       yield = string_catn(yield, ret, len);
5897       break;
5898       }
5899
5900     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5901     This code originally contributed by Steve Haslam. It currently supports
5902     the use of MD5 and SHA-1 hashes.
5903
5904     We need some workspace that is large enough to handle all the supported
5905     hash types. Use macros to set the sizes rather than be too elaborate. */
5906
5907     #define MAX_HASHLEN      20
5908     #define MAX_HASHBLOCKLEN 64
5909
5910     case EITEM_HMAC:
5911       {
5912       uschar * sub[3];
5913       md5 md5_base;
5914       hctx sha1_ctx;
5915       void * use_base;
5916       int type;
5917       int hashlen;      /* Number of octets for the hash algorithm's output */
5918       int hashblocklen; /* Number of octets the hash algorithm processes */
5919       uschar * keyptr, * p;
5920       unsigned int keylen;
5921
5922       uschar keyhash[MAX_HASHLEN];
5923       uschar innerhash[MAX_HASHLEN];
5924       uschar finalhash[MAX_HASHLEN];
5925       uschar finalhash_hex[2*MAX_HASHLEN];
5926       uschar innerkey[MAX_HASHBLOCKLEN];
5927       uschar outerkey[MAX_HASHBLOCKLEN];
5928
5929       switch (read_subs(sub, 3, 3, &s, flags, TRUE, name, &resetok, NULL))
5930         {
5931         case -1: continue;      /* skipping */
5932         case 1: goto EXPAND_FAILED_CURLY;
5933         case 2:
5934         case 3: goto EXPAND_FAILED;
5935         }
5936
5937       if (Ustrcmp(sub[0], "md5") == 0)
5938         {
5939         type = HMAC_MD5;
5940         use_base = &md5_base;
5941         hashlen = 16;
5942         hashblocklen = 64;
5943         }
5944       else if (Ustrcmp(sub[0], "sha1") == 0)
5945         {
5946         type = HMAC_SHA1;
5947         use_base = &sha1_ctx;
5948         hashlen = 20;
5949         hashblocklen = 64;
5950         }
5951       else
5952         {
5953         expand_string_message =
5954           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5955         goto EXPAND_FAILED;
5956         }
5957
5958       keyptr = sub[1];
5959       keylen = Ustrlen(keyptr);
5960
5961       /* If the key is longer than the hash block length, then hash the key
5962       first */
5963
5964       if (keylen > hashblocklen)
5965         {
5966         chash_start(type, use_base);
5967         chash_end(type, use_base, keyptr, keylen, keyhash);
5968         keyptr = keyhash;
5969         keylen = hashlen;
5970         }
5971
5972       /* Now make the inner and outer key values */
5973
5974       memset(innerkey, 0x36, hashblocklen);
5975       memset(outerkey, 0x5c, hashblocklen);
5976
5977       for (int i = 0; i < keylen; i++)
5978         {
5979         innerkey[i] ^= keyptr[i];
5980         outerkey[i] ^= keyptr[i];
5981         }
5982
5983       /* Now do the hashes */
5984
5985       chash_start(type, use_base);
5986       chash_mid(type, use_base, innerkey);
5987       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5988
5989       chash_start(type, use_base);
5990       chash_mid(type, use_base, outerkey);
5991       chash_end(type, use_base, innerhash, hashlen, finalhash);
5992
5993       /* Encode the final hash as a hex string */
5994
5995       p = finalhash_hex;
5996       for (int i = 0; i < hashlen; i++)
5997         {
5998         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5999         *p++ = hex_digits[finalhash[i] & 0x0f];
6000         }
6001
6002       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
6003         sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
6004
6005       yield = string_catn(yield, finalhash_hex, hashlen*2);
6006       break;
6007       }
6008
6009     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
6010     We have to save the numerical variables and restore them afterwards. */
6011
6012     case EITEM_SG:
6013       {
6014       const pcre2_code * re;
6015       int moffset, moffsetextra, slen;
6016       pcre2_match_data * md;
6017       int emptyopt;
6018       uschar * subject, * sub[3];
6019       int save_expand_nmax =
6020         save_expand_strings(save_expand_nstring, save_expand_nlength);
6021       unsigned sub_textonly = 0;
6022
6023       switch(read_subs(sub, 3, 3, &s, flags, TRUE, name, &resetok, &sub_textonly))
6024         {
6025         case -1: continue;      /* skipping */
6026         case 1: goto EXPAND_FAILED_CURLY;
6027         case 2:
6028         case 3: goto EXPAND_FAILED;
6029         }
6030
6031       /* Compile the regular expression */
6032
6033       re = regex_compile(sub[1],
6034               sub_textonly & BIT(1) ? MCS_CACHEABLE : MCS_NOFLAGS,
6035               &expand_string_message, pcre_gen_cmp_ctx);
6036       if (!re)
6037         goto EXPAND_FAILED;
6038
6039       md = pcre2_match_data_create(EXPAND_MAXN + 1, pcre_gen_ctx);
6040
6041       /* Now run a loop to do the substitutions as often as necessary. It ends
6042       when there are no more matches. Take care over matches of the null string;
6043       do the same thing as Perl does. */
6044
6045       subject = sub[0];
6046       slen = Ustrlen(sub[0]);
6047       moffset = moffsetextra = 0;
6048       emptyopt = 0;
6049
6050       for (;;)
6051         {
6052         PCRE2_SIZE * ovec = pcre2_get_ovector_pointer(md);
6053         int n = pcre2_match(re, (PCRE2_SPTR)subject, slen, moffset + moffsetextra,
6054           PCRE_EOPT | emptyopt, md, pcre_gen_mtc_ctx);
6055         uschar * insert;
6056
6057         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
6058         is not necessarily the end. We want to repeat the match from one
6059         character further along, but leaving the basic offset the same (for
6060         copying below). We can't be at the end of the string - that was checked
6061         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
6062         finished; copy the remaining string and end the loop. */
6063
6064         if (n < 0)
6065           {
6066           if (emptyopt != 0)
6067             {
6068             moffsetextra = 1;
6069             emptyopt = 0;
6070             continue;
6071             }
6072           yield = string_catn(yield, subject+moffset, slen-moffset);
6073           break;
6074           }
6075
6076         /* Match - set up for expanding the replacement. */
6077         DEBUG(D_expand) debug_printf_indent("%s: match\n", name);
6078
6079         if (n == 0) n = EXPAND_MAXN + 1;
6080         expand_nmax = 0;
6081         for (int nn = 0; nn < n*2; nn += 2)
6082           {
6083           expand_nstring[expand_nmax] = subject + ovec[nn];
6084           expand_nlength[expand_nmax++] = ovec[nn+1] - ovec[nn];
6085           }
6086         expand_nmax--;
6087
6088         /* Copy the characters before the match, plus the expanded insertion. */
6089
6090         yield = string_catn(yield, subject + moffset, ovec[0] - moffset);
6091
6092         if (!(insert = expand_string(sub[2])))
6093           goto EXPAND_FAILED;
6094         yield = string_cat(yield, insert);
6095
6096         moffset = ovec[1];
6097         moffsetextra = 0;
6098         emptyopt = 0;
6099
6100         /* If we have matched an empty string, first check to see if we are at
6101         the end of the subject. If so, the loop is over. Otherwise, mimic
6102         what Perl's /g options does. This turns out to be rather cunning. First
6103         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
6104         string at the same point. If this fails (picked up above) we advance to
6105         the next character. */
6106
6107         if (ovec[0] == ovec[1])
6108           {
6109           if (ovec[0] == slen) break;
6110           emptyopt = PCRE2_NOTEMPTY | PCRE2_ANCHORED;
6111           }
6112         }
6113
6114       /* All done - restore numerical variables. */
6115
6116       /* pcre2_match_data_free(md);     gen ctx needs no free */
6117       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6118         save_expand_nlength);
6119       break;
6120       }
6121
6122     /* Handle keyed and numbered substring extraction. If the first argument
6123     consists entirely of digits, then a numerical extraction is assumed. */
6124
6125     case EITEM_EXTRACT:
6126       {
6127       int field_number = 1;
6128       BOOL field_number_set = FALSE;
6129       uschar * save_lookup_value = lookup_value, * sub[3];
6130       int save_expand_nmax =
6131         save_expand_strings(save_expand_nstring, save_expand_nlength);
6132
6133       /* On reflection the original behaviour of extract-json for a string
6134       result, leaving it quoted, was a mistake.  But it was already published,
6135       hence the addition of jsons.  In a future major version, make json
6136       work like josons, and withdraw jsons. */
6137
6138       enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
6139
6140       /* Check for a format-variant specifier */
6141
6142       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6143         if (Ustrncmp(s, "json", 4) == 0)
6144           if (*(s += 4) == 's')
6145             {fmt = extract_jsons; s++;}
6146           else
6147             fmt = extract_json;
6148
6149       /* While skipping we cannot rely on the data for expansions being
6150       available (eg. $item) hence cannot decide on numeric vs. keyed.
6151       Read a maximum of 5 arguments (including the yes/no) */
6152
6153       if (flags & ESI_SKIPPING)
6154         {
6155         for (int j = 5; j > 0 && *s == '{'; j--)                        /*'}'*/
6156           {
6157           if (!expand_string_internal(s+1,
6158                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL))
6159             goto EXPAND_FAILED;                                 /*'{'*/
6160           if (*s++ != '}')
6161             {
6162             expand_string_message = US"missing '{' for arg of extract";
6163             goto EXPAND_FAILED_CURLY;
6164             }
6165           Uskip_whitespace(&s);
6166           }
6167         if (  Ustrncmp(s, "fail", 4) == 0                               /*'{'*/
6168            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
6169            )
6170           {
6171           s += 4;
6172           Uskip_whitespace(&s);
6173           }                                                             /*'{'*/
6174         if (*s != '}')
6175           {
6176           expand_string_message = US"missing '}' closing extract";
6177           goto EXPAND_FAILED_CURLY;
6178           }
6179         }
6180
6181       else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
6182         {
6183         if (Uskip_whitespace(&s) == '{')                                /*'}'*/
6184           {
6185           if (!(sub[i] = expand_string_internal(s+1,
6186                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
6187             goto EXPAND_FAILED;                                         /*'{'*/
6188           if (*s++ != '}')
6189             {
6190             expand_string_message = string_sprintf(
6191               "missing '}' closing arg %d of extract", i+1);
6192             goto EXPAND_FAILED_CURLY;
6193             }
6194
6195           /* After removal of leading and trailing white space, the first
6196           argument must not be empty; if it consists entirely of digits
6197           (optionally preceded by a minus sign), this is a numerical
6198           extraction, and we expect 3 arguments (normal) or 2 (json). */
6199
6200           if (i == 0)
6201             {
6202             int len;
6203             int x = 0;
6204             uschar * p = sub[0];
6205
6206             Uskip_whitespace(&p);
6207             sub[0] = p;
6208
6209             len = Ustrlen(p);
6210             while (len > 0 && isspace(p[len-1])) len--;
6211             p[len] = 0;
6212
6213             if (!*p)
6214               {
6215               expand_string_message = US"first argument of \"extract\" must "
6216                 "not be empty";
6217               goto EXPAND_FAILED;
6218               }
6219
6220             if (*p == '-')
6221               {
6222               field_number = -1;
6223               p++;
6224               }
6225             while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6226             if (!*p)
6227               {
6228               field_number *= x;
6229               if (fmt == extract_basic) j = 3;               /* Need 3 args */
6230               field_number_set = TRUE;
6231               }
6232             }
6233           }
6234         else
6235           {
6236           expand_string_message = string_sprintf(
6237             "missing '{' for arg %d of extract", i+1);
6238           goto EXPAND_FAILED_CURLY;
6239           }
6240         }
6241
6242       /* Extract either the numbered or the keyed substring into $value. If
6243       skipping, just pretend the extraction failed. */
6244
6245       if (flags & ESI_SKIPPING)
6246         lookup_value = NULL;
6247       else switch (fmt)
6248         {
6249         case extract_basic:
6250           lookup_value = field_number_set
6251             ? expand_gettokened(field_number, sub[1], sub[2])
6252             : expand_getkeyed(sub[0], sub[1]);
6253           break;
6254
6255         case extract_json:
6256         case extract_jsons:
6257           {
6258           uschar * s, * item;
6259           const uschar * list;
6260
6261           /* Array: Bracket-enclosed and comma-separated.
6262           Object: Brace-enclosed, comma-sep list of name:value pairs */
6263
6264           if (!(s = dewrap(sub[1], field_number_set ? US"[]" : US"{}")))
6265             {
6266             expand_string_message =
6267               string_sprintf("%s wrapping %s for extract json",
6268                 expand_string_message,
6269                 field_number_set ? "array" : "object");
6270             goto EXPAND_FAILED_CURLY;
6271             }
6272
6273           list = s;
6274           if (field_number_set)
6275             {
6276             if (field_number <= 0)
6277               {
6278               expand_string_message = US"first argument of \"extract\" must "
6279                 "be greater than zero";
6280               goto EXPAND_FAILED;
6281               }
6282             while (field_number > 0 && (item = json_nextinlist(&list)))
6283               field_number--;
6284             if ((lookup_value = s = item))
6285               {
6286               while (*s) s++;
6287               while (--s >= lookup_value && isspace(*s)) *s = '\0';
6288               }
6289             }
6290           else
6291             {
6292             lookup_value = NULL;
6293             while ((item = json_nextinlist(&list)))
6294               {
6295               /* Item is:  string name-sep value.  string is quoted.
6296               Dequote the string and compare with the search key. */
6297
6298               if (!(item = dewrap(item, US"\"\"")))
6299                 {
6300                 expand_string_message =
6301                   string_sprintf("%s wrapping string key for extract json",
6302                     expand_string_message);
6303                 goto EXPAND_FAILED_CURLY;
6304                 }
6305               if (Ustrcmp(item, sub[0]) == 0)   /*XXX should be a UTF8-compare */
6306                 {
6307                 s = item + Ustrlen(item) + 1;
6308                 if (Uskip_whitespace(&s) != ':')
6309                   {
6310                   expand_string_message =
6311                     US"missing object value-separator for extract json";
6312                   goto EXPAND_FAILED_CURLY;
6313                   }
6314                 s++;
6315                 Uskip_whitespace(&s);
6316                 lookup_value = s;
6317                 break;
6318                 }
6319               }
6320             }
6321           }
6322
6323           if (  fmt == extract_jsons
6324              && lookup_value
6325              && !(lookup_value = dewrap(lookup_value, US"\"\"")))
6326             {
6327             expand_string_message =
6328               string_sprintf("%s wrapping string result for extract jsons",
6329                 expand_string_message);
6330             goto EXPAND_FAILED_CURLY;
6331             }
6332           break;        /* json/s */
6333         }
6334
6335       /* If no string follows, $value gets substituted; otherwise there can
6336       be yes/no strings, as for lookup or if. */
6337
6338       switch(process_yesno(
6339                flags,                   /* were previously skipping */
6340                lookup_value != NULL,    /* success/failure indicator */
6341                save_lookup_value,       /* value to reset for string2 */
6342                &s,                      /* input pointer */
6343                &yield,                  /* output pointer */
6344                US"extract",             /* condition type */
6345                &resetok))
6346         {
6347         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6348         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6349         }
6350
6351       /* All done - restore numerical variables. */
6352
6353       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6354         save_expand_nlength);
6355
6356       if (flags & ESI_SKIPPING) continue;
6357       break;
6358       }
6359
6360     /* return the Nth item from a list */
6361
6362     case EITEM_LISTEXTRACT:
6363       {
6364       int field_number = 1;
6365       uschar * save_lookup_value = lookup_value, * sub[2];
6366       int save_expand_nmax =
6367         save_expand_strings(save_expand_nstring, save_expand_nlength);
6368
6369       /* Read the field & list arguments */
6370       /*XXX Could we use read_subs here (and get better efficiency for skipping)? */
6371
6372       for (int i = 0; i < 2; i++)
6373         {
6374         if (Uskip_whitespace(&s) != '{')                                /*}*/
6375           {
6376           expand_string_message = string_sprintf(
6377             "missing '{' for arg %d of listextract", i+1);              /*}*/
6378           goto EXPAND_FAILED_CURLY;
6379           }
6380
6381         sub[i] = expand_string_internal(s+1,
6382               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6383         if (!sub[i])     goto EXPAND_FAILED;                            /*{{*/
6384         if (*s++ != '}')
6385           {
6386           expand_string_message = string_sprintf(
6387             "missing '}' closing arg %d of listextract", i+1);
6388           goto EXPAND_FAILED_CURLY;
6389           }
6390
6391         /* After removal of leading and trailing white space, the first
6392         argument must be numeric and nonempty. */
6393
6394         if (i == 0)
6395           {
6396           int len;
6397           int x = 0;
6398           uschar *p = sub[0];
6399
6400           Uskip_whitespace(&p);
6401           sub[0] = p;
6402
6403           len = Ustrlen(p);
6404           while (len > 0 && isspace(p[len-1])) len--;
6405           p[len] = 0;
6406
6407           if (!*p && !(flags & ESI_SKIPPING))
6408             {
6409             expand_string_message = US"first argument of \"listextract\" must "
6410               "not be empty";
6411             goto EXPAND_FAILED;
6412             }
6413
6414           if (*p == '-')
6415             {
6416             field_number = -1;
6417             p++;
6418             }
6419           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6420           if (*p)
6421             {
6422             expand_string_message = US"first argument of \"listextract\" must "
6423               "be numeric";
6424             goto EXPAND_FAILED;
6425             }
6426           field_number *= x;
6427           }
6428         }
6429
6430       /* Extract the numbered element into $value. If
6431       skipping, just pretend the extraction failed. */
6432
6433       lookup_value = flags & ESI_SKIPPING ? NULL : expand_getlistele(field_number, sub[1]);
6434
6435       /* If no string follows, $value gets substituted; otherwise there can
6436       be yes/no strings, as for lookup or if. */
6437
6438       switch(process_yesno(
6439                flags,                           /* were previously skipping */
6440                lookup_value != NULL,            /* success/failure indicator */
6441                save_lookup_value,               /* value to reset for string2 */
6442                &s,                              /* input pointer */
6443                &yield,                          /* output pointer */
6444                US"listextract",                 /* condition type */
6445                &resetok))
6446         {
6447         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6448         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6449         }
6450
6451       /* All done - restore numerical variables. */
6452
6453       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6454         save_expand_nlength);
6455
6456       if (flags & ESI_SKIPPING) continue;
6457       break;
6458       }
6459
6460     case EITEM_LISTQUOTE:
6461       {
6462       uschar * sub[2];
6463       switch(read_subs(sub, 2, 2, &s, flags, TRUE, name, &resetok, NULL))
6464         {
6465         case -1: continue;      /* skipping */
6466         case 1: goto EXPAND_FAILED_CURLY;
6467         case 2:
6468         case 3: goto EXPAND_FAILED;
6469         }
6470       if (*sub[1]) for (uschar sep = *sub[0], c; c = *sub[1]; sub[1]++)
6471         {
6472         if (c == sep) yield = string_catn(yield, sub[1], 1);
6473         yield = string_catn(yield, sub[1], 1);
6474         }
6475       else yield = string_catn(yield, US" ", 1);
6476       break;
6477       }
6478
6479 #ifndef DISABLE_TLS
6480     case EITEM_CERTEXTRACT:
6481       {
6482       uschar * save_lookup_value = lookup_value, * sub[2];
6483       int save_expand_nmax =
6484         save_expand_strings(save_expand_nstring, save_expand_nlength);
6485
6486       /* Read the field argument */
6487       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6488         {
6489         expand_string_message = US"missing '{' for field arg of certextract";
6490         goto EXPAND_FAILED_CURLY;                                       /*}*/
6491         }
6492       sub[0] = expand_string_internal(s+1,
6493                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6494       if (!sub[0])     goto EXPAND_FAILED;                              /*{{*/
6495       if (*s++ != '}')
6496         {
6497         expand_string_message = US"missing '}' closing field arg of certextract";
6498         goto EXPAND_FAILED_CURLY;
6499         }
6500       /* strip spaces fore & aft */
6501       {
6502       int len;
6503       uschar *p = sub[0];
6504
6505       Uskip_whitespace(&p);
6506       sub[0] = p;
6507
6508       len = Ustrlen(p);
6509       while (len > 0 && isspace(p[len-1])) len--;
6510       p[len] = 0;
6511       }
6512
6513       /* inspect the cert argument */
6514       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6515         {
6516         expand_string_message = US"missing '{' for cert variable arg of certextract";
6517         goto EXPAND_FAILED_CURLY;                                       /*}*/
6518         }
6519       if (*++s != '$')
6520         {
6521         expand_string_message = US"second argument of \"certextract\" must "
6522           "be a certificate variable";
6523         goto EXPAND_FAILED;
6524         }
6525       sub[1] = expand_string_internal(s+1,
6526                 ESI_BRACE_ENDS | flags & ESI_SKIPPING, &s, &resetok, NULL);
6527       if (!sub[1])     goto EXPAND_FAILED;                              /*{{*/
6528       if (*s++ != '}')
6529         {
6530         expand_string_message = US"missing '}' closing cert variable arg of certextract";
6531         goto EXPAND_FAILED_CURLY;
6532         }
6533
6534       if (flags & ESI_SKIPPING)
6535         lookup_value = NULL;
6536       else
6537         {
6538         lookup_value = expand_getcertele(sub[0], sub[1]);
6539         if (*expand_string_message) goto EXPAND_FAILED;
6540         }
6541       switch(process_yesno(
6542                flags,                           /* were previously skipping */
6543                lookup_value != NULL,            /* success/failure indicator */
6544                save_lookup_value,               /* value to reset for string2 */
6545                &s,                              /* input pointer */
6546                &yield,                          /* output pointer */
6547                US"certextract",                 /* condition type */
6548                &resetok))
6549         {
6550         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6551         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6552         }
6553
6554       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6555         save_expand_nlength);
6556       if (flags & ESI_SKIPPING) continue;
6557       break;
6558       }
6559 #endif  /*DISABLE_TLS*/
6560
6561     /* Handle list operations */
6562
6563     case EITEM_FILTER:
6564     case EITEM_MAP:
6565     case EITEM_REDUCE:
6566       {
6567       int sep = 0, save_ptr = gstring_length(yield);
6568       uschar outsep[2] = { '\0', '\0' };
6569       const uschar *list, *expr, *temp;
6570       uschar * save_iterate_item = iterate_item;
6571       uschar * save_lookup_value = lookup_value;
6572
6573       Uskip_whitespace(&s);
6574       if (*s++ != '{')                                                  /*}*/
6575         {
6576         expand_string_message =
6577           string_sprintf("missing '{' for first arg of %s", name);
6578         goto EXPAND_FAILED_CURLY;                                       /*}*/
6579         }
6580
6581       DEBUG(D_expand) debug_printf_indent("%s: evaluate input list list\n", name);
6582       if (!(list = expand_string_internal(s,
6583               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
6584         goto EXPAND_FAILED;                                             /*{{*/
6585       if (*s++ != '}')
6586         {
6587         expand_string_message =
6588           string_sprintf("missing '}' closing first arg of %s", name);
6589         goto EXPAND_FAILED_CURLY;
6590         }
6591
6592       if (item_type == EITEM_REDUCE)
6593         {
6594         uschar * t;
6595         Uskip_whitespace(&s);
6596         if (*s++ != '{')                                                /*}*/
6597           {
6598           expand_string_message = US"missing '{' for second arg of reduce";
6599           goto EXPAND_FAILED_CURLY;                                     /*}*/
6600           }
6601         DEBUG(D_expand) debug_printf_indent("reduce: initial result list\n");
6602         t = expand_string_internal(s,
6603               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6604         if (!t) goto EXPAND_FAILED;
6605         lookup_value = t;                                               /*{{*/
6606         if (*s++ != '}')
6607           {
6608           expand_string_message = US"missing '}' closing second arg of reduce";
6609           goto EXPAND_FAILED_CURLY;
6610           }
6611         }
6612
6613       Uskip_whitespace(&s);
6614       if (*s++ != '{')                                                  /*}*/
6615         {
6616         expand_string_message =
6617           string_sprintf("missing '{' for last arg of %s", name);       /*}*/
6618         goto EXPAND_FAILED_CURLY;
6619         }
6620
6621       expr = s;
6622
6623       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
6624       if scanning a "false" part). This allows us to find the end of the
6625       condition, because if the list is empty, we won't actually evaluate the
6626       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
6627       the normal internal expansion function. */
6628
6629       DEBUG(D_expand) debug_printf_indent("%s: find end of conditionn\n", name);
6630       if (item_type != EITEM_FILTER)
6631         temp = expand_string_internal(s,
6632           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &s, &resetok, NULL);
6633       else
6634         if ((temp = eval_condition(expr, &resetok, NULL))) s = temp;
6635
6636       if (!temp)
6637         {
6638         expand_string_message = string_sprintf("%s inside \"%s\" item",
6639           expand_string_message, name);
6640         goto EXPAND_FAILED;
6641         }
6642
6643       Uskip_whitespace(&s);                                             /*{{{*/
6644       if (*s++ != '}')
6645         {
6646         expand_string_message = string_sprintf("missing } at end of condition "
6647           "or expression inside \"%s\"; could be an unquoted } in the content",
6648           name);
6649         goto EXPAND_FAILED;
6650         }
6651
6652       Uskip_whitespace(&s);                                             /*{{*/
6653       if (*s++ != '}')
6654         {
6655         expand_string_message = string_sprintf("missing } at end of \"%s\"",
6656           name);
6657         goto EXPAND_FAILED;
6658         }
6659
6660       /* If we are skipping, we can now just move on to the next item. When
6661       processing for real, we perform the iteration. */
6662
6663       if (flags & ESI_SKIPPING) continue;
6664       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
6665         {
6666         *outsep = (uschar)sep;      /* Separator as a string */
6667
6668         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
6669                           name, iterate_item, lookup_value);
6670
6671         if (item_type == EITEM_FILTER)
6672           {
6673           BOOL condresult;
6674           /* the condition could modify $value, as a side-effect */
6675           uschar * save_value = lookup_value;
6676
6677           if (!eval_condition(expr, &resetok, &condresult))
6678             {
6679             iterate_item = save_iterate_item;
6680             lookup_value = save_lookup_value;
6681             expand_string_message = string_sprintf("%s inside \"%s\" condition",
6682               expand_string_message, name);
6683             goto EXPAND_FAILED;
6684             }
6685           lookup_value = save_value;
6686           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
6687             condresult? "true":"false");
6688           if (condresult)
6689             temp = iterate_item;    /* TRUE => include this item */
6690           else
6691             continue;               /* FALSE => skip this item */
6692           }
6693
6694         else                    /* EITEM_MAP and EITEM_REDUCE */
6695           {
6696           /* the expansion could modify $value, as a side-effect */
6697           uschar * t = expand_string_internal(expr,
6698             ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, NULL, &resetok, NULL);
6699           if (!(temp = t))
6700             {
6701             iterate_item = save_iterate_item;
6702             expand_string_message = string_sprintf("%s inside \"%s\" item",
6703               expand_string_message, name);
6704             goto EXPAND_FAILED;
6705             }
6706           if (item_type == EITEM_REDUCE)
6707             {
6708             lookup_value = t;         /* Update the value of $value */
6709             continue;                 /* and continue the iteration */
6710             }
6711           }
6712
6713         /* We reach here for FILTER if the condition is true, always for MAP,
6714         and never for REDUCE. The value in "temp" is to be added to the output
6715         list that is being created, ensuring that any occurrences of the
6716         separator character are doubled. Unless we are dealing with the first
6717         item of the output list, add in a space if the new item begins with the
6718         separator character, or is an empty string. */
6719
6720 /*XXX is there not a standard support function for this, appending to a list? */
6721 /* yes, string_append_listele(), but it depends on lack of text before the list */
6722
6723         if (  yield && yield->ptr != save_ptr
6724            && (temp[0] == *outsep || temp[0] == 0))
6725           yield = string_catn(yield, US" ", 1);
6726
6727         /* Add the string in "temp" to the output list that we are building,
6728         This is done in chunks by searching for the separator character. */
6729
6730         for (;;)
6731           {
6732           size_t seglen = Ustrcspn(temp, outsep);
6733
6734           yield = string_catn(yield, temp, seglen + 1);
6735
6736           /* If we got to the end of the string we output one character
6737           too many; backup and end the loop. Otherwise arrange to double the
6738           separator. */
6739
6740           if (!temp[seglen]) { yield->ptr--; break; }
6741           yield = string_catn(yield, outsep, 1);
6742           temp += seglen + 1;
6743           }
6744
6745         /* Output a separator after the string: we will remove the redundant
6746         final one at the end. */
6747
6748         yield = string_catn(yield, outsep, 1);
6749         }   /* End of iteration over the list loop */
6750
6751       /* REDUCE has generated no output above: output the final value of
6752       $value. */
6753
6754       if (item_type == EITEM_REDUCE)
6755         {
6756         yield = string_cat(yield, lookup_value);
6757         lookup_value = save_lookup_value;  /* Restore $value */
6758         }
6759
6760       /* FILTER and MAP generate lists: if they have generated anything, remove
6761       the redundant final separator. Even though an empty item at the end of a
6762       list does not count, this is tidier. */
6763
6764       else if (yield && yield->ptr != save_ptr) yield->ptr--;
6765
6766       /* Restore preserved $item */
6767
6768       iterate_item = save_iterate_item;
6769       if (flags & ESI_SKIPPING) continue;
6770       break;
6771       }
6772
6773     case EITEM_SORT:
6774       {
6775       int sep = 0, cond_type;
6776       const uschar * srclist, * cmp, * xtract;
6777       uschar * opname, * srcitem;
6778       const uschar * dstlist = NULL, * dstkeylist = NULL;
6779       uschar * tmp, * save_iterate_item = iterate_item;
6780
6781       Uskip_whitespace(&s);
6782       if (*s++ != '{')                                                  /*}*/
6783         {
6784         expand_string_message = US"missing '{' for list arg of sort";
6785         goto EXPAND_FAILED_CURLY;                                       /*}*/
6786         }
6787
6788       srclist = expand_string_internal(s,
6789               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6790       if (!srclist) goto EXPAND_FAILED;                                 /*{{*/
6791       if (*s++ != '}')
6792         {
6793         expand_string_message = US"missing '}' closing list arg of sort";
6794         goto EXPAND_FAILED_CURLY;
6795         }
6796
6797       Uskip_whitespace(&s);
6798       if (*s++ != '{')                                                  /*}*/
6799         {
6800         expand_string_message = US"missing '{' for comparator arg of sort";
6801         goto EXPAND_FAILED_CURLY;                                       /*}*/
6802         }
6803
6804       cmp = expand_string_internal(s,
6805               ESI_BRACE_ENDS | flags & ESI_SKIPPING, &s, &resetok, NULL);
6806       if (!cmp) goto EXPAND_FAILED;                                     /*{{*/
6807       if (*s++ != '}')
6808         {
6809         expand_string_message = US"missing '}' closing comparator arg of sort";
6810         goto EXPAND_FAILED_CURLY;
6811         }
6812
6813       if ((cond_type = identify_operator(&cmp, &opname)) == -1)
6814         {
6815         if (!expand_string_message)
6816           expand_string_message = string_sprintf("unknown condition \"%s\"", s);
6817         goto EXPAND_FAILED;
6818         }
6819       switch(cond_type)
6820         {
6821         case ECOND_NUM_L: case ECOND_NUM_LE:
6822         case ECOND_NUM_G: case ECOND_NUM_GE:
6823         case ECOND_STR_GE: case ECOND_STR_GEI: case ECOND_STR_GT: case ECOND_STR_GTI:
6824         case ECOND_STR_LE: case ECOND_STR_LEI: case ECOND_STR_LT: case ECOND_STR_LTI:
6825           break;
6826
6827         default:
6828           expand_string_message = US"comparator not handled for sort";
6829           goto EXPAND_FAILED;
6830         }
6831
6832       Uskip_whitespace(&s);
6833       if (*s++ != '{')                                                  /*}*/
6834         {
6835         expand_string_message = US"missing '{' for extractor arg of sort";
6836         goto EXPAND_FAILED_CURLY;                                       /*}*/
6837         }
6838
6839       xtract = s;
6840       if (!(tmp = expand_string_internal(s,
6841         ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &s, &resetok, NULL)))
6842         goto EXPAND_FAILED;
6843       xtract = string_copyn(xtract, s - xtract);
6844                                                                         /*{{*/
6845       if (*s++ != '}')
6846         {
6847         expand_string_message = US"missing '}' closing extractor arg of sort";
6848         goto EXPAND_FAILED_CURLY;
6849         }
6850                                                                         /*{{*/
6851       if (*s++ != '}')
6852         {
6853         expand_string_message = US"missing } at end of \"sort\"";
6854         goto EXPAND_FAILED;
6855         }
6856
6857       if (flags & ESI_SKIPPING) continue;
6858
6859       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
6860         {
6861         uschar * srcfield, * dstitem;
6862         gstring * newlist = NULL, * newkeylist = NULL;
6863
6864         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
6865
6866         /* extract field for comparisons */
6867         iterate_item = srcitem;
6868         if (  !(srcfield = expand_string_internal(xtract,
6869                                   ESI_HONOR_DOLLAR, NULL, &resetok, NULL))
6870            || !*srcfield)
6871           {
6872           expand_string_message = string_sprintf(
6873               "field-extract in sort: \"%s\"", xtract);
6874           goto EXPAND_FAILED;
6875           }
6876
6877         /* Insertion sort */
6878
6879         /* copy output list until new-item < list-item */
6880         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6881           {
6882           uschar * dstfield;
6883
6884           /* field for comparison */
6885           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6886             goto SORT_MISMATCH;
6887
6888           /* String-comparator names start with a letter; numeric names do not */
6889
6890           if (sortsbefore(cond_type, isalpha(opname[0]),
6891               srcfield, dstfield))
6892             {
6893             /* New-item sorts before this dst-item.  Append new-item,
6894             then dst-item, then remainder of dst list. */
6895
6896             newlist = string_append_listele(newlist, sep, srcitem);
6897             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6898             srcitem = NULL;
6899
6900             newlist = string_append_listele(newlist, sep, dstitem);
6901             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6902
6903 /*XXX why field-at-a-time copy?  Why not just dup the rest of the list? */
6904             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6905               {
6906               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6907                 goto SORT_MISMATCH;
6908               newlist = string_append_listele(newlist, sep, dstitem);
6909               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6910               }
6911
6912             break;
6913             }
6914
6915           newlist = string_append_listele(newlist, sep, dstitem);
6916           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6917           }
6918
6919         /* If we ran out of dstlist without consuming srcitem, append it */
6920         if (srcitem)
6921           {
6922           newlist = string_append_listele(newlist, sep, srcitem);
6923           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6924           }
6925
6926         dstlist = newlist->s;
6927         dstkeylist = newkeylist->s;
6928
6929         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6930         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6931         }
6932
6933       if (dstlist)
6934         yield = string_cat(yield, dstlist);
6935
6936       /* Restore preserved $item */
6937       iterate_item = save_iterate_item;
6938       break;
6939
6940       SORT_MISMATCH:
6941         expand_string_message = US"Internal error in sort (list mismatch)";
6942         goto EXPAND_FAILED;
6943       }
6944
6945
6946     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6947     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6948     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6949     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6950
6951     #define EXPAND_DLFUNC_MAX_ARGS 8
6952
6953     case EITEM_DLFUNC:
6954 #ifndef EXPAND_DLFUNC
6955       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6956         "is not included in this binary";
6957       goto EXPAND_FAILED;
6958
6959 #else   /* EXPAND_DLFUNC */
6960       {
6961       tree_node * t;
6962       exim_dlfunc_t * func;
6963       uschar * result;
6964       int status, argc;
6965       uschar * argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6966
6967       if (expand_forbid & RDO_DLFUNC)
6968         {
6969         expand_string_message =
6970           US"dynamically-loaded functions are not permitted";
6971         goto EXPAND_FAILED;
6972         }
6973
6974       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, flags,
6975            TRUE, name, &resetok, NULL))
6976         {
6977         case -1: continue;      /* skipping */
6978         case 1: goto EXPAND_FAILED_CURLY;
6979         case 2:
6980         case 3: goto EXPAND_FAILED;
6981         }
6982
6983       /* Look up the dynamically loaded object handle in the tree. If it isn't
6984       found, dlopen() the file and put the handle in the tree for next time. */
6985
6986       if (!(t = tree_search(dlobj_anchor, argv[0])))
6987         {
6988         void * handle = dlopen(CS argv[0], RTLD_LAZY);
6989         if (!handle)
6990           {
6991           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6992             argv[0], dlerror());
6993           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6994           goto EXPAND_FAILED;
6995           }
6996         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]), argv[0]);
6997         Ustrcpy(t->name, argv[0]);
6998         t->data.ptr = handle;
6999         (void)tree_insertnode(&dlobj_anchor, t);
7000         }
7001
7002       /* Having obtained the dynamically loaded object handle, look up the
7003       function pointer. */
7004
7005       if (!(func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1])))
7006         {
7007         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
7008           "%s", argv[1], argv[0], dlerror());
7009         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
7010         goto EXPAND_FAILED;
7011         }
7012
7013       /* Call the function and work out what to do with the result. If it
7014       returns OK, we have a replacement string; if it returns DEFER then
7015       expansion has failed in a non-forced manner; if it returns FAIL then
7016       failure was forced; if it returns ERROR or any other value there's a
7017       problem, so panic slightly. In any case, assume that the function has
7018       side-effects on the store that must be preserved. */
7019
7020       resetok = FALSE;
7021       result = NULL;
7022       for (argc = 0; argv[argc]; argc++) ;
7023
7024       if ((status = func(&result, argc - 2, &argv[2])) != OK)
7025         {
7026         expand_string_message = result ? result : US"(no message)";
7027         if (status == FAIL_FORCED)
7028           f.expand_string_forcedfail = TRUE;
7029         else if (status != FAIL)
7030           log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
7031               argv[0], argv[1], status, expand_string_message);
7032         goto EXPAND_FAILED;
7033         }
7034
7035       if (result) yield = string_cat(yield, result);
7036       break;
7037       }
7038 #endif /* EXPAND_DLFUNC */
7039
7040     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
7041       {
7042       uschar * key;
7043       uschar *save_lookup_value = lookup_value;
7044
7045       if (Uskip_whitespace(&s) != '{')                                  /*}*/
7046         goto EXPAND_FAILED;
7047
7048       key = expand_string_internal(s+1,
7049               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
7050       if (!key) goto EXPAND_FAILED;                                     /*{{*/
7051       if (*s++ != '}')
7052         {
7053         expand_string_message = US"missing '}' for name arg of env";
7054         goto EXPAND_FAILED_CURLY;
7055         }
7056
7057       lookup_value = US getenv(CS key);
7058
7059       switch(process_yesno(
7060                flags,                           /* were previously skipping */
7061                lookup_value != NULL,            /* success/failure indicator */
7062                save_lookup_value,               /* value to reset for string2 */
7063                &s,                              /* input pointer */
7064                &yield,                          /* output pointer */
7065                US"env",                         /* condition type */
7066                &resetok))
7067         {
7068         case 1: goto EXPAND_FAILED;          /* when all is well, the */
7069         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
7070         }
7071       if (flags & ESI_SKIPPING) continue;
7072       break;
7073       }
7074
7075 #ifdef SUPPORT_SRS
7076     case EITEM_SRS_ENCODE:
7077       /* ${srs_encode {secret} {return_path} {orig_domain}} */
7078       {
7079       uschar * sub[3];
7080       uschar cksum[4];
7081       gstring * g = NULL;
7082       BOOL quoted = FALSE;
7083
7084       switch (read_subs(sub, 3, 3, CUSS &s, flags, TRUE, name, &resetok, NULL))
7085         {
7086         case -1: continue;      /* skipping */
7087         case 1: goto EXPAND_FAILED_CURLY;
7088         case 2:
7089         case 3: goto EXPAND_FAILED;
7090         }
7091       if (flags & ESI_SKIPPING) continue;
7092
7093       if (sub[1] && *(sub[1]))
7094         {
7095         g = string_catn(g, US"SRS0=", 5);
7096
7097         /* ${l_4:${hmac{md5}{SRS_SECRET}{${lc:$return_path}}}}= */
7098         hmac_md5(sub[0], string_copylc(sub[1]), cksum, sizeof(cksum));
7099         g = string_catn(g, cksum, sizeof(cksum));
7100         g = string_catn(g, US"=", 1);
7101
7102         /* ${base32:${eval:$tod_epoch/86400&0x3ff}}= */
7103           {
7104           struct timeval now;
7105           unsigned long i;
7106
7107           gettimeofday(&now, NULL);
7108           i = (now.tv_sec / 86400) & 0x3ff;
7109           g = string_catn(g, &base32_chars[i >> 5], 1);
7110           g = string_catn(g, &base32_chars[i & 0x1f], 1);
7111           }
7112         g = string_catn(g, US"=", 1);
7113
7114         /* ${domain:$return_path}=${local_part:$return_path} */
7115           {
7116           int start, end, domain;
7117           uschar * t = parse_extract_address(sub[1], &expand_string_message,
7118                                             &start, &end, &domain, FALSE);
7119           uschar * s;
7120
7121           if (!t)
7122             goto EXPAND_FAILED;
7123
7124           if (domain > 0) g = string_cat(g, t + domain);
7125           g = string_catn(g, US"=", 1);
7126
7127           s = domain > 0 ? string_copyn(t, domain - 1) : t;
7128           if ((quoted = Ustrchr(s, '"') != NULL))
7129             {
7130             gstring * h = NULL;
7131             DEBUG(D_expand) debug_printf_indent("auto-quoting local part\n");
7132             while (*s)          /* de-quote */
7133               {
7134               while (*s && *s != '"') h = string_catn(h, s++, 1);
7135               if (*s) s++;
7136               while (*s && *s != '"') h = string_catn(h, s++, 1);
7137               if (*s) s++;
7138               }
7139             gstring_release_unused(h);
7140             s = string_from_gstring(h);
7141             }
7142           if (s) g = string_cat(g, s);
7143           }
7144
7145         /* Assume that if the original local_part had quotes
7146         it was for good reason */
7147
7148         if (quoted) yield = string_catn(yield, US"\"", 1);
7149         yield = gstring_append(yield, g);
7150         if (quoted) yield = string_catn(yield, US"\"", 1);
7151
7152         /* @$original_domain */
7153         yield = string_catn(yield, US"@", 1);
7154         yield = string_cat(yield, sub[2]);
7155         }
7156       else
7157         DEBUG(D_expand) debug_printf_indent("null return_path for srs-encode\n");
7158
7159       break;
7160       }
7161 #endif /*SUPPORT_SRS*/
7162
7163     default:
7164       goto NOT_ITEM;
7165     }   /* EITEM_* switch */
7166     /*NOTREACHED*/
7167
7168   DEBUG(D_expand)               /* only if not the sole expansion of the line */
7169     if (yield && (expansion_start > 0 || *s))
7170       debug_expansion_interim(US"item-res",
7171           yield->s + expansion_start, yield->ptr - expansion_start,
7172           flags);
7173   continue;
7174
7175 NOT_ITEM: ;
7176   }
7177
7178   /* Control reaches here if the name is not recognized as one of the more
7179   complicated expansion items. Check for the "operator" syntax (name terminated
7180   by a colon). Some of the operators have arguments, separated by _ from the
7181   name. */
7182
7183   if (*s == ':')
7184     {
7185     int c;
7186     uschar * arg = NULL, * sub;
7187 #ifndef DISABLE_TLS
7188     var_entry * vp = NULL;
7189 #endif
7190
7191     /* Owing to an historical mis-design, an underscore may be part of the
7192     operator name, or it may introduce arguments.  We therefore first scan the
7193     table of names that contain underscores. If there is no match, we cut off
7194     the arguments and then scan the main table. */
7195
7196     if ((c = chop_match(name, op_table_underscore,
7197                         nelem(op_table_underscore))) < 0)
7198       {
7199       if ((arg = Ustrchr(name, '_')))
7200         *arg = 0;
7201       if ((c = chop_match(name, op_table_main, nelem(op_table_main))) >= 0)
7202         c += nelem(op_table_underscore);
7203       if (arg) *arg++ = '_';            /* Put back for error messages */
7204       }
7205
7206     /* Deal specially with operators that might take a certificate variable
7207     as we do not want to do the usual expansion. For most, expand the string.*/
7208
7209     switch(c)
7210       {
7211 #ifndef DISABLE_TLS
7212       case EOP_MD5:
7213       case EOP_SHA1:
7214       case EOP_SHA256:
7215       case EOP_BASE64:
7216         if (s[1] == '$')
7217           {
7218           const uschar * s1 = s;
7219           sub = expand_string_internal(s+2,
7220               ESI_BRACE_ENDS | flags & ESI_SKIPPING, &s1, &resetok, NULL);
7221           if (!sub)       goto EXPAND_FAILED;           /*{*/
7222           if (*s1 != '}')
7223             {                                           /*{*/
7224             expand_string_message =
7225               string_sprintf("missing '}' closing cert arg of %s", name);
7226             goto EXPAND_FAILED_CURLY;
7227             }
7228           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
7229             {
7230             s = s1+1;
7231             break;
7232             }
7233           vp = NULL;
7234           }
7235         /*FALLTHROUGH*/
7236 #endif
7237       default:
7238         sub = expand_string_internal(s+1,
7239                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
7240         if (!sub) goto EXPAND_FAILED;
7241         s++;
7242         break;
7243       }
7244
7245     /* If we are skipping, we don't need to perform the operation at all.
7246     This matters for operations like "mask", because the data may not be
7247     in the correct format when skipping. For example, the expression may test
7248     for the existence of $sender_host_address before trying to mask it. For
7249     other operations, doing them may not fail, but it is a waste of time. */
7250
7251     if (flags & ESI_SKIPPING && c >= 0) continue;
7252
7253     /* Otherwise, switch on the operator type.  After handling go back
7254     to the main loop top. */
7255
7256      {
7257      unsigned expansion_start = gstring_length(yield);
7258      switch(c)
7259       {
7260       case EOP_BASE32:
7261         {
7262         uschar * t;
7263         unsigned long int n = Ustrtoul(sub, &t, 10);
7264         gstring * g = NULL;
7265
7266         if (*t)
7267           {
7268           expand_string_message = string_sprintf("argument for base32 "
7269             "operator is \"%s\", which is not a decimal number", sub);
7270           goto EXPAND_FAILED;
7271           }
7272         for ( ; n; n >>= 5)
7273           g = string_catn(g, &base32_chars[n & 0x1f], 1);
7274
7275         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
7276         break;
7277         }
7278
7279       case EOP_BASE32D:
7280         {
7281         uschar *tt = sub;
7282         unsigned long int n = 0;
7283         while (*tt)
7284           {
7285           uschar * t = Ustrchr(base32_chars, *tt++);
7286           if (!t)
7287             {
7288             expand_string_message = string_sprintf("argument for base32d "
7289               "operator is \"%s\", which is not a base 32 number", sub);
7290             goto EXPAND_FAILED;
7291             }
7292           n = n * 32 + (t - base32_chars);
7293           }
7294         yield = string_fmt_append(yield, "%ld", n);
7295         break;
7296         }
7297
7298       case EOP_BASE62:
7299         {
7300         uschar *t;
7301         unsigned long int n = Ustrtoul(sub, &t, 10);
7302         if (*t)
7303           {
7304           expand_string_message = string_sprintf("argument for base62 "
7305             "operator is \"%s\", which is not a decimal number", sub);
7306           goto EXPAND_FAILED;
7307           }
7308         yield = string_cat(yield, string_base62_32(n));         /*XXX only handles 32b input range.  Need variants? */
7309         break;
7310         }
7311
7312       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
7313
7314       case EOP_BASE62D:
7315         {
7316         uschar *tt = sub;
7317         unsigned long int n = 0;
7318         while (*tt)
7319           {
7320           uschar *t = Ustrchr(base62_chars, *tt++);
7321           if (!t)
7322             {
7323             expand_string_message = string_sprintf("argument for base62d "
7324               "operator is \"%s\", which is not a base %d number", sub,
7325               BASE_62);
7326             goto EXPAND_FAILED;
7327             }
7328           n = n * BASE_62 + (t - base62_chars);
7329           }
7330         yield = string_fmt_append(yield, "%ld", n);
7331         break;
7332         }
7333
7334       case EOP_EXPAND:
7335         {
7336         uschar *expanded = expand_string_internal(sub,
7337                 ESI_HONOR_DOLLAR | flags & ESI_SKIPPING, NULL, &resetok, NULL);
7338         if (!expanded)
7339           {
7340           expand_string_message =
7341             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
7342               expand_string_message);
7343           goto EXPAND_FAILED;
7344           }
7345         yield = string_cat(yield, expanded);
7346         break;
7347         }
7348
7349       case EOP_LC:
7350         {
7351         uschar * t = sub - 1;
7352         while (*++t) *t = tolower(*t);
7353         yield = string_catn(yield, sub, t-sub);
7354         break;
7355         }
7356
7357       case EOP_UC:
7358         {
7359         uschar * t = sub - 1;
7360         while (*++t) *t = toupper(*t);
7361         yield = string_catn(yield, sub, t-sub);
7362         break;
7363         }
7364
7365       case EOP_MD5:
7366 #ifndef DISABLE_TLS
7367         if (vp && *(void **)vp->value)
7368           {
7369           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
7370           yield = string_cat(yield, cp);
7371           }
7372         else
7373 #endif
7374           {
7375           md5 base;
7376           uschar digest[16];
7377           md5_start(&base);
7378           md5_end(&base, sub, Ustrlen(sub), digest);
7379           for (int j = 0; j < 16; j++)
7380             yield = string_fmt_append(yield, "%02x", digest[j]);
7381           }
7382         break;
7383
7384       case EOP_SHA1:
7385 #ifndef DISABLE_TLS
7386         if (vp && *(void **)vp->value)
7387           {
7388           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
7389           yield = string_cat(yield, cp);
7390           }
7391         else
7392 #endif
7393           {
7394           hctx h;
7395           uschar digest[20];
7396           sha1_start(&h);
7397           sha1_end(&h, sub, Ustrlen(sub), digest);
7398           for (int j = 0; j < 20; j++)
7399             yield = string_fmt_append(yield, "%02X", digest[j]);
7400           }
7401         break;
7402
7403       case EOP_SHA2:
7404       case EOP_SHA256:
7405 #ifdef EXIM_HAVE_SHA2
7406         if (vp && *(void **)vp->value)
7407           if (c == EOP_SHA256)
7408             yield = string_cat(yield, tls_cert_fprt_sha256(*(void **)vp->value));
7409           else
7410             expand_string_message = US"sha2_N not supported with certificates";
7411         else
7412           {
7413           hctx h;
7414           blob b;
7415           hashmethod m = !arg ? HASH_SHA2_256
7416             : Ustrcmp(arg, "256") == 0 ? HASH_SHA2_256
7417             : Ustrcmp(arg, "384") == 0 ? HASH_SHA2_384
7418             : Ustrcmp(arg, "512") == 0 ? HASH_SHA2_512
7419             : HASH_BADTYPE;
7420
7421           if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7422             {
7423             expand_string_message = US"unrecognised sha2 variant";
7424             goto EXPAND_FAILED;
7425             }
7426
7427           exim_sha_update_string(&h, sub);
7428           exim_sha_finish(&h, &b);
7429           while (b.len-- > 0)
7430             yield = string_fmt_append(yield, "%02X", *b.data++);
7431           }
7432 #else
7433           expand_string_message = US"sha256 only supported with TLS";
7434 #endif
7435         break;
7436
7437       case EOP_SHA3:
7438 #ifdef EXIM_HAVE_SHA3
7439         {
7440         hctx h;
7441         blob b;
7442         hashmethod m = !arg ? HASH_SHA3_256
7443           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
7444           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
7445           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
7446           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
7447           : HASH_BADTYPE;
7448
7449         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7450           {
7451           expand_string_message = US"unrecognised sha3 variant";
7452           goto EXPAND_FAILED;
7453           }
7454
7455         exim_sha_update_string(&h, sub);
7456         exim_sha_finish(&h, &b);
7457         while (b.len-- > 0)
7458           yield = string_fmt_append(yield, "%02X", *b.data++);
7459         }
7460         break;
7461 #else
7462         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 + or OpenSSL 1.1.1 +";
7463         goto EXPAND_FAILED;
7464 #endif
7465
7466       /* Line-wrap a string as if it is a header line */
7467
7468       case EOP_HEADERWRAP:
7469         {
7470         unsigned col = 80, lim = 998;
7471         uschar * s;
7472
7473         if (arg)
7474           {
7475           const uschar * list = arg;
7476           int sep = '_';
7477           if ((s = string_nextinlist(&list, &sep, NULL, 0)))
7478             {
7479             col = atoi(CS s);
7480             if ((s = string_nextinlist(&list, &sep, NULL, 0)))
7481               lim = atoi(CS s);
7482             }
7483           }
7484           if ((s =  wrap_header(sub, col, lim, US"\t", 8)))
7485             yield = string_cat(yield, s);
7486         }
7487         break;
7488
7489       /* Convert hex encoding to base64 encoding */
7490
7491       case EOP_HEX2B64:
7492         {
7493         int c = 0;
7494         int b = -1;
7495         uschar *in = sub;
7496         uschar *out = sub;
7497         uschar *enc;
7498
7499         for (enc = sub; *enc; enc++)
7500           {
7501           if (!isxdigit(*enc))
7502             {
7503             expand_string_message = string_sprintf("\"%s\" is not a hex "
7504               "string", sub);
7505             goto EXPAND_FAILED;
7506             }
7507           c++;
7508           }
7509
7510         if ((c & 1) != 0)
7511           {
7512           expand_string_message = string_sprintf("\"%s\" contains an odd "
7513             "number of characters", sub);
7514           goto EXPAND_FAILED;
7515           }
7516
7517         while ((c = *in++) != 0)
7518           {
7519           if (isdigit(c)) c -= '0';
7520           else c = toupper(c) - 'A' + 10;
7521           if (b == -1)
7522             b = c << 4;
7523           else
7524             {
7525             *out++ = b | c;
7526             b = -1;
7527             }
7528           }
7529
7530         enc = b64encode(CUS sub, out - sub);
7531         yield = string_cat(yield, enc);
7532         break;
7533         }
7534
7535       /* Convert octets outside 0x21..0x7E to \xXX form */
7536
7537       case EOP_HEXQUOTE:
7538         {
7539         uschar *t = sub - 1;
7540         while (*(++t) != 0)
7541           {
7542           if (*t < 0x21 || 0x7E < *t)
7543             yield = string_fmt_append(yield, "\\x%02x", *t);
7544           else
7545             yield = string_catn(yield, t, 1);
7546           }
7547         break;
7548         }
7549
7550       /* count the number of list elements */
7551
7552       case EOP_LISTCOUNT:
7553         {
7554         int cnt = 0, sep = 0;
7555         uschar * buf = store_get(2, sub);
7556
7557         while (string_nextinlist(CUSS &sub, &sep, buf, 1)) cnt++;
7558         yield = string_fmt_append(yield, "%d", cnt);
7559         break;
7560         }
7561
7562       /* expand a named list given the name */
7563       /* handles nested named lists; requotes as colon-sep list */
7564
7565       case EOP_LISTNAMED:
7566         expand_string_message = NULL;
7567         yield = expand_listnamed(yield, sub, arg);
7568         if (expand_string_message)
7569           goto EXPAND_FAILED;
7570         break;
7571
7572       /* quote a list-item for the given list-separator */
7573
7574       /* mask applies a mask to an IP address; for example the result of
7575       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
7576
7577       case EOP_MASK:
7578         {
7579         int count;
7580         uschar *endptr;
7581         int binary[4];
7582         int type, mask, maskoffset;
7583         BOOL normalised;
7584         uschar buffer[64];
7585
7586         if ((type = string_is_ip_address(sub, &maskoffset)) == 0)
7587           {
7588           expand_string_message = string_sprintf("\"%s\" is not an IP address",
7589            sub);
7590           goto EXPAND_FAILED;
7591           }
7592
7593         if (maskoffset == 0)
7594           {
7595           expand_string_message = string_sprintf("missing mask value in \"%s\"",
7596             sub);
7597           goto EXPAND_FAILED;
7598           }
7599
7600         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
7601
7602         if (*endptr || mask < 0 || mask > (type == 4 ? 32 : 128))
7603           {
7604           expand_string_message = string_sprintf("mask value too big in \"%s\"",
7605             sub);
7606           goto EXPAND_FAILED;
7607           }
7608
7609         /* If an optional 'n' was given, ipv6 gets normalised output:
7610         colons rather than dots, and zero-compressed. */
7611
7612         normalised = arg && *arg == 'n';
7613
7614         /* Convert the address to binary integer(s) and apply the mask */
7615
7616         sub[maskoffset] = 0;
7617         count = host_aton(sub, binary);
7618         host_mask(count, binary, mask);
7619
7620         /* Convert to masked textual format and add to output. */
7621
7622         if (type == 4 || !normalised)
7623           yield = string_catn(yield, buffer,
7624             host_nmtoa(count, binary, mask, buffer, '.'));
7625         else
7626           {
7627           ipv6_nmtoa(binary, buffer);
7628           yield = string_fmt_append(yield, "%s/%d", buffer, mask);
7629           }
7630         break;
7631         }
7632
7633       case EOP_IPV6NORM:
7634       case EOP_IPV6DENORM:
7635         {
7636         int type = string_is_ip_address(sub, NULL);
7637         int binary[4];
7638         uschar buffer[44];
7639
7640         switch (type)
7641           {
7642           case 6:
7643             (void) host_aton(sub, binary);
7644             break;
7645
7646           case 4:       /* convert to IPv4-mapped IPv6 */
7647             binary[0] = binary[1] = 0;
7648             binary[2] = 0x0000ffff;
7649             (void) host_aton(sub, binary+3);
7650             break;
7651
7652           case 0:
7653             expand_string_message =
7654               string_sprintf("\"%s\" is not an IP address", sub);
7655             goto EXPAND_FAILED;
7656           }
7657
7658         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
7659                     ? ipv6_nmtoa(binary, buffer)
7660                     : host_nmtoa(4, binary, -1, buffer, ':')
7661                   );
7662         break;
7663         }
7664
7665       case EOP_ADDRESS:
7666       case EOP_LOCAL_PART:
7667       case EOP_DOMAIN:
7668         {
7669         uschar * error;
7670         int start, end, domain;
7671         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
7672           FALSE);
7673         if (t)
7674           if (c != EOP_DOMAIN)
7675             yield = c == EOP_LOCAL_PART && domain > 0
7676               ? string_catn(yield, t, domain - 1)
7677               : string_cat(yield, t);
7678           else if (domain > 0)
7679             yield = string_cat(yield, t + domain);
7680         break;
7681         }
7682
7683       case EOP_ADDRESSES:
7684         {
7685         uschar outsep[2] = { ':', '\0' };
7686         uschar *address, *error;
7687         int save_ptr = gstring_length(yield);
7688         int start, end, domain;  /* Not really used */
7689
7690         if (Uskip_whitespace(&sub) == '>')
7691           if (*outsep = *++sub) ++sub;
7692           else
7693             {
7694             expand_string_message = string_sprintf("output separator "
7695               "missing in expanding ${addresses:%s}", --sub);
7696             goto EXPAND_FAILED;
7697             }
7698         f.parse_allow_group = TRUE;
7699
7700         for (;;)
7701           {
7702           uschar * p = parse_find_address_end(sub, FALSE);
7703           uschar saveend = *p;
7704           *p = '\0';
7705           address = parse_extract_address(sub, &error, &start, &end, &domain,
7706             FALSE);
7707           *p = saveend;
7708
7709           /* Add the address to the output list that we are building. This is
7710           done in chunks by searching for the separator character. At the
7711           start, unless we are dealing with the first address of the output
7712           list, add in a space if the new address begins with the separator
7713           character, or is an empty string. */
7714
7715           if (address)
7716             {
7717             if (yield && yield->ptr != save_ptr && address[0] == *outsep)
7718               yield = string_catn(yield, US" ", 1);
7719
7720             for (;;)
7721               {
7722               size_t seglen = Ustrcspn(address, outsep);
7723               yield = string_catn(yield, address, seglen + 1);
7724
7725               /* If we got to the end of the string we output one character
7726               too many. */
7727
7728               if (address[seglen] == '\0') { yield->ptr--; break; }
7729               yield = string_catn(yield, outsep, 1);
7730               address += seglen + 1;
7731               }
7732
7733             /* Output a separator after the string: we will remove the
7734             redundant final one at the end. */
7735
7736             yield = string_catn(yield, outsep, 1);
7737             }
7738
7739           if (saveend == '\0') break;
7740           sub = p + 1;
7741           }
7742
7743         /* If we have generated anything, remove the redundant final
7744         separator. */
7745
7746         if (yield && yield->ptr != save_ptr) yield->ptr--;
7747         f.parse_allow_group = FALSE;
7748         break;
7749         }
7750
7751
7752       /* quote puts a string in quotes if it is empty or contains anything
7753       other than alphamerics, underscore, dot, or hyphen.
7754
7755       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
7756       be quoted in order to be a valid local part.
7757
7758       In both cases, newlines and carriage returns are converted into \n and \r
7759       respectively */
7760
7761       case EOP_QUOTE:
7762       case EOP_QUOTE_LOCAL_PART:
7763         if (!arg)
7764           {
7765           BOOL needs_quote = (!*sub);      /* TRUE for empty string */
7766           uschar *t = sub - 1;
7767
7768           if (c == EOP_QUOTE)
7769             while (!needs_quote && *++t)
7770               needs_quote = !isalnum(*t) && !strchr("_-.", *t);
7771
7772           else  /* EOP_QUOTE_LOCAL_PART */
7773             while (!needs_quote && *++t)
7774               needs_quote = !isalnum(*t)
7775                 && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL
7776                 && (*t != '.' || t == sub || !t[1]);
7777
7778           if (needs_quote)
7779             {
7780             yield = string_catn(yield, US"\"", 1);
7781             t = sub - 1;
7782             while (*++t)
7783               if (*t == '\n')
7784                 yield = string_catn(yield, US"\\n", 2);
7785               else if (*t == '\r')
7786                 yield = string_catn(yield, US"\\r", 2);
7787               else
7788                 {
7789                 if (*t == '\\' || *t == '"')
7790                   yield = string_catn(yield, US"\\", 1);
7791                 yield = string_catn(yield, t, 1);
7792                 }
7793             yield = string_catn(yield, US"\"", 1);
7794             }
7795           else
7796             yield = string_cat(yield, sub);
7797           }
7798
7799         /* quote_lookuptype does lookup-specific quoting */
7800
7801         else
7802           {
7803           const lookup_info * li;
7804           uschar * opt = Ustrchr(arg, '_');
7805
7806           if (opt) *opt++ = 0;
7807
7808           if (!(li = search_findtype(arg, Ustrlen(arg))))
7809             {
7810             expand_string_message = search_error_message;
7811             goto EXPAND_FAILED;
7812             }
7813
7814           if (li->quote)
7815             sub = (li->quote)(sub, opt, li->acq_num);
7816           else if (opt)
7817             sub = NULL;
7818
7819           if (!sub)
7820             {
7821             expand_string_message = string_sprintf(
7822               "\"%s\" unrecognized after \"${quote_%s\"",       /*}*/
7823               opt, arg);
7824             goto EXPAND_FAILED;
7825             }
7826
7827           yield = string_cat(yield, sub);
7828           }
7829         break;
7830
7831       /* rx quote sticks in \ before any non-alphameric character so that
7832       the insertion works in a regular expression. */
7833
7834       case EOP_RXQUOTE:
7835         {
7836         uschar *t = sub - 1;
7837         while (*(++t) != 0)
7838           {
7839           if (!isalnum(*t))
7840             yield = string_catn(yield, US"\\", 1);
7841           yield = string_catn(yield, t, 1);
7842           }
7843         break;
7844         }
7845
7846       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
7847       prescribed by the RFC, if there are characters that need to be encoded */
7848
7849       case EOP_RFC2047:
7850         yield = string_cat(yield,
7851                             parse_quote_2047(sub, Ustrlen(sub), headers_charset,
7852                               FALSE));
7853         break;
7854
7855       /* RFC 2047 decode */
7856
7857       case EOP_RFC2047D:
7858         {
7859         int len;
7860         uschar *error;
7861         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
7862           headers_charset, '?', &len, &error);
7863         if (error)
7864           {
7865           expand_string_message = error;
7866           goto EXPAND_FAILED;
7867           }
7868         yield = string_catn(yield, decoded, len);
7869         break;
7870         }
7871
7872       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
7873       underscores */
7874
7875       case EOP_FROM_UTF8:
7876         {
7877         uschar * buff = store_get(4, sub);
7878         while (*sub)
7879           {
7880           int c;
7881           GETUTF8INC(c, sub);
7882           if (c > 255) c = '_';
7883           buff[0] = c;
7884           yield = string_catn(yield, buff, 1);
7885           }
7886         break;
7887         }
7888
7889       /* replace illegal UTF-8 sequences by replacement character  */
7890
7891       #define UTF8_REPLACEMENT_CHAR US"?"
7892
7893       case EOP_UTF8CLEAN:
7894         {
7895         int seq_len = 0, index = 0, bytes_left = 0, complete;
7896         u_long codepoint = (u_long)-1;
7897         uschar seq_buff[4];                     /* accumulate utf-8 here */
7898
7899         /* Manually track tainting, as we deal in individual chars below */
7900
7901         if (!yield)
7902           yield = string_get_tainted(Ustrlen(sub), sub);
7903         else if (!yield->s || !yield->ptr)
7904           {
7905           yield->s = store_get(yield->size = Ustrlen(sub), sub);
7906           gstring_reset(yield);
7907           }
7908         else if (is_incompatible(yield->s, sub))
7909           gstring_rebuffer(yield, sub);
7910
7911         /* Check the UTF-8, byte-by-byte */
7912
7913         while (*sub)
7914           {
7915           complete = 0;
7916           uschar c = *sub++;
7917
7918           if (bytes_left)
7919             {
7920             if ((c & 0xc0) != 0x80)
7921                     /* wrong continuation byte; invalidate all bytes */
7922               complete = 1; /* error */
7923             else
7924               {
7925               codepoint = (codepoint << 6) | (c & 0x3f);
7926               seq_buff[index++] = c;
7927               if (--bytes_left == 0)            /* codepoint complete */
7928                 if(codepoint > 0x10FFFF)        /* is it too large? */
7929                   complete = -1;        /* error (RFC3629 limit) */
7930                 else if ( (codepoint & 0x1FF800 ) == 0xD800 ) /* surrogate */
7931                   /* A UTF-16 surrogate (which should be one of a pair that
7932                   encode a Unicode codepoint that is outside the Basic
7933                   Multilingual Plane).  Error, not UTF8.
7934                   RFC2279.2 is slightly unclear on this, but 
7935                   https://unicodebook.readthedocs.io/issues.html#strict-utf8-decoder
7936                   says "Surrogates characters are also invalid in UTF-8:
7937                   characters in U+D800—U+DFFF have to be rejected." */
7938                   complete = -1;
7939                 else
7940                   {             /* finished; output utf-8 sequence */
7941                   yield = string_catn(yield, seq_buff, seq_len);
7942                   index = 0;
7943                   }
7944               }
7945             }
7946           else  /* no bytes left: new sequence */
7947             {
7948             if (!(c & 0x80))    /* 1-byte sequence, US-ASCII, keep it */
7949               {
7950               yield = string_catn(yield, &c, 1);
7951               continue;
7952               }
7953             if ((c & 0xe0) == 0xc0)             /* 2-byte sequence */
7954               if (c == 0xc0 || c == 0xc1)       /* 0xc0 and 0xc1 are illegal */
7955                 complete = -1;
7956               else
7957                 {
7958                 bytes_left = 1;
7959                 codepoint = c & 0x1f;
7960                 }
7961             else if ((c & 0xf0) == 0xe0)                /* 3-byte sequence */
7962               {
7963               bytes_left = 2;
7964               codepoint = c & 0x0f;
7965               }
7966             else if ((c & 0xf8) == 0xf0)                /* 4-byte sequence */
7967               {
7968               bytes_left = 3;
7969               codepoint = c & 0x07;
7970               }
7971             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7972               complete = -1;
7973
7974             seq_buff[index++] = c;
7975             seq_len = bytes_left + 1;
7976             }           /* if(bytes_left) */
7977
7978           if (complete != 0)
7979             {
7980             bytes_left = index = 0;
7981             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7982             }
7983           if ((complete == 1) && ((c & 0x80) == 0))
7984                         /* ASCII character follows incomplete sequence */
7985               yield = string_catn(yield, &c, 1);
7986           }
7987         /* If given a sequence truncated mid-character, we also want to report ?
7988         Eg, ${length_1:フィル} is one byte, not one character, so we expect
7989         ${utf8clean:${length_1:フィル}} to yield '?' */
7990
7991         if (bytes_left != 0)
7992           yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7993
7994         break;
7995         }
7996
7997 #ifdef SUPPORT_I18N
7998       case EOP_UTF8_DOMAIN_TO_ALABEL:
7999         {
8000         uschar * error = NULL;
8001         uschar * s = string_domain_utf8_to_alabel(sub, &error);
8002         if (error)
8003           {
8004           expand_string_message = string_sprintf(
8005             "error converting utf8 (%s) to alabel: %s",
8006             string_printing(sub), error);
8007           goto EXPAND_FAILED;
8008           }
8009         yield = string_cat(yield, s);
8010         break;
8011         }
8012
8013       case EOP_UTF8_DOMAIN_FROM_ALABEL:
8014         {
8015         uschar * error = NULL;
8016         uschar * s = string_domain_alabel_to_utf8(sub, &error);
8017         if (error)
8018           {
8019           expand_string_message = string_sprintf(
8020             "error converting alabel (%s) to utf8: %s",
8021             string_printing(sub), error);
8022           goto EXPAND_FAILED;
8023           }
8024         yield = string_cat(yield, s);
8025         break;
8026         }
8027
8028       case EOP_UTF8_LOCALPART_TO_ALABEL:
8029         {
8030         uschar * error = NULL;
8031         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
8032         if (error)
8033           {
8034           expand_string_message = string_sprintf(
8035             "error converting utf8 (%s) to alabel: %s",
8036             string_printing(sub), error);
8037           goto EXPAND_FAILED;
8038           }
8039         yield = string_cat(yield, s);
8040         DEBUG(D_expand) debug_printf_indent("yield: '%Y'\n", yield);
8041         break;
8042         }
8043
8044       case EOP_UTF8_LOCALPART_FROM_ALABEL:
8045         {
8046         uschar * error = NULL;
8047         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
8048         if (error)
8049           {
8050           expand_string_message = string_sprintf(
8051             "error converting alabel (%s) to utf8: %s",
8052             string_printing(sub), error);
8053           goto EXPAND_FAILED;
8054           }
8055         yield = string_cat(yield, s);
8056         break;
8057         }
8058 #endif  /* EXPERIMENTAL_INTERNATIONAL */
8059
8060       /* escape turns all non-printing characters into escape sequences. */
8061
8062       case EOP_ESCAPE:
8063         {
8064         const uschar * t = string_printing(sub);
8065         yield = string_cat(yield, t);
8066         break;
8067         }
8068
8069       case EOP_ESCAPE8BIT:
8070         {
8071         uschar c;
8072
8073         for (const uschar * s = sub; (c = *s); s++)
8074           yield = c < 127 && c != '\\'
8075             ? string_catn(yield, s, 1)
8076             : string_fmt_append(yield, "\\%03o", c);
8077         break;
8078         }
8079
8080       /* Handle numeric expression evaluation */
8081
8082       case EOP_EVAL:
8083       case EOP_EVAL10:
8084         {
8085         uschar *save_sub = sub;
8086         uschar *error = NULL;
8087         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
8088         if (error)
8089           {
8090           expand_string_message = string_sprintf("error in expression "
8091             "evaluation: %s (after processing \"%.*s\")", error,
8092             (int)(sub-save_sub), save_sub);
8093           goto EXPAND_FAILED;
8094           }
8095         yield = string_fmt_append(yield, PR_EXIM_ARITH, n);
8096         break;
8097         }
8098
8099       /* Handle time period formatting */
8100
8101       case EOP_TIME_EVAL:
8102         {
8103         int n = readconf_readtime(sub, 0, FALSE);
8104         if (n < 0)
8105           {
8106           expand_string_message = string_sprintf("string \"%s\" is not an "
8107             "Exim time interval in \"%s\" operator", sub, name);
8108           goto EXPAND_FAILED;
8109           }
8110         yield = string_fmt_append(yield, "%d", n);
8111         break;
8112         }
8113
8114       case EOP_TIME_INTERVAL:
8115         {
8116         int n;
8117         uschar *t = read_number(&n, sub);
8118         if (*t != 0) /* Not A Number*/
8119           {
8120           expand_string_message = string_sprintf("string \"%s\" is not a "
8121             "positive number in \"%s\" operator", sub, name);
8122           goto EXPAND_FAILED;
8123           }
8124         t = readconf_printtime(n);
8125         yield = string_cat(yield, t);
8126         break;
8127         }
8128
8129       /* Convert string to base64 encoding */
8130
8131       case EOP_STR2B64:
8132       case EOP_BASE64:
8133         {
8134 #ifndef DISABLE_TLS
8135         uschar * s = vp && *(void **)vp->value
8136           ? tls_cert_der_b64(*(void **)vp->value)
8137           : b64encode(CUS sub, Ustrlen(sub));
8138 #else
8139         uschar * s = b64encode(CUS sub, Ustrlen(sub));
8140 #endif
8141         yield = string_cat(yield, s);
8142         break;
8143         }
8144
8145       case EOP_BASE64D:
8146         {
8147         uschar * s;
8148         int len = b64decode(sub, &s, sub);
8149         if (len < 0)
8150           {
8151           expand_string_message = string_sprintf("string \"%s\" is not "
8152             "well-formed for \"%s\" operator", sub, name);
8153           goto EXPAND_FAILED;
8154           }
8155         yield = string_cat(yield, s);
8156         break;
8157         }
8158
8159       /* strlen returns the length of the string */
8160
8161       case EOP_STRLEN:
8162         yield = string_fmt_append(yield, "%d", Ustrlen(sub));
8163         break;
8164
8165       /* length_n or l_n takes just the first n characters or the whole string,
8166       whichever is the shorter;
8167
8168       substr_m_n, and s_m_n take n characters from offset m; negative m take
8169       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
8170       takes the rest, either to the right or to the left.
8171
8172       hash_n or h_n makes a hash of length n from the string, yielding n
8173       characters from the set a-z; hash_n_m makes a hash of length n, but
8174       uses m characters from the set a-zA-Z0-9.
8175
8176       nhash_n returns a single number between 0 and n-1 (in text form), while
8177       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
8178       between 0 and n-1 and the second between 0 and m-1. */
8179
8180       case EOP_LENGTH:
8181       case EOP_L:
8182       case EOP_SUBSTR:
8183       case EOP_S:
8184       case EOP_HASH:
8185       case EOP_H:
8186       case EOP_NHASH:
8187       case EOP_NH:
8188         {
8189         int sign = 1;
8190         int value1 = 0;
8191         int value2 = -1;
8192         int *pn;
8193         int len;
8194         uschar *ret;
8195
8196         if (!arg)
8197           {
8198           expand_string_message = string_sprintf("missing values after %s",
8199             name);
8200           goto EXPAND_FAILED;
8201           }
8202
8203         /* "length" has only one argument, effectively being synonymous with
8204         substr_0_n. */
8205
8206         if (c == EOP_LENGTH || c == EOP_L)
8207           {
8208           pn = &value2;
8209           value2 = 0;
8210           }
8211
8212         /* The others have one or two arguments; for "substr" the first may be
8213         negative. The second being negative means "not supplied". */
8214
8215         else
8216           {
8217           pn = &value1;
8218           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
8219           }
8220
8221         /* Read up to two numbers, separated by underscores */
8222
8223         ret = arg;
8224         while (*arg != 0)
8225           {
8226           if (arg != ret && *arg == '_' && pn == &value1)
8227             {
8228             pn = &value2;
8229             value2 = 0;
8230             if (arg[1] != 0) arg++;
8231             }
8232           else if (!isdigit(*arg))
8233             {
8234             expand_string_message =
8235               string_sprintf("non-digit after underscore in \"%s\"", name);
8236             goto EXPAND_FAILED;
8237             }
8238           else *pn = (*pn)*10 + *arg++ - '0';
8239           }
8240         value1 *= sign;
8241
8242         /* Perform the required operation */
8243
8244         ret = c == EOP_HASH || c == EOP_H
8245           ? compute_hash(sub, value1, value2, &len)
8246           : c == EOP_NHASH || c == EOP_NH
8247           ? compute_nhash(sub, value1, value2, &len)
8248           : extract_substr(sub, value1, value2, &len);
8249         if (!ret) goto EXPAND_FAILED;
8250
8251         yield = string_catn(yield, ret, len);
8252         break;
8253         }
8254
8255       /* Stat a path */
8256
8257       case EOP_STAT:
8258         {
8259         uschar smode[12];
8260         uschar **modetable[3];
8261         mode_t mode;
8262         struct stat st;
8263
8264         if (expand_forbid & RDO_EXISTS)
8265           {
8266           expand_string_message = US"Use of the stat() expansion is not permitted";
8267           goto EXPAND_FAILED;
8268           }
8269
8270         if (stat(CS sub, &st) < 0)
8271           {
8272           expand_string_message = string_sprintf("stat(%s) failed: %s",
8273             sub, strerror(errno));
8274           goto EXPAND_FAILED;
8275           }
8276         mode = st.st_mode;
8277         switch (mode & S_IFMT)
8278           {
8279           case S_IFIFO: smode[0] = 'p'; break;
8280           case S_IFCHR: smode[0] = 'c'; break;
8281           case S_IFDIR: smode[0] = 'd'; break;
8282           case S_IFBLK: smode[0] = 'b'; break;
8283           case S_IFREG: smode[0] = '-'; break;
8284           default: smode[0] = '?'; break;
8285           }
8286
8287         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
8288         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
8289         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
8290
8291         for (int i = 0; i < 3; i++)
8292           {
8293           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
8294           mode >>= 3;
8295           }
8296
8297         smode[10] = 0;
8298         yield = string_fmt_append(yield,
8299           "mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
8300           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
8301           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
8302           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
8303           (long)st.st_gid, st.st_size, (long)st.st_atime,
8304           (long)st.st_mtime, (long)st.st_ctime);
8305         break;
8306         }
8307
8308       /* vaguely random number less than N */
8309
8310       case EOP_RANDINT:
8311         {
8312         int_eximarith_t max = expanded_string_integer(sub, TRUE);
8313
8314         if (expand_string_message)
8315           goto EXPAND_FAILED;
8316         yield = string_fmt_append(yield, "%d", vaguely_random_number((int)max));
8317         break;
8318         }
8319
8320       /* Reverse IP, including IPv6 to dotted-nibble */
8321
8322       case EOP_REVERSE_IP:
8323         {
8324         int family, maskptr;
8325         uschar reversed[128];
8326
8327         family = string_is_ip_address(sub, &maskptr);
8328         if (family == 0)
8329           {
8330           expand_string_message = string_sprintf(
8331               "reverse_ip() not given an IP address [%s]", sub);
8332           goto EXPAND_FAILED;
8333           }
8334         invert_address(reversed, sub);
8335         yield = string_cat(yield, reversed);
8336         break;
8337         }
8338
8339       case EOP_XTEXTD:
8340         {
8341         uschar * s;
8342         int len = xtextdecode(sub, &s);
8343         yield = string_catn(yield, s, len);
8344         break;
8345         }
8346
8347       /* Unknown operator */
8348       default:
8349         expand_string_message =
8350           string_sprintf("unknown expansion operator \"%s\"", name);
8351         goto EXPAND_FAILED;
8352       } /* EOP_* switch */
8353
8354       DEBUG(D_expand)
8355         {
8356         const uschar * res = string_from_gstring(yield);
8357         const uschar * s = res + expansion_start;
8358         int i = gstring_length(yield) - expansion_start;
8359         BOOL tainted = is_tainted(s);
8360
8361         debug_printf_indent("%Vop-res: %.*s\n", "K-----", i, s);
8362         if (tainted)
8363           {
8364           debug_printf_indent("%V          %V",
8365             flags & ESI_SKIPPING ? "|" : " ",
8366             "\\__");
8367           debug_print_taint(res);
8368           }
8369         }
8370        continue;
8371        }
8372     }
8373
8374   /* Not an item or an operator */
8375   /* Handle a plain name. If this is the first thing in the expansion, release
8376   the pre-allocated buffer. If the result data is known to be in a new buffer,
8377   newsize will be set to the size of that buffer, and we can just point at that
8378   store instead of copying. Many expansion strings contain just one reference,
8379   so this is a useful optimization, especially for humungous headers
8380   ($message_headers). */
8381                                                 /*{*/
8382   if (*s++ == '}')
8383     {
8384     const uschar * value;
8385     int len;
8386     int newsize = 0;
8387     gstring * g = NULL;
8388
8389     if (!yield)
8390       g = store_get(sizeof(gstring), GET_UNTAINTED);
8391     else if (yield->ptr == 0)
8392       {
8393       if (resetok) reset_point = store_reset(reset_point);
8394       yield = NULL;
8395       reset_point = store_mark();
8396       g = store_get(sizeof(gstring), GET_UNTAINTED);    /* alloc _before_ calling find_variable() */
8397       }
8398     if (!(value = find_variable(name, flags, &newsize)))
8399       {
8400       expand_string_message =
8401         string_sprintf("unknown variable in \"${%s}\"", name);
8402       check_variable_error_message(name);
8403       goto EXPAND_FAILED;
8404       }
8405     len = Ustrlen(value);
8406     if (!yield && newsize)
8407       {
8408       yield = g;
8409       yield->size = newsize;
8410       yield->ptr = len;
8411       yield->s = US value; /* known to be in new store i.e. a copy, so deconst safe */
8412       }
8413     else
8414       yield = string_catn(yield, value, len);
8415     continue;
8416     }
8417
8418   /* Else there's something wrong */
8419
8420   expand_string_message =
8421     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
8422     "in a variable reference)", name);
8423   goto EXPAND_FAILED;
8424   }
8425
8426 /* If we hit the end of the string when brace_ends is set, there is a missing
8427 terminating brace. */
8428
8429 if (flags & ESI_BRACE_ENDS && !*s)
8430   {                                                     /*{{*/
8431   expand_string_message = malformed_header
8432     ? US"missing } at end of string - could be header name not terminated by colon"
8433     : US"missing } at end of string";
8434   goto EXPAND_FAILED;
8435   }
8436
8437 /* Expansion succeeded; yield may still be NULL here if nothing was actually
8438 added to the string. If so, set up an empty string. Add a terminating zero. If
8439 left != NULL, return a pointer to the terminator. */
8440
8441  {
8442   uschar * res;
8443
8444   if (!yield)
8445     yield = string_get(1);
8446   res = string_from_gstring(yield);
8447   if (left) *left = s;
8448
8449   /* Any stacking store that was used above the final string is no longer needed.
8450   In many cases the final string will be the first one that was got and so there
8451   will be optimal store usage. */
8452
8453   if (resetok) gstring_release_unused(yield);
8454   else if (resetok_p) *resetok_p = FALSE;
8455
8456   DEBUG(D_expand)
8457     {
8458     BOOL tainted = is_tainted(res);
8459     debug_printf_indent("%Vexpanded: %.*W\n",
8460       "K---",
8461       (int)(s - string), string);
8462     debug_printf_indent("%Vresult: ",
8463       flags & ESI_SKIPPING ? "K-----" : "\\_____");
8464     if (*res || !(flags & ESI_SKIPPING))
8465       debug_printf("%W\n", res);
8466     else
8467       debug_printf(" %Vskipped%V\n", "<", ">");
8468     if (tainted)
8469       {
8470       debug_printf_indent("%V          %V",
8471         flags & ESI_SKIPPING ? "|" : " ",
8472         "\\__"
8473         );
8474       debug_print_taint(res);
8475       }
8476     if (flags & ESI_SKIPPING)
8477       debug_printf_indent("%Vskipping: result is not used\n", "\\___");
8478     }
8479   if (textonly_p) *textonly_p = textonly;
8480   expand_level--;
8481   return res;
8482  }
8483
8484 /* This is the failure exit: easiest to program with a goto. We still need
8485 to update the pointer to the terminator, for cases of nested calls with "fail".
8486 */
8487
8488 EXPAND_FAILED_CURLY:
8489 if (malformed_header)
8490   expand_string_message =
8491     US"missing or misplaced { or } - could be header name not terminated by colon";
8492
8493 else if (!expand_string_message || !*expand_string_message)
8494   expand_string_message = US"missing or misplaced { or }";
8495
8496 /* At one point, Exim reset the store to yield (if yield was not NULL), but
8497 that is a bad idea, because expand_string_message is in dynamic store. */
8498
8499 EXPAND_FAILED:
8500 if (left) *left = s;
8501 DEBUG(D_expand)
8502   {
8503   debug_printf_indent("%Vfailed to expand: %s\n", "K", string);
8504   debug_printf_indent("%Verror message: %s\n",
8505     f.expand_string_forcedfail ? "K---" : "\\___", expand_string_message);
8506   if (f.expand_string_forcedfail)
8507     debug_printf_indent("%Vfailure was forced\n", "\\");
8508   }
8509 if (resetok_p && !resetok) *resetok_p = FALSE;
8510 expand_level--;
8511 return NULL;
8512 }
8513
8514
8515
8516 /* This is the external function call. Do a quick check for any expansion
8517 metacharacters, and if there are none, just return the input string.
8518
8519 Arguments
8520         the string to be expanded
8521         optional pointer for return boolean indicating no-dynamic-expansions
8522
8523 Returns:  the expanded string, or NULL if expansion failed; if failure was
8524           due to a lookup deferring, search_find_defer will be TRUE
8525 */
8526
8527 const uschar *
8528 expand_string_2(const uschar * string, BOOL * textonly_p)
8529 {
8530 f.expand_string_forcedfail = f.search_find_defer = malformed_header = FALSE;
8531 if (Ustrpbrk(string, "$\\") != NULL)
8532   {
8533   int old_pool = store_pool;
8534   uschar * s;
8535
8536   store_pool = POOL_MAIN;
8537     s = expand_string_internal(string, ESI_HONOR_DOLLAR, NULL, NULL, textonly_p);
8538   store_pool = old_pool;
8539   return s;
8540   }
8541 if (textonly_p) *textonly_p = TRUE;
8542 return string;
8543 }
8544
8545 const uschar *
8546 expand_cstring(const uschar * string)
8547 { return expand_string_2(string, NULL); }
8548
8549 uschar *
8550 expand_string(uschar * string)
8551 { return US expand_string_2(CUS string, NULL); }
8552
8553
8554
8555
8556
8557
8558 /*************************************************
8559 *              Expand and copy                   *
8560 *************************************************/
8561
8562 /* Now and again we want to expand a string and be sure that the result is in a
8563 new bit of store. This function does that.
8564 Since we know it has been copied, the de-const cast is safe.
8565
8566 Argument: the string to be expanded
8567 Returns:  the expanded string, always in a new bit of store, or NULL
8568 */
8569
8570 uschar *
8571 expand_string_copy(const uschar *string)
8572 {
8573 const uschar *yield = expand_cstring(string);
8574 if (yield == string) yield = string_copy(string);
8575 return US yield;
8576 }
8577
8578
8579
8580 /*************************************************
8581 *        Expand and interpret as an integer      *
8582 *************************************************/
8583
8584 /* Expand a string, and convert the result into an integer.
8585
8586 Arguments:
8587   string  the string to be expanded
8588   isplus  TRUE if a non-negative number is expected
8589
8590 Returns:  the integer value, or
8591           -1 for an expansion error               ) in both cases, message in
8592           -2 for an integer interpretation error  ) expand_string_message
8593           expand_string_message is set NULL for an OK integer
8594 */
8595
8596 int_eximarith_t
8597 expand_string_integer(uschar *string, BOOL isplus)
8598 {
8599 return expanded_string_integer(expand_string(string), isplus);
8600 }
8601
8602
8603 /*************************************************
8604  *         Interpret string as an integer        *
8605  *************************************************/
8606
8607 /* Convert a string (that has already been expanded) into an integer.
8608
8609 This function is used inside the expansion code.
8610
8611 Arguments:
8612   s       the string to be expanded
8613   isplus  TRUE if a non-negative number is expected
8614
8615 Returns:  the integer value, or
8616           -1 if string is NULL (which implies an expansion error)
8617           -2 for an integer interpretation error
8618           expand_string_message is set NULL for an OK integer
8619 */
8620
8621 static int_eximarith_t
8622 expanded_string_integer(const uschar *s, BOOL isplus)
8623 {
8624 int_eximarith_t value;
8625 uschar *msg = US"invalid integer \"%s\"";
8626 uschar *endptr;
8627
8628 /* If expansion failed, expand_string_message will be set. */
8629
8630 if (!s) return -1;
8631
8632 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
8633 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
8634 systems, so we set it zero ourselves. */
8635
8636 errno = 0;
8637 expand_string_message = NULL;               /* Indicates no error */
8638
8639 /* Before Exim 4.64, strings consisting entirely of whitespace compared
8640 equal to 0.  Unfortunately, people actually relied upon that, so preserve
8641 the behaviour explicitly.  Stripping leading whitespace is a harmless
8642 noop change since strtol skips it anyway (provided that there is a number
8643 to find at all). */
8644 if (isspace(*s))
8645   if (Uskip_whitespace(&s) == '\0')
8646     {
8647       DEBUG(D_expand)
8648        debug_printf_indent("treating blank string as number 0\n");
8649       return 0;
8650     }
8651
8652 value = strtoll(CS s, CSS &endptr, 10);
8653
8654 if (endptr == s)
8655   msg = US"integer expected but \"%s\" found";
8656 else if (value < 0 && isplus)
8657   msg = US"non-negative integer expected but \"%s\" found";
8658 else
8659   {
8660   switch (tolower(*endptr))
8661     {
8662     default:
8663       break;
8664     case 'k':
8665       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
8666       else value *= 1024;
8667       endptr++;
8668       break;
8669     case 'm':
8670       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
8671       else value *= 1024*1024;
8672       endptr++;
8673       break;
8674     case 'g':
8675       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
8676       else value *= 1024*1024*1024;
8677       endptr++;
8678       break;
8679     }
8680   if (errno == ERANGE)
8681     msg = US"absolute value of integer \"%s\" is too large (overflow)";
8682   else
8683     if (Uskip_whitespace(&endptr) == 0) return value;
8684   }
8685
8686 expand_string_message = string_sprintf(CS msg, s);
8687 return -2;
8688 }
8689
8690
8691 /* These values are usually fixed boolean values, but they are permitted to be
8692 expanded strings.
8693
8694 Arguments:
8695   addr       address being routed
8696   mtype      the module type
8697   mname      the module name
8698   dbg_opt    debug selectors
8699   oname      the option name
8700   bvalue     the router's boolean value
8701   svalue     the router's string value
8702   rvalue     where to put the returned value
8703
8704 Returns:     OK     value placed in rvalue
8705              DEFER  expansion failed
8706 */
8707
8708 int
8709 exp_bool(address_item * addr,
8710   const uschar * mtype, const uschar * mname, unsigned dbg_opt,
8711   uschar * oname, BOOL bvalue,
8712   const uschar * svalue, BOOL * rvalue)
8713 {
8714 const uschar * expanded;
8715
8716 DEBUG(D_expand) debug_printf("try option %s\n", oname);
8717 if (!svalue) { *rvalue = bvalue; return OK; }
8718
8719 if (!(expanded = expand_cstring(svalue)))
8720   {
8721   if (f.expand_string_forcedfail)
8722     {
8723     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
8724     *rvalue = bvalue;
8725     return OK;
8726     }
8727   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
8728       oname, mname, mtype, expand_string_message);
8729   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
8730   return DEFER;
8731   }
8732
8733 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
8734   expanded);
8735
8736 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
8737   *rvalue = TRUE;
8738 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
8739   *rvalue = FALSE;
8740 else
8741   {
8742   addr->message = string_sprintf("\"%s\" is not a valid value for the "
8743     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
8744   return DEFER;
8745   }
8746
8747 return OK;
8748 }
8749
8750
8751
8752 /* Avoid potentially exposing a password in a string about to be logged */
8753
8754 uschar *
8755 expand_hide_passwords(uschar * s)
8756 {
8757 return (  (  Ustrstr(s, "failed to expand") != NULL
8758           || Ustrstr(s, "expansion of ")    != NULL
8759           )
8760        && (  Ustrstr(s, "mysql")   != NULL
8761           || Ustrstr(s, "pgsql")   != NULL
8762           || Ustrstr(s, "redis")   != NULL
8763           || Ustrstr(s, "sqlite")  != NULL
8764           || Ustrstr(s, "ldap:")   != NULL
8765           || Ustrstr(s, "ldaps:")  != NULL
8766           || Ustrstr(s, "ldapi:")  != NULL
8767           || Ustrstr(s, "ldapdn:") != NULL
8768           || Ustrstr(s, "ldapm:")  != NULL
8769        )  )
8770   ? US"Temporary internal error" : s;
8771 }
8772
8773
8774 /* Read given named file into big_buffer.  Use for keying material etc.
8775 The content will have an ascii NUL appended.
8776
8777 Arguments:
8778  filename       as it says
8779
8780 Return:  pointer to buffer, or NULL on error.
8781 */
8782
8783 uschar *
8784 expand_file_big_buffer(const uschar * filename)
8785 {
8786 int fd, off = 0, len;
8787
8788 if ((fd = exim_open2(CS filename, O_RDONLY)) < 0)
8789   {
8790   log_write(0, LOG_MAIN | LOG_PANIC, "unable to open file for reading: %s",
8791              filename);
8792   return NULL;
8793   }
8794
8795 do
8796   {
8797   if ((len = read(fd, big_buffer + off, big_buffer_size - 2 - off)) < 0)
8798     {
8799     (void) close(fd);
8800     log_write(0, LOG_MAIN|LOG_PANIC, "unable to read file: %s", filename);
8801     return NULL;
8802     }
8803   off += len;
8804   }
8805 while (len > 0);
8806
8807 (void) close(fd);
8808 big_buffer[off] = '\0';
8809 return big_buffer;
8810 }
8811
8812
8813
8814 /*************************************************
8815 * Error-checking for testsuite                   *
8816 *************************************************/
8817 typedef struct {
8818   uschar *      region_start;
8819   uschar *      region_end;
8820   const uschar *var_name;
8821   const uschar *var_data;
8822 } err_ctx;
8823
8824 /* Called via tree_walk, which allows nonconst name/data.  Our usage is const. */
8825 static void
8826 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
8827 {
8828 err_ctx * e = ctx;
8829 if (var_data >= e->region_start  &&  var_data < e->region_end)
8830   {
8831   e->var_name = CUS var_name;
8832   e->var_data = CUS var_data;
8833   }
8834 }
8835
8836 void
8837 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
8838 {
8839 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
8840               .var_name = NULL, .var_data = NULL };
8841
8842 /* check acl_ variables */
8843 tree_walk(acl_var_c, assert_variable_notin, &e);
8844 tree_walk(acl_var_m, assert_variable_notin, &e);
8845
8846 /* check auth<n> variables.
8847 assert_variable_notin() treats as const, so deconst is safe. */
8848 for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
8849   assert_variable_notin(US"auth<n>", US auth_vars[i], &e);
8850
8851 #ifdef WITH_CONTENT_SCAN
8852 /* check regex<n> variables. assert_variable_notin() treats as const. */
8853 for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
8854   assert_variable_notin(US"regex<n>", US regex_vars[i], &e);
8855 #endif
8856
8857 /* check known-name variables */
8858 for (var_entry * v = var_table; v < var_table + nelem(var_table); v++)
8859   if (v->type == vtype_stringptr)
8860     assert_variable_notin(US v->name, *(USS v->value), &e);
8861
8862 /* check dns and address trees */
8863 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
8864 tree_walk(tree_duplicates,    assert_variable_notin, &e);
8865 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
8866 tree_walk(tree_unusable,      assert_variable_notin, &e);
8867
8868 if (e.var_name)
8869   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
8870     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
8871     e.var_name, filename, linenumber, e.var_data);
8872 }
8873
8874
8875
8876 /*************************************************
8877 **************************************************
8878 *             Stand-alone test program           *
8879 **************************************************
8880 *************************************************/
8881
8882 #ifdef STAND_ALONE
8883
8884
8885 BOOL
8886 regex_match_and_setup(const pcre2_code *re, uschar *subject, int options, int setup)
8887 {
8888 int ovec[3*(EXPAND_MAXN+1)];
8889 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
8890   ovec, nelem(ovec));
8891 BOOL yield = n >= 0;
8892 if (n == 0) n = EXPAND_MAXN + 1;
8893 if (yield)
8894   {
8895   expand_nmax = setup < 0 ? 0 : setup + 1;
8896   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
8897     {
8898     expand_nstring[expand_nmax] = subject + ovec[nn];
8899     expand_nlength[expand_nmax++] = ovec[nn+1] - ovec[nn];
8900     }
8901   expand_nmax--;
8902   }
8903 return yield;
8904 }
8905
8906
8907 int main(int argc, uschar **argv)
8908 {
8909 uschar buffer[1024];
8910
8911 debug_selector = D_v;
8912 debug_file = stderr;
8913 debug_fd = fileno(debug_file);
8914 big_buffer = malloc(big_buffer_size);
8915 store_init();
8916
8917 for (int i = 1; i < argc; i++)
8918   {
8919   if (argv[i][0] == '+')
8920     {
8921     debug_trace_memory = 2;
8922     argv[i]++;
8923     }
8924   if (isdigit(argv[i][0]))
8925     debug_selector = Ustrtol(argv[i], NULL, 0);
8926   else
8927     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
8928         Ustrlen(argv[i]))
8929       {
8930 #ifdef LOOKUP_LDAP
8931       eldap_default_servers = argv[i];
8932 #endif
8933 #ifdef LOOKUP_MYSQL
8934       mysql_servers = argv[i];
8935 #endif
8936 #ifdef LOOKUP_PGSQL
8937       pgsql_servers = argv[i];
8938 #endif
8939 #ifdef LOOKUP_REDIS
8940       redis_servers = argv[i];
8941 #endif
8942       }
8943 #ifdef EXIM_PERL
8944   else opt_perl_startup = argv[i];
8945 #endif
8946   }
8947
8948 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
8949
8950 expand_nstring[1] = US"string 1....";
8951 expand_nlength[1] = 8;
8952 expand_nmax = 1;
8953
8954 #ifdef EXIM_PERL
8955 if (opt_perl_startup != NULL)
8956   {
8957   uschar *errstr;
8958   printf("Starting Perl interpreter\n");
8959   errstr = init_perl(opt_perl_startup);
8960   if (errstr != NULL)
8961     {
8962     printf("** error in perl_startup code: %s\n", errstr);
8963     return EXIT_FAILURE;
8964     }
8965   }
8966 #endif /* EXIM_PERL */
8967
8968 /* Thie deliberately regards the input as untainted, so that it can be
8969 expanded; only reasonable since this is a test for string-expansions. */
8970
8971 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
8972   {
8973   rmark reset_point = store_mark();
8974   uschar *yield = expand_string(buffer);
8975   if (yield)
8976     printf("%s\n", yield);
8977   else
8978     {
8979     if (f.search_find_defer) printf("search_find deferred\n");
8980     printf("Failed: %s\n", expand_string_message);
8981     if (f.expand_string_forcedfail) printf("Forced failure\n");
8982     printf("\n");
8983     }
8984   store_reset(reset_point);
8985   }
8986
8987 search_tidyup();
8988
8989 return 0;
8990 }
8991
8992 #endif  /*STAND_ALONE*/
8993
8994 #endif  /*!MACRO_PREDEF*/
8995 /* vi: aw ai sw=2
8996 */
8997 /* End of expand.c */