09356c23115d3d7a71be033d3842c306a321940f
[exim.git] / src / src / smtp_in.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2016 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Functions for handling an incoming SMTP call. */
9
10
11 #include "exim.h"
12 #include <assert.h>
13
14
15 /* Initialize for TCP wrappers if so configured. It appears that the macro
16 HAVE_IPV6 is used in some versions of the tcpd.h header, so we unset it before
17 including that header, and restore its value afterwards. */
18
19 #ifdef USE_TCP_WRAPPERS
20
21   #if HAVE_IPV6
22   #define EXIM_HAVE_IPV6
23   #endif
24   #undef HAVE_IPV6
25   #include <tcpd.h>
26   #undef HAVE_IPV6
27   #ifdef EXIM_HAVE_IPV6
28   #define HAVE_IPV6 TRUE
29   #endif
30
31 int allow_severity = LOG_INFO;
32 int deny_severity  = LOG_NOTICE;
33 uschar *tcp_wrappers_name;
34 #endif
35
36
37 /* Size of buffer for reading SMTP commands. We used to use 512, as defined
38 by RFC 821. However, RFC 1869 specifies that this must be increased for SMTP
39 commands that accept arguments, and this in particular applies to AUTH, where
40 the data can be quite long.  More recently this value was 2048 in Exim;
41 however, RFC 4954 (circa 2007) recommends 12288 bytes to handle AUTH.  Clients
42 such as Thunderbird will send an AUTH with an initial-response for GSSAPI.
43 The maximum size of a Kerberos ticket under Windows 2003 is 12000 bytes, and
44 we need room to handle large base64-encoded AUTHs for GSSAPI.
45 */
46
47 #define smtp_cmd_buffer_size  16384
48
49 /* Size of buffer for reading SMTP incoming packets */
50
51 #define in_buffer_size  8192
52
53 /* Structure for SMTP command list */
54
55 typedef struct {
56   const char *name;
57   int len;
58   short int cmd;
59   short int has_arg;
60   short int is_mail_cmd;
61 } smtp_cmd_list;
62
63 /* Codes for identifying commands. We order them so that those that come first
64 are those for which synchronization is always required. Checking this can help
65 block some spam.  */
66
67 enum {
68   /* These commands are required to be synchronized, i.e. to be the last in a
69   block of commands when pipelining. */
70
71   HELO_CMD, EHLO_CMD, DATA_CMD, /* These are listed in the pipelining */
72   VRFY_CMD, EXPN_CMD, NOOP_CMD, /* RFC as requiring synchronization */
73   ETRN_CMD,                     /* This by analogy with TURN from the RFC */
74   STARTTLS_CMD,                 /* Required by the STARTTLS RFC */
75   TLS_AUTH_CMD,                 /* auto-command at start of SSL */
76
77   /* This is a dummy to identify the non-sync commands when pipelining */
78
79   NON_SYNC_CMD_PIPELINING,
80
81   /* These commands need not be synchronized when pipelining */
82
83   MAIL_CMD, RCPT_CMD, RSET_CMD,
84
85   /* RFC3030 section 2: "After all MAIL and RCPT responses are collected and
86   processed the message is sent using a series of BDAT commands"
87   implies that BDAT should be synchronized.  However, we see Google, at least,
88   sending MAIL,RCPT,BDAT-LAST in a single packet, clearly not waiting for
89   processing of the RPCT response(s).  We shall do the same, and not require
90   synch for BDAT. */
91
92   BDAT_CMD,
93
94   /* This is a dummy to identify the non-sync commands when not pipelining */
95
96   NON_SYNC_CMD_NON_PIPELINING,
97
98   /* I have been unable to find a statement about the use of pipelining
99   with AUTH, so to be on the safe side it is here, though I kind of feel
100   it should be up there with the synchronized commands. */
101
102   AUTH_CMD,
103
104   /* I'm not sure about these, but I don't think they matter. */
105
106   QUIT_CMD, HELP_CMD,
107
108 #ifdef SUPPORT_PROXY
109   PROXY_FAIL_IGNORE_CMD,
110 #endif
111
112   /* These are specials that don't correspond to actual commands */
113
114   EOF_CMD, OTHER_CMD, BADARG_CMD, BADCHAR_CMD, BADSYN_CMD,
115   TOO_MANY_NONMAIL_CMD };
116
117
118 /* This is a convenience macro for adding the identity of an SMTP command
119 to the circular buffer that holds a list of the last n received. */
120
121 #define HAD(n) \
122     smtp_connection_had[smtp_ch_index++] = n; \
123     if (smtp_ch_index >= SMTP_HBUFF_SIZE) smtp_ch_index = 0
124
125
126 /*************************************************
127 *                Local static variables          *
128 *************************************************/
129
130 static auth_instance *authenticated_by;
131 static BOOL auth_advertised;
132 #ifdef SUPPORT_TLS
133 static BOOL tls_advertised;
134 #endif
135 static BOOL dsn_advertised;
136 static BOOL esmtp;
137 static BOOL helo_required = FALSE;
138 static BOOL helo_verify = FALSE;
139 static BOOL helo_seen;
140 static BOOL helo_accept_junk;
141 static BOOL count_nonmail;
142 static BOOL pipelining_advertised;
143 static BOOL rcpt_smtp_response_same;
144 static BOOL rcpt_in_progress;
145 static int  nonmail_command_count;
146 static BOOL smtp_exit_function_called = 0;
147 #ifdef SUPPORT_I18N
148 static BOOL smtputf8_advertised;
149 #endif
150 static int  synprot_error_count;
151 static int  unknown_command_count;
152 static int  sync_cmd_limit;
153 static int  smtp_write_error = 0;
154
155 static uschar *rcpt_smtp_response;
156 static uschar *smtp_data_buffer;
157 static uschar *smtp_cmd_data;
158
159 /* We need to know the position of RSET, HELO, EHLO, AUTH, and STARTTLS. Their
160 final fields of all except AUTH are forced TRUE at the start of a new message
161 setup, to allow one of each between messages that is not counted as a nonmail
162 command. (In fact, only one of HELO/EHLO is not counted.) Also, we have to
163 allow a new EHLO after starting up TLS.
164
165 AUTH is "falsely" labelled as a mail command initially, so that it doesn't get
166 counted. However, the flag is changed when AUTH is received, so that multiple
167 failing AUTHs will eventually hit the limit. After a successful AUTH, another
168 AUTH is already forbidden. After a TLS session is started, AUTH's flag is again
169 forced TRUE, to allow for the re-authentication that can happen at that point.
170
171 QUIT is also "falsely" labelled as a mail command so that it doesn't up the
172 count of non-mail commands and possibly provoke an error.
173
174 tls_auth is a pseudo-command, never expected in input.  It is activated
175 on TLS startup and looks for a tls authenticator. */
176
177 static smtp_cmd_list cmd_list[] = {
178   /* name         len                     cmd     has_arg is_mail_cmd */
179
180   { "rset",       sizeof("rset")-1,       RSET_CMD, FALSE, FALSE },  /* First */
181   { "helo",       sizeof("helo")-1,       HELO_CMD, TRUE,  FALSE },
182   { "ehlo",       sizeof("ehlo")-1,       EHLO_CMD, TRUE,  FALSE },
183   { "auth",       sizeof("auth")-1,       AUTH_CMD, TRUE,  TRUE  },
184   #ifdef SUPPORT_TLS
185   { "starttls",   sizeof("starttls")-1,   STARTTLS_CMD, FALSE, FALSE },
186   { "tls_auth",   0,                      TLS_AUTH_CMD, FALSE, TRUE },
187   #endif
188
189 /* If you change anything above here, also fix the definitions below. */
190
191   { "mail from:", sizeof("mail from:")-1, MAIL_CMD, TRUE,  TRUE  },
192   { "rcpt to:",   sizeof("rcpt to:")-1,   RCPT_CMD, TRUE,  TRUE  },
193   { "data",       sizeof("data")-1,       DATA_CMD, FALSE, TRUE  },
194   { "bdat",       sizeof("bdat")-1,       BDAT_CMD, TRUE,  TRUE  },
195   { "quit",       sizeof("quit")-1,       QUIT_CMD, FALSE, TRUE  },
196   { "noop",       sizeof("noop")-1,       NOOP_CMD, TRUE,  FALSE },
197   { "etrn",       sizeof("etrn")-1,       ETRN_CMD, TRUE,  FALSE },
198   { "vrfy",       sizeof("vrfy")-1,       VRFY_CMD, TRUE,  FALSE },
199   { "expn",       sizeof("expn")-1,       EXPN_CMD, TRUE,  FALSE },
200   { "help",       sizeof("help")-1,       HELP_CMD, TRUE,  FALSE }
201 };
202
203 static smtp_cmd_list *cmd_list_end =
204   cmd_list + sizeof(cmd_list)/sizeof(smtp_cmd_list);
205
206 #define CMD_LIST_RSET      0
207 #define CMD_LIST_HELO      1
208 #define CMD_LIST_EHLO      2
209 #define CMD_LIST_AUTH      3
210 #define CMD_LIST_STARTTLS  4
211 #define CMD_LIST_TLS_AUTH  5
212
213 /* This list of names is used for performing the smtp_no_mail logging action.
214 It must be kept in step with the SCH_xxx enumerations. */
215
216 static uschar *smtp_names[] =
217   {
218   US"NONE", US"AUTH", US"DATA", US"BDAT", US"EHLO", US"ETRN", US"EXPN",
219   US"HELO", US"HELP", US"MAIL", US"NOOP", US"QUIT", US"RCPT", US"RSET",
220   US"STARTTLS", US"VRFY" };
221
222 static uschar *protocols_local[] = {
223   US"local-smtp",        /* HELO */
224   US"local-smtps",       /* The rare case EHLO->STARTTLS->HELO */
225   US"local-esmtp",       /* EHLO */
226   US"local-esmtps",      /* EHLO->STARTTLS->EHLO */
227   US"local-esmtpa",      /* EHLO->AUTH */
228   US"local-esmtpsa"      /* EHLO->STARTTLS->EHLO->AUTH */
229   };
230 static uschar *protocols[] = {
231   US"smtp",              /* HELO */
232   US"smtps",             /* The rare case EHLO->STARTTLS->HELO */
233   US"esmtp",             /* EHLO */
234   US"esmtps",            /* EHLO->STARTTLS->EHLO */
235   US"esmtpa",            /* EHLO->AUTH */
236   US"esmtpsa"            /* EHLO->STARTTLS->EHLO->AUTH */
237   };
238
239 #define pnormal  0
240 #define pextend  2
241 #define pcrpted  1  /* added to pextend or pnormal */
242 #define pauthed  2  /* added to pextend */
243
244 /* Sanity check and validate optional args to MAIL FROM: envelope */
245 enum {
246   ENV_MAIL_OPT_NULL,
247   ENV_MAIL_OPT_SIZE, ENV_MAIL_OPT_BODY, ENV_MAIL_OPT_AUTH,
248 #ifndef DISABLE_PRDR
249   ENV_MAIL_OPT_PRDR,
250 #endif
251   ENV_MAIL_OPT_RET, ENV_MAIL_OPT_ENVID,
252 #ifdef SUPPORT_I18N
253   ENV_MAIL_OPT_UTF8,
254 #endif
255   };
256 typedef struct {
257   uschar *   name;  /* option requested during MAIL cmd */
258   int       value;  /* enum type */
259   BOOL need_value;  /* TRUE requires value (name=value pair format)
260                        FALSE is a singleton */
261   } env_mail_type_t;
262 static env_mail_type_t env_mail_type_list[] = {
263     { US"SIZE",   ENV_MAIL_OPT_SIZE,   TRUE  },
264     { US"BODY",   ENV_MAIL_OPT_BODY,   TRUE  },
265     { US"AUTH",   ENV_MAIL_OPT_AUTH,   TRUE  },
266 #ifndef DISABLE_PRDR
267     { US"PRDR",   ENV_MAIL_OPT_PRDR,   FALSE },
268 #endif
269     { US"RET",    ENV_MAIL_OPT_RET,    TRUE },
270     { US"ENVID",  ENV_MAIL_OPT_ENVID,  TRUE },
271 #ifdef SUPPORT_I18N
272     { US"SMTPUTF8",ENV_MAIL_OPT_UTF8,  FALSE },         /* rfc6531 */
273 #endif
274     /* keep this the last entry */
275     { US"NULL",   ENV_MAIL_OPT_NULL,   FALSE },
276   };
277
278 /* When reading SMTP from a remote host, we have to use our own versions of the
279 C input-reading functions, in order to be able to flush the SMTP output only
280 when about to read more data from the socket. This is the only way to get
281 optimal performance when the client is using pipelining. Flushing for every
282 command causes a separate packet and reply packet each time; saving all the
283 responses up (when pipelining) combines them into one packet and one response.
284
285 For simplicity, these functions are used for *all* SMTP input, not only when
286 receiving over a socket. However, after setting up a secure socket (SSL), input
287 is read via the OpenSSL library, and another set of functions is used instead
288 (see tls.c).
289
290 These functions are set in the receive_getc etc. variables and called with the
291 same interface as the C functions. However, since there can only ever be
292 one incoming SMTP call, we just use a single buffer and flags. There is no need
293 to implement a complicated private FILE-like structure.*/
294
295 static uschar *smtp_inbuffer;
296 static uschar *smtp_inptr;
297 static uschar *smtp_inend;
298 static int     smtp_had_eof;
299 static int     smtp_had_error;
300
301
302 /* forward declarations */
303 int bdat_ungetc(int ch);
304 static int smtp_read_command(BOOL check_sync);
305 static int synprot_error(int type, int code, uschar *data, uschar *errmess);
306 static void smtp_quit_handler(uschar **, uschar **);
307 static void smtp_rset_handler(void);
308
309 /*************************************************
310 *          SMTP version of getc()                *
311 *************************************************/
312
313 /* This gets the next byte from the SMTP input buffer. If the buffer is empty,
314 it flushes the output, and refills the buffer, with a timeout. The signal
315 handler is set appropriately by the calling function. This function is not used
316 after a connection has negotated itself into an TLS/SSL state.
317
318 Arguments:  none
319 Returns:    the next character or EOF
320 */
321
322 int
323 smtp_getc(void)
324 {
325 if (smtp_inptr >= smtp_inend)
326   {
327   int rc, save_errno;
328   fflush(smtp_out);
329   if (smtp_receive_timeout > 0) alarm(smtp_receive_timeout);
330   rc = read(fileno(smtp_in), smtp_inbuffer, in_buffer_size);
331   save_errno = errno;
332   alarm(0);
333   if (rc <= 0)
334     {
335     /* Must put the error text in fixed store, because this might be during
336     header reading, where it releases unused store above the header. */
337     if (rc < 0)
338       {
339       smtp_had_error = save_errno;
340       smtp_read_error = string_copy_malloc(
341         string_sprintf(" (error: %s)", strerror(save_errno)));
342       }
343     else smtp_had_eof = 1;
344     return EOF;
345     }
346 #ifndef DISABLE_DKIM
347   dkim_exim_verify_feed(smtp_inbuffer, rc);
348 #endif
349   smtp_inend = smtp_inbuffer + rc;
350   smtp_inptr = smtp_inbuffer;
351   }
352 return *smtp_inptr++;
353 }
354
355 void
356 smtp_get_cache(void)
357 {
358 #ifndef DISABLE_DKIM
359 int n = smtp_inend - smtp_inptr;
360 if (n > 0)
361   dkim_exim_verify_feed(smtp_inptr, n);
362 #endif
363 }
364
365
366 /* Get a byte from the smtp input, in CHUNKING mode.  Handle ack of the
367 previous BDAT chunk and getting new ones when we run out.  Uses the
368 underlying smtp_getc or tls_getc both for that and for getting the
369 (buffered) data byte.  EOD signals (an expected) no further data.
370 ERR signals a protocol error, and EOF a closed input stream.
371
372 Called from read_bdat_smtp() in receive.c for the message body, but also
373 by the headers read loop in receive_msg(); manipulates chunking_state
374 to handle the BDAT command/response.
375 Placed here due to the correlation with the above smtp_getc(), which it wraps,
376 and also by the need to do smtp command/response handling.
377
378 Arguments:  none
379 Returns:    the next character or ERR, EOD or EOF
380 */
381
382 int
383 bdat_getc(void)
384 {
385 uschar * user_msg = NULL;
386 uschar * log_msg;
387
388 for(;;)
389   {
390   if (chunking_data_left-- > 0)
391     return lwr_receive_getc();
392
393   receive_getc = lwr_receive_getc;
394   receive_ungetc = lwr_receive_ungetc;
395
396   /* If not the last, ack the received chunk.  The last response is delayed
397   until after the data ACL decides on it */
398
399   if (chunking_state == CHUNKING_LAST)
400     {
401 #ifndef DISABLE_DKIM
402     dkim_exim_verify_feed(NULL, 0);     /* notify EOD */
403 #endif
404     return EOD;
405     }
406
407   chunking_state = CHUNKING_OFFERED;
408   smtp_printf("250 %u byte chunk received\r\n", chunking_datasize);
409
410   /* Expect another BDAT cmd from input. RFC 3030 says nothing about
411   QUIT, RSET or NOOP but handling them seems obvious */
412
413 next_cmd:
414   switch(smtp_read_command(TRUE))
415     {
416     default:
417       (void) synprot_error(L_smtp_protocol_error, 503, NULL,
418         US"only BDAT permissible after non-LAST BDAT");
419
420   repeat_until_rset:
421       switch(smtp_read_command(TRUE))
422         {
423         case QUIT_CMD:  smtp_quit_handler(&user_msg, &log_msg); /*FALLTHROUGH */
424         case EOF_CMD:   return EOF;
425         case RSET_CMD:  smtp_rset_handler(); return ERR;
426         default:        if (synprot_error(L_smtp_protocol_error, 503, NULL,
427                                           US"only RSET accepted now") > 0)
428                           return EOF;
429                         goto repeat_until_rset;
430         }
431
432     case QUIT_CMD:
433       smtp_quit_handler(&user_msg, &log_msg);
434       /*FALLTHROUGH*/
435     case EOF_CMD:
436       return EOF;
437
438     case RSET_CMD:
439       smtp_rset_handler();
440       return ERR;
441
442     case NOOP_CMD:
443       HAD(SCH_NOOP);
444       smtp_printf("250 OK\r\n");
445       goto next_cmd;
446
447     case BDAT_CMD:
448       {
449       int n;
450
451       if (sscanf(CS smtp_cmd_data, "%u %n", &chunking_datasize, &n) < 1)
452         {
453         (void) synprot_error(L_smtp_protocol_error, 501, NULL,
454           US"missing size for BDAT command");
455         return ERR;
456         }
457       chunking_state = strcmpic(smtp_cmd_data+n, US"LAST") == 0
458         ? CHUNKING_LAST : CHUNKING_ACTIVE;
459       chunking_data_left = chunking_datasize;
460
461       if (chunking_datasize == 0)
462         if (chunking_state == CHUNKING_LAST)
463           return EOD;
464         else
465           {
466           (void) synprot_error(L_smtp_protocol_error, 504, NULL,
467             US"zero size for BDAT command");
468           goto repeat_until_rset;
469           }
470
471       receive_getc = bdat_getc;
472       receive_ungetc = bdat_ungetc;
473       break;    /* to top of main loop */
474       }
475     }
476   }
477 }
478
479
480
481
482 /*************************************************
483 *          SMTP version of ungetc()              *
484 *************************************************/
485
486 /* Puts a character back in the input buffer. Only ever
487 called once.
488
489 Arguments:
490   ch           the character
491
492 Returns:       the character
493 */
494
495 int
496 smtp_ungetc(int ch)
497 {
498 *--smtp_inptr = ch;
499 return ch;
500 }
501
502
503 int
504 bdat_ungetc(int ch)
505 {
506 chunking_data_left++;
507 return lwr_receive_ungetc(ch);
508 }
509
510
511
512 /*************************************************
513 *          SMTP version of feof()                *
514 *************************************************/
515
516 /* Tests for a previous EOF
517
518 Arguments:     none
519 Returns:       non-zero if the eof flag is set
520 */
521
522 int
523 smtp_feof(void)
524 {
525 return smtp_had_eof;
526 }
527
528
529
530
531 /*************************************************
532 *          SMTP version of ferror()              *
533 *************************************************/
534
535 /* Tests for a previous read error, and returns with errno
536 restored to what it was when the error was detected.
537
538 Arguments:     none
539 Returns:       non-zero if the error flag is set
540 */
541
542 int
543 smtp_ferror(void)
544 {
545 errno = smtp_had_error;
546 return smtp_had_error;
547 }
548
549
550
551 /*************************************************
552 *      Test for characters in the SMTP buffer    *
553 *************************************************/
554
555 /* Used at the end of a message
556
557 Arguments:     none
558 Returns:       TRUE/FALSE
559 */
560
561 BOOL
562 smtp_buffered(void)
563 {
564 return smtp_inptr < smtp_inend;
565 }
566
567
568
569 /*************************************************
570 *     Write formatted string to SMTP channel     *
571 *************************************************/
572
573 /* This is a separate function so that we don't have to repeat everything for
574 TLS support or debugging. It is global so that the daemon and the
575 authentication functions can use it. It does not return any error indication,
576 because major problems such as dropped connections won't show up till an output
577 flush for non-TLS connections. The smtp_fflush() function is available for
578 checking that: for convenience, TLS output errors are remembered here so that
579 they are also picked up later by smtp_fflush().
580
581 Arguments:
582   format      format string
583   ...         optional arguments
584
585 Returns:      nothing
586 */
587
588 void
589 smtp_printf(const char *format, ...)
590 {
591 va_list ap;
592
593 va_start(ap, format);
594 smtp_vprintf(format, ap);
595 va_end(ap);
596 }
597
598 /* This is split off so that verify.c:respond_printf() can, in effect, call
599 smtp_printf(), bearing in mind that in C a vararg function can't directly
600 call another vararg function, only a function which accepts a va_list. */
601
602 void
603 smtp_vprintf(const char *format, va_list ap)
604 {
605 BOOL yield;
606
607 yield = string_vformat(big_buffer, big_buffer_size, format, ap);
608
609 DEBUG(D_receive)
610   {
611   void *reset_point = store_get(0);
612   uschar *msg_copy, *cr, *end;
613   msg_copy = string_copy(big_buffer);
614   end = msg_copy + Ustrlen(msg_copy);
615   while ((cr = Ustrchr(msg_copy, '\r')) != NULL)   /* lose CRs */
616   memmove(cr, cr + 1, (end--) - cr);
617   debug_printf("SMTP>> %s", msg_copy);
618   store_reset(reset_point);
619   }
620
621 if (!yield)
622   {
623   log_write(0, LOG_MAIN|LOG_PANIC, "string too large in smtp_printf()");
624   smtp_closedown(US"Unexpected error");
625   exim_exit(EXIT_FAILURE);
626   }
627
628 /* If this is the first output for a (non-batch) RCPT command, see if all RCPTs
629 have had the same. Note: this code is also present in smtp_respond(). It would
630 be tidier to have it only in one place, but when it was added, it was easier to
631 do it that way, so as not to have to mess with the code for the RCPT command,
632 which sometimes uses smtp_printf() and sometimes smtp_respond(). */
633
634 if (rcpt_in_progress)
635   {
636   if (rcpt_smtp_response == NULL)
637     rcpt_smtp_response = string_copy(big_buffer);
638   else if (rcpt_smtp_response_same &&
639            Ustrcmp(rcpt_smtp_response, big_buffer) != 0)
640     rcpt_smtp_response_same = FALSE;
641   rcpt_in_progress = FALSE;
642   }
643
644 /* Now write the string */
645
646 #ifdef SUPPORT_TLS
647 if (tls_in.active >= 0)
648   {
649   if (tls_write(TRUE, big_buffer, Ustrlen(big_buffer)) < 0)
650     smtp_write_error = -1;
651   }
652 else
653 #endif
654
655 if (fprintf(smtp_out, "%s", big_buffer) < 0) smtp_write_error = -1;
656 }
657
658
659
660 /*************************************************
661 *        Flush SMTP out and check for error      *
662 *************************************************/
663
664 /* This function isn't currently used within Exim (it detects errors when it
665 tries to read the next SMTP input), but is available for use in local_scan().
666 For non-TLS connections, it flushes the output and checks for errors. For
667 TLS-connections, it checks for a previously-detected TLS write error.
668
669 Arguments:  none
670 Returns:    0 for no error; -1 after an error
671 */
672
673 int
674 smtp_fflush(void)
675 {
676 if (tls_in.active < 0 && fflush(smtp_out) != 0) smtp_write_error = -1;
677 return smtp_write_error;
678 }
679
680
681
682 /*************************************************
683 *          SMTP command read timeout             *
684 *************************************************/
685
686 /* Signal handler for timing out incoming SMTP commands. This attempts to
687 finish off tidily.
688
689 Argument: signal number (SIGALRM)
690 Returns:  nothing
691 */
692
693 static void
694 command_timeout_handler(int sig)
695 {
696 sig = sig;    /* Keep picky compilers happy */
697 log_write(L_lost_incoming_connection,
698           LOG_MAIN, "SMTP command timeout on%s connection from %s",
699           (tls_in.active >= 0)? " TLS" : "",
700           host_and_ident(FALSE));
701 if (smtp_batched_input)
702   moan_smtp_batch(NULL, "421 SMTP command timeout");  /* Does not return */
703 smtp_notquit_exit(US"command-timeout", US"421",
704   US"%s: SMTP command timeout - closing connection", smtp_active_hostname);
705 exim_exit(EXIT_FAILURE);
706 }
707
708
709
710 /*************************************************
711 *               SIGTERM received                 *
712 *************************************************/
713
714 /* Signal handler for handling SIGTERM. Again, try to finish tidily.
715
716 Argument: signal number (SIGTERM)
717 Returns:  nothing
718 */
719
720 static void
721 command_sigterm_handler(int sig)
722 {
723 sig = sig;    /* Keep picky compilers happy */
724 log_write(0, LOG_MAIN, "%s closed after SIGTERM", smtp_get_connection_info());
725 if (smtp_batched_input)
726   moan_smtp_batch(NULL, "421 SIGTERM received");  /* Does not return */
727 smtp_notquit_exit(US"signal-exit", US"421",
728   US"%s: Service not available - closing connection", smtp_active_hostname);
729 exim_exit(EXIT_FAILURE);
730 }
731
732
733
734
735 #ifdef SUPPORT_PROXY
736 /*************************************************
737 *     Restore socket timeout to previous value   *
738 *************************************************/
739 /* If the previous value was successfully retrieved, restore
740 it before returning control to the non-proxy routines
741
742 Arguments: fd     - File descriptor for input
743            get_ok - Successfully retrieved previous values
744            tvtmp  - Time struct with previous values
745            vslen  - Length of time struct
746 Returns:   none
747 */
748 static void
749 restore_socket_timeout(int fd, int get_ok, struct timeval tvtmp, socklen_t vslen)
750 {
751 if (get_ok == 0)
752   setsockopt(fd, SOL_SOCKET, SO_RCVTIMEO, (char *)&tvtmp, vslen);
753 }
754
755 /*************************************************
756 *       Check if host is required proxy host     *
757 *************************************************/
758 /* The function determines if inbound host will be a regular smtp host
759 or if it is configured that it must use Proxy Protocol.
760
761 Arguments: none
762 Returns:   bool
763 */
764
765 static BOOL
766 check_proxy_protocol_host()
767 {
768 int rc;
769 /* Cannot configure local connection as a proxy inbound */
770 if (sender_host_address == NULL) return proxy_session;
771
772 rc = verify_check_this_host(CUSS &hosts_proxy, NULL, NULL,
773                            sender_host_address, NULL);
774 if (rc == OK)
775   {
776   DEBUG(D_receive)
777     debug_printf("Detected proxy protocol configured host\n");
778   proxy_session = TRUE;
779   }
780 return proxy_session;
781 }
782
783
784 /*************************************************
785 *         Setup host for proxy protocol          *
786 *************************************************/
787 /* The function configures the connection based on a header from the
788 inbound host to use Proxy Protocol. The specification is very exact
789 so exit with an error if do not find the exact required pieces. This
790 includes an incorrect number of spaces separating args.
791
792 Arguments: none
793 Returns:   int
794 */
795
796 static BOOL
797 setup_proxy_protocol_host()
798 {
799 union {
800   struct {
801     uschar line[108];
802   } v1;
803   struct {
804     uschar sig[12];
805     uint8_t ver_cmd;
806     uint8_t fam;
807     uint16_t len;
808     union {
809       struct { /* TCP/UDP over IPv4, len = 12 */
810         uint32_t src_addr;
811         uint32_t dst_addr;
812         uint16_t src_port;
813         uint16_t dst_port;
814       } ip4;
815       struct { /* TCP/UDP over IPv6, len = 36 */
816         uint8_t  src_addr[16];
817         uint8_t  dst_addr[16];
818         uint16_t src_port;
819         uint16_t dst_port;
820       } ip6;
821       struct { /* AF_UNIX sockets, len = 216 */
822         uschar   src_addr[108];
823         uschar   dst_addr[108];
824       } unx;
825     } addr;
826   } v2;
827 } hdr;
828
829 /* Temp variables used in PPv2 address:port parsing */
830 uint16_t tmpport;
831 char tmpip[INET_ADDRSTRLEN];
832 struct sockaddr_in tmpaddr;
833 char tmpip6[INET6_ADDRSTRLEN];
834 struct sockaddr_in6 tmpaddr6;
835
836 int get_ok = 0;
837 int size, ret, fd;
838 const char v2sig[12] = "\x0D\x0A\x0D\x0A\x00\x0D\x0A\x51\x55\x49\x54\x0A";
839 uschar *iptype;  /* To display debug info */
840 struct timeval tv;
841 socklen_t vslen = 0;
842 struct timeval tvtmp;
843
844 vslen = sizeof(struct timeval);
845
846 fd = fileno(smtp_in);
847
848 /* Save current socket timeout values */
849 get_ok = getsockopt(fd, SOL_SOCKET, SO_RCVTIMEO, (char *)&tvtmp,
850                     &vslen);
851
852 /* Proxy Protocol host must send header within a short time
853 (default 3 seconds) or it's considered invalid */
854 tv.tv_sec  = PROXY_NEGOTIATION_TIMEOUT_SEC;
855 tv.tv_usec = PROXY_NEGOTIATION_TIMEOUT_USEC;
856 setsockopt(fd, SOL_SOCKET, SO_RCVTIMEO, (char *)&tv,
857            sizeof(struct timeval));
858
859 do
860   {
861   /* The inbound host was declared to be a Proxy Protocol host, so
862      don't do a PEEK into the data, actually slurp it up. */
863   ret = recv(fd, &hdr, sizeof(hdr), 0);
864   }
865   while (ret == -1 && errno == EINTR);
866
867 if (ret == -1)
868   {
869   restore_socket_timeout(fd, get_ok, tvtmp, vslen);
870   return (errno == EAGAIN) ? 0 : ERRNO_PROXYFAIL;
871   }
872
873 if (ret >= 16 &&
874     memcmp(&hdr.v2, v2sig, 12) == 0)
875   {
876   uint8_t ver, cmd;
877
878   /* May 2014: haproxy combined the version and command into one byte to
879      allow two full bytes for the length field in order to proxy SSL
880      connections.  SSL Proxy is not supported in this version of Exim, but
881      must still seperate values here. */
882   ver = (hdr.v2.ver_cmd & 0xf0) >> 4;
883   cmd = (hdr.v2.ver_cmd & 0x0f);
884
885   if (ver != 0x02)
886     {
887     DEBUG(D_receive) debug_printf("Invalid Proxy Protocol version: %d\n", ver);
888     goto proxyfail;
889     }
890   DEBUG(D_receive) debug_printf("Detected PROXYv2 header\n");
891   /* The v2 header will always be 16 bytes per the spec. */
892   size = 16 + hdr.v2.len;
893   if (ret < size)
894     {
895     DEBUG(D_receive) debug_printf("Truncated or too large PROXYv2 header (%d/%d)\n",
896                                   ret, size);
897     goto proxyfail;
898     }
899   switch (cmd)
900     {
901     case 0x01: /* PROXY command */
902       switch (hdr.v2.fam)
903         {
904         case 0x11:  /* TCPv4 address type */
905           iptype = US"IPv4";
906           tmpaddr.sin_addr.s_addr = hdr.v2.addr.ip4.src_addr;
907           inet_ntop(AF_INET, &(tmpaddr.sin_addr), (char *)&tmpip, sizeof(tmpip));
908           if (!string_is_ip_address(US tmpip,NULL))
909             {
910             DEBUG(D_receive) debug_printf("Invalid %s source IP\n", iptype);
911             return ERRNO_PROXYFAIL;
912             }
913           proxy_local_address = sender_host_address;
914           sender_host_address = string_copy(US tmpip);
915           tmpport             = ntohs(hdr.v2.addr.ip4.src_port);
916           proxy_local_port    = sender_host_port;
917           sender_host_port    = tmpport;
918           /* Save dest ip/port */
919           tmpaddr.sin_addr.s_addr = hdr.v2.addr.ip4.dst_addr;
920           inet_ntop(AF_INET, &(tmpaddr.sin_addr), (char *)&tmpip, sizeof(tmpip));
921           if (!string_is_ip_address(US tmpip,NULL))
922             {
923             DEBUG(D_receive) debug_printf("Invalid %s dest port\n", iptype);
924             return ERRNO_PROXYFAIL;
925             }
926           proxy_external_address = string_copy(US tmpip);
927           tmpport              = ntohs(hdr.v2.addr.ip4.dst_port);
928           proxy_external_port  = tmpport;
929           goto done;
930         case 0x21:  /* TCPv6 address type */
931           iptype = US"IPv6";
932           memmove(tmpaddr6.sin6_addr.s6_addr, hdr.v2.addr.ip6.src_addr, 16);
933           inet_ntop(AF_INET6, &(tmpaddr6.sin6_addr), (char *)&tmpip6, sizeof(tmpip6));
934           if (!string_is_ip_address(US tmpip6,NULL))
935             {
936             DEBUG(D_receive) debug_printf("Invalid %s source IP\n", iptype);
937             return ERRNO_PROXYFAIL;
938             }
939           proxy_local_address = sender_host_address;
940           sender_host_address = string_copy(US tmpip6);
941           tmpport             = ntohs(hdr.v2.addr.ip6.src_port);
942           proxy_local_port    = sender_host_port;
943           sender_host_port    = tmpport;
944           /* Save dest ip/port */
945           memmove(tmpaddr6.sin6_addr.s6_addr, hdr.v2.addr.ip6.dst_addr, 16);
946           inet_ntop(AF_INET6, &(tmpaddr6.sin6_addr), (char *)&tmpip6, sizeof(tmpip6));
947           if (!string_is_ip_address(US tmpip6,NULL))
948             {
949             DEBUG(D_receive) debug_printf("Invalid %s dest port\n", iptype);
950             return ERRNO_PROXYFAIL;
951             }
952           proxy_external_address = string_copy(US tmpip6);
953           tmpport              = ntohs(hdr.v2.addr.ip6.dst_port);
954           proxy_external_port  = tmpport;
955           goto done;
956         default:
957           DEBUG(D_receive)
958             debug_printf("Unsupported PROXYv2 connection type: 0x%02x\n",
959                          hdr.v2.fam);
960           goto proxyfail;
961         }
962       /* Unsupported protocol, keep local connection address */
963       break;
964     case 0x00: /* LOCAL command */
965       /* Keep local connection address for LOCAL */
966       break;
967     default:
968       DEBUG(D_receive)
969         debug_printf("Unsupported PROXYv2 command: 0x%x\n", cmd);
970       goto proxyfail;
971     }
972   }
973 else if (ret >= 8 &&
974          memcmp(hdr.v1.line, "PROXY", 5) == 0)
975   {
976   uschar *p = string_copy(hdr.v1.line);
977   uschar *end = memchr(p, '\r', ret - 1);
978   uschar *sp;     /* Utility variables follow */
979   int     tmp_port;
980   char   *endc;
981
982   if (!end || end[1] != '\n')
983     {
984     DEBUG(D_receive) debug_printf("Partial or invalid PROXY header\n");
985     goto proxyfail;
986     }
987   *end = '\0'; /* Terminate the string */
988   size = end + 2 - hdr.v1.line; /* Skip header + CRLF */
989   DEBUG(D_receive) debug_printf("Detected PROXYv1 header\n");
990   /* Step through the string looking for the required fields. Ensure
991      strict adherance to required formatting, exit for any error. */
992   p += 5;
993   if (!isspace(*(p++)))
994     {
995     DEBUG(D_receive) debug_printf("Missing space after PROXY command\n");
996     goto proxyfail;
997     }
998   if (!Ustrncmp(p, CCS"TCP4", 4))
999     iptype = US"IPv4";
1000   else if (!Ustrncmp(p,CCS"TCP6", 4))
1001     iptype = US"IPv6";
1002   else if (!Ustrncmp(p,CCS"UNKNOWN", 7))
1003     {
1004     iptype = US"Unknown";
1005     goto done;
1006     }
1007   else
1008     {
1009     DEBUG(D_receive) debug_printf("Invalid TCP type\n");
1010     goto proxyfail;
1011     }
1012
1013   p += Ustrlen(iptype);
1014   if (!isspace(*(p++)))
1015     {
1016     DEBUG(D_receive) debug_printf("Missing space after TCP4/6 command\n");
1017     goto proxyfail;
1018     }
1019   /* Find the end of the arg */
1020   if ((sp = Ustrchr(p, ' ')) == NULL)
1021     {
1022     DEBUG(D_receive)
1023       debug_printf("Did not find proxied src %s\n", iptype);
1024     goto proxyfail;
1025     }
1026   *sp = '\0';
1027   if(!string_is_ip_address(p,NULL))
1028     {
1029     DEBUG(D_receive)
1030       debug_printf("Proxied src arg is not an %s address\n", iptype);
1031     goto proxyfail;
1032     }
1033   proxy_local_address = sender_host_address;
1034   sender_host_address = p;
1035   p = sp + 1;
1036   if ((sp = Ustrchr(p, ' ')) == NULL)
1037     {
1038     DEBUG(D_receive)
1039       debug_printf("Did not find proxy dest %s\n", iptype);
1040     goto proxyfail;
1041     }
1042   *sp = '\0';
1043   if(!string_is_ip_address(p,NULL))
1044     {
1045     DEBUG(D_receive)
1046       debug_printf("Proxy dest arg is not an %s address\n", iptype);
1047     goto proxyfail;
1048     }
1049   proxy_external_address = p;
1050   p = sp + 1;
1051   if ((sp = Ustrchr(p, ' ')) == NULL)
1052     {
1053     DEBUG(D_receive) debug_printf("Did not find proxied src port\n");
1054     goto proxyfail;
1055     }
1056   *sp = '\0';
1057   tmp_port = strtol(CCS p,&endc,10);
1058   if (*endc || tmp_port == 0)
1059     {
1060     DEBUG(D_receive)
1061       debug_printf("Proxied src port '%s' not an integer\n", p);
1062     goto proxyfail;
1063     }
1064   proxy_local_port = sender_host_port;
1065   sender_host_port = tmp_port;
1066   p = sp + 1;
1067   if ((sp = Ustrchr(p, '\0')) == NULL)
1068     {
1069     DEBUG(D_receive) debug_printf("Did not find proxy dest port\n");
1070     goto proxyfail;
1071     }
1072   tmp_port = strtol(CCS p,&endc,10);
1073   if (*endc || tmp_port == 0)
1074     {
1075     DEBUG(D_receive)
1076       debug_printf("Proxy dest port '%s' not an integer\n", p);
1077     goto proxyfail;
1078     }
1079   proxy_external_port = tmp_port;
1080   /* Already checked for /r /n above. Good V1 header received. */
1081   goto done;
1082   }
1083 else
1084   {
1085   /* Wrong protocol */
1086   DEBUG(D_receive) debug_printf("Invalid proxy protocol version negotiation\n");
1087   goto proxyfail;
1088   }
1089
1090 proxyfail:
1091 restore_socket_timeout(fd, get_ok, tvtmp, vslen);
1092 /* Don't flush any potential buffer contents. Any input should cause a
1093    synchronization failure */
1094 return FALSE;
1095
1096 done:
1097 restore_socket_timeout(fd, get_ok, tvtmp, vslen);
1098 DEBUG(D_receive)
1099   debug_printf("Valid %s sender from Proxy Protocol header\n", iptype);
1100 return proxy_session;
1101 }
1102 #endif
1103
1104 /*************************************************
1105 *           Read one command line                *
1106 *************************************************/
1107
1108 /* Strictly, SMTP commands coming over the net are supposed to end with CRLF.
1109 There are sites that don't do this, and in any case internal SMTP probably
1110 should check only for LF. Consequently, we check here for LF only. The line
1111 ends up with [CR]LF removed from its end. If we get an overlong line, treat as
1112 an unknown command. The command is read into the global smtp_cmd_buffer so that
1113 it is available via $smtp_command.
1114
1115 The character reading routine sets up a timeout for each block actually read
1116 from the input (which may contain more than one command). We set up a special
1117 signal handler that closes down the session on a timeout. Control does not
1118 return when it runs.
1119
1120 Arguments:
1121   check_sync   if TRUE, check synchronization rules if global option is TRUE
1122
1123 Returns:       a code identifying the command (enumerated above)
1124 */
1125
1126 static int
1127 smtp_read_command(BOOL check_sync)
1128 {
1129 int c;
1130 int ptr = 0;
1131 smtp_cmd_list *p;
1132 BOOL hadnull = FALSE;
1133
1134 os_non_restarting_signal(SIGALRM, command_timeout_handler);
1135
1136 while ((c = (receive_getc)()) != '\n' && c != EOF)
1137   {
1138   if (ptr >= smtp_cmd_buffer_size)
1139     {
1140     os_non_restarting_signal(SIGALRM, sigalrm_handler);
1141     return OTHER_CMD;
1142     }
1143   if (c == 0)
1144     {
1145     hadnull = TRUE;
1146     c = '?';
1147     }
1148   smtp_cmd_buffer[ptr++] = c;
1149   }
1150
1151 receive_linecount++;    /* For BSMTP errors */
1152 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1153
1154 /* If hit end of file, return pseudo EOF command. Whether we have a
1155 part-line already read doesn't matter, since this is an error state. */
1156
1157 if (c == EOF) return EOF_CMD;
1158
1159 /* Remove any CR and white space at the end of the line, and terminate the
1160 string. */
1161
1162 while (ptr > 0 && isspace(smtp_cmd_buffer[ptr-1])) ptr--;
1163 smtp_cmd_buffer[ptr] = 0;
1164
1165 DEBUG(D_receive) debug_printf("SMTP<< %s\n", smtp_cmd_buffer);
1166
1167 /* NULLs are not allowed in SMTP commands */
1168
1169 if (hadnull) return BADCHAR_CMD;
1170
1171 /* Scan command list and return identity, having set the data pointer
1172 to the start of the actual data characters. Check for SMTP synchronization
1173 if required. */
1174
1175 for (p = cmd_list; p < cmd_list_end; p++)
1176   {
1177   #ifdef SUPPORT_PROXY
1178   /* Only allow QUIT command if Proxy Protocol parsing failed */
1179   if (proxy_session && proxy_session_failed)
1180     {
1181     if (p->cmd != QUIT_CMD)
1182       continue;
1183     }
1184   #endif
1185   if (  p->len
1186      && strncmpic(smtp_cmd_buffer, US p->name, p->len) == 0
1187      && (  smtp_cmd_buffer[p->len-1] == ':'    /* "mail from:" or "rcpt to:" */
1188         || smtp_cmd_buffer[p->len] == 0
1189         || smtp_cmd_buffer[p->len] == ' '
1190      )  )
1191     {
1192     if (smtp_inptr < smtp_inend &&                     /* Outstanding input */
1193         p->cmd < sync_cmd_limit &&                     /* Command should sync */
1194         check_sync &&                                  /* Local flag set */
1195         smtp_enforce_sync &&                           /* Global flag set */
1196         sender_host_address != NULL &&                 /* Not local input */
1197         !sender_host_notsocket)                        /* Really is a socket */
1198       return BADSYN_CMD;
1199
1200     /* The variables $smtp_command and $smtp_command_argument point into the
1201     unmodified input buffer. A copy of the latter is taken for actual
1202     processing, so that it can be chopped up into separate parts if necessary,
1203     for example, when processing a MAIL command options such as SIZE that can
1204     follow the sender address. */
1205
1206     smtp_cmd_argument = smtp_cmd_buffer + p->len;
1207     while (isspace(*smtp_cmd_argument)) smtp_cmd_argument++;
1208     Ustrcpy(smtp_data_buffer, smtp_cmd_argument);
1209     smtp_cmd_data = smtp_data_buffer;
1210
1211     /* Count non-mail commands from those hosts that are controlled in this
1212     way. The default is all hosts. We don't waste effort checking the list
1213     until we get a non-mail command, but then cache the result to save checking
1214     again. If there's a DEFER while checking the host, assume it's in the list.
1215
1216     Note that one instance of RSET, EHLO/HELO, and STARTTLS is allowed at the
1217     start of each incoming message by fiddling with the value in the table. */
1218
1219     if (!p->is_mail_cmd)
1220       {
1221       if (count_nonmail == TRUE_UNSET) count_nonmail =
1222         verify_check_host(&smtp_accept_max_nonmail_hosts) != FAIL;
1223       if (count_nonmail && ++nonmail_command_count > smtp_accept_max_nonmail)
1224         return TOO_MANY_NONMAIL_CMD;
1225       }
1226
1227     /* If there is data for a command that does not expect it, generate the
1228     error here. */
1229
1230     return (p->has_arg || *smtp_cmd_data == 0)? p->cmd : BADARG_CMD;
1231     }
1232   }
1233
1234 #ifdef SUPPORT_PROXY
1235 /* Only allow QUIT command if Proxy Protocol parsing failed */
1236 if (proxy_session && proxy_session_failed)
1237   return PROXY_FAIL_IGNORE_CMD;
1238 #endif
1239
1240 /* Enforce synchronization for unknown commands */
1241
1242 if (smtp_inptr < smtp_inend &&                     /* Outstanding input */
1243     check_sync &&                                  /* Local flag set */
1244     smtp_enforce_sync &&                           /* Global flag set */
1245     sender_host_address != NULL &&                 /* Not local input */
1246     !sender_host_notsocket)                        /* Really is a socket */
1247   return BADSYN_CMD;
1248
1249 return OTHER_CMD;
1250 }
1251
1252
1253
1254 /*************************************************
1255 *          Recheck synchronization               *
1256 *************************************************/
1257
1258 /* Synchronization checks can never be perfect because a packet may be on its
1259 way but not arrived when the check is done. Such checks can in any case only be
1260 done when TLS is not in use. Normally, the checks happen when commands are
1261 read: Exim ensures that there is no more input in the input buffer. In normal
1262 cases, the response to the command will be fast, and there is no further check.
1263
1264 However, for some commands an ACL is run, and that can include delays. In those
1265 cases, it is useful to do another check on the input just before sending the
1266 response. This also applies at the start of a connection. This function does
1267 that check by means of the select() function, as long as the facility is not
1268 disabled or inappropriate. A failure of select() is ignored.
1269
1270 When there is unwanted input, we read it so that it appears in the log of the
1271 error.
1272
1273 Arguments: none
1274 Returns:   TRUE if all is well; FALSE if there is input pending
1275 */
1276
1277 static BOOL
1278 check_sync(void)
1279 {
1280 int fd, rc;
1281 fd_set fds;
1282 struct timeval tzero;
1283
1284 if (!smtp_enforce_sync || sender_host_address == NULL ||
1285     sender_host_notsocket || tls_in.active >= 0)
1286   return TRUE;
1287
1288 fd = fileno(smtp_in);
1289 FD_ZERO(&fds);
1290 FD_SET(fd, &fds);
1291 tzero.tv_sec = 0;
1292 tzero.tv_usec = 0;
1293 rc = select(fd + 1, (SELECT_ARG2_TYPE *)&fds, NULL, NULL, &tzero);
1294
1295 if (rc <= 0) return TRUE;     /* Not ready to read */
1296 rc = smtp_getc();
1297 if (rc < 0) return TRUE;      /* End of file or error */
1298
1299 smtp_ungetc(rc);
1300 rc = smtp_inend - smtp_inptr;
1301 if (rc > 150) rc = 150;
1302 smtp_inptr[rc] = 0;
1303 return FALSE;
1304 }
1305
1306
1307
1308 /*************************************************
1309 *          Forced closedown of call              *
1310 *************************************************/
1311
1312 /* This function is called from log.c when Exim is dying because of a serious
1313 disaster, and also from some other places. If an incoming non-batched SMTP
1314 channel is open, it swallows the rest of the incoming message if in the DATA
1315 phase, sends the reply string, and gives an error to all subsequent commands
1316 except QUIT. The existence of an SMTP call is detected by the non-NULLness of
1317 smtp_in.
1318
1319 Arguments:
1320   message   SMTP reply string to send, excluding the code
1321
1322 Returns:    nothing
1323 */
1324
1325 void
1326 smtp_closedown(uschar *message)
1327 {
1328 if (smtp_in == NULL || smtp_batched_input) return;
1329 receive_swallow_smtp();
1330 smtp_printf("421 %s\r\n", message);
1331
1332 for (;;)
1333   {
1334   switch(smtp_read_command(FALSE))
1335     {
1336     case EOF_CMD:
1337     return;
1338
1339     case QUIT_CMD:
1340     smtp_printf("221 %s closing connection\r\n", smtp_active_hostname);
1341     mac_smtp_fflush();
1342     return;
1343
1344     case RSET_CMD:
1345     smtp_printf("250 Reset OK\r\n");
1346     break;
1347
1348     default:
1349     smtp_printf("421 %s\r\n", message);
1350     break;
1351     }
1352   }
1353 }
1354
1355
1356
1357
1358 /*************************************************
1359 *        Set up connection info for logging      *
1360 *************************************************/
1361
1362 /* This function is called when logging information about an SMTP connection.
1363 It sets up appropriate source information, depending on the type of connection.
1364 If sender_fullhost is NULL, we are at a very early stage of the connection;
1365 just use the IP address.
1366
1367 Argument:    none
1368 Returns:     a string describing the connection
1369 */
1370
1371 uschar *
1372 smtp_get_connection_info(void)
1373 {
1374 uschar *hostname = (sender_fullhost == NULL)?
1375   sender_host_address : sender_fullhost;
1376
1377 if (host_checking)
1378   return string_sprintf("SMTP connection from %s", hostname);
1379
1380 if (sender_host_unknown || sender_host_notsocket)
1381   return string_sprintf("SMTP connection from %s", sender_ident);
1382
1383 if (is_inetd)
1384   return string_sprintf("SMTP connection from %s (via inetd)", hostname);
1385
1386 if (LOGGING(incoming_interface) && interface_address != NULL)
1387   return string_sprintf("SMTP connection from %s I=[%s]:%d", hostname,
1388     interface_address, interface_port);
1389
1390 return string_sprintf("SMTP connection from %s", hostname);
1391 }
1392
1393
1394
1395 #ifdef SUPPORT_TLS
1396 /* Append TLS-related information to a log line
1397
1398 Arguments:
1399   s             String under construction: allocated string to extend, or NULL
1400   sizep         Pointer to current allocation size (update on return), or NULL
1401   ptrp          Pointer to index for new entries in string (update on return), or NULL
1402
1403 Returns:        Allocated string or NULL
1404 */
1405 static uschar *
1406 s_tlslog(uschar * s, int * sizep, int * ptrp)
1407 {
1408   int size = sizep ? *sizep : 0;
1409   int ptr = ptrp ? *ptrp : 0;
1410
1411   if (LOGGING(tls_cipher) && tls_in.cipher != NULL)
1412     s = string_append(s, &size, &ptr, 2, US" X=", tls_in.cipher);
1413   if (LOGGING(tls_certificate_verified) && tls_in.cipher != NULL)
1414     s = string_append(s, &size, &ptr, 2, US" CV=",
1415       tls_in.certificate_verified? "yes":"no");
1416   if (LOGGING(tls_peerdn) && tls_in.peerdn != NULL)
1417     s = string_append(s, &size, &ptr, 3, US" DN=\"",
1418       string_printing(tls_in.peerdn), US"\"");
1419   if (LOGGING(tls_sni) && tls_in.sni != NULL)
1420     s = string_append(s, &size, &ptr, 3, US" SNI=\"",
1421       string_printing(tls_in.sni), US"\"");
1422
1423   if (s)
1424     {
1425     s[ptr] = '\0';
1426     if (sizep) *sizep = size;
1427     if (ptrp) *ptrp = ptr;
1428     }
1429   return s;
1430 }
1431 #endif
1432
1433 /*************************************************
1434 *      Log lack of MAIL if so configured         *
1435 *************************************************/
1436
1437 /* This function is called when an SMTP session ends. If the log selector
1438 smtp_no_mail is set, write a log line giving some details of what has happened
1439 in the SMTP session.
1440
1441 Arguments:   none
1442 Returns:     nothing
1443 */
1444
1445 void
1446 smtp_log_no_mail(void)
1447 {
1448 int size, ptr, i;
1449 uschar *s, *sep;
1450
1451 if (smtp_mailcmd_count > 0 || !LOGGING(smtp_no_mail))
1452   return;
1453
1454 s = NULL;
1455 size = ptr = 0;
1456
1457 if (sender_host_authenticated != NULL)
1458   {
1459   s = string_append(s, &size, &ptr, 2, US" A=", sender_host_authenticated);
1460   if (authenticated_id != NULL)
1461     s = string_append(s, &size, &ptr, 2, US":", authenticated_id);
1462   }
1463
1464 #ifdef SUPPORT_TLS
1465 s = s_tlslog(s, &size, &ptr);
1466 #endif
1467
1468 sep = (smtp_connection_had[SMTP_HBUFF_SIZE-1] != SCH_NONE)?
1469   US" C=..." : US" C=";
1470 for (i = smtp_ch_index; i < SMTP_HBUFF_SIZE; i++)
1471   {
1472   if (smtp_connection_had[i] != SCH_NONE)
1473     {
1474     s = string_append(s, &size, &ptr, 2, sep,
1475       smtp_names[smtp_connection_had[i]]);
1476     sep = US",";
1477     }
1478   }
1479
1480 for (i = 0; i < smtp_ch_index; i++)
1481   {
1482   s = string_append(s, &size, &ptr, 2, sep, smtp_names[smtp_connection_had[i]]);
1483   sep = US",";
1484   }
1485
1486 if (s != NULL) s[ptr] = 0; else s = US"";
1487 log_write(0, LOG_MAIN, "no MAIL in SMTP connection from %s D=%s%s",
1488   host_and_ident(FALSE),
1489   readconf_printtime( (int) ((long)time(NULL) - (long)smtp_connection_start)),
1490   s);
1491 }
1492
1493
1494
1495 /*************************************************
1496 *   Check HELO line and set sender_helo_name     *
1497 *************************************************/
1498
1499 /* Check the format of a HELO line. The data for HELO/EHLO is supposed to be
1500 the domain name of the sending host, or an ip literal in square brackets. The
1501 arrgument is placed in sender_helo_name, which is in malloc store, because it
1502 must persist over multiple incoming messages. If helo_accept_junk is set, this
1503 host is permitted to send any old junk (needed for some broken hosts).
1504 Otherwise, helo_allow_chars can be used for rogue characters in general
1505 (typically people want to let in underscores).
1506
1507 Argument:
1508   s       the data portion of the line (already past any white space)
1509
1510 Returns:  TRUE or FALSE
1511 */
1512
1513 static BOOL
1514 check_helo(uschar *s)
1515 {
1516 uschar *start = s;
1517 uschar *end = s + Ustrlen(s);
1518 BOOL yield = helo_accept_junk;
1519
1520 /* Discard any previous helo name */
1521
1522 if (sender_helo_name != NULL)
1523   {
1524   store_free(sender_helo_name);
1525   sender_helo_name = NULL;
1526   }
1527
1528 /* Skip tests if junk is permitted. */
1529
1530 if (!yield)
1531   {
1532   /* Allow the new standard form for IPv6 address literals, namely,
1533   [IPv6:....], and because someone is bound to use it, allow an equivalent
1534   IPv4 form. Allow plain addresses as well. */
1535
1536   if (*s == '[')
1537     {
1538     if (end[-1] == ']')
1539       {
1540       end[-1] = 0;
1541       if (strncmpic(s, US"[IPv6:", 6) == 0)
1542         yield = (string_is_ip_address(s+6, NULL) == 6);
1543       else if (strncmpic(s, US"[IPv4:", 6) == 0)
1544         yield = (string_is_ip_address(s+6, NULL) == 4);
1545       else
1546         yield = (string_is_ip_address(s+1, NULL) != 0);
1547       end[-1] = ']';
1548       }
1549     }
1550
1551   /* Non-literals must be alpha, dot, hyphen, plus any non-valid chars
1552   that have been configured (usually underscore - sigh). */
1553
1554   else if (*s != 0)
1555     {
1556     yield = TRUE;
1557     while (*s != 0)
1558       {
1559       if (!isalnum(*s) && *s != '.' && *s != '-' &&
1560           Ustrchr(helo_allow_chars, *s) == NULL)
1561         {
1562         yield = FALSE;
1563         break;
1564         }
1565       s++;
1566       }
1567     }
1568   }
1569
1570 /* Save argument if OK */
1571
1572 if (yield) sender_helo_name = string_copy_malloc(start);
1573 return yield;
1574 }
1575
1576
1577
1578
1579
1580 /*************************************************
1581 *         Extract SMTP command option            *
1582 *************************************************/
1583
1584 /* This function picks the next option setting off the end of smtp_cmd_data. It
1585 is called for MAIL FROM and RCPT TO commands, to pick off the optional ESMTP
1586 things that can appear there.
1587
1588 Arguments:
1589    name           point this at the name
1590    value          point this at the data string
1591
1592 Returns:          TRUE if found an option
1593 */
1594
1595 static BOOL
1596 extract_option(uschar **name, uschar **value)
1597 {
1598 uschar *n;
1599 uschar *v = smtp_cmd_data + Ustrlen(smtp_cmd_data) - 1;
1600 while (isspace(*v)) v--;
1601 v[1] = 0;
1602 while (v > smtp_cmd_data && *v != '=' && !isspace(*v)) v--;
1603
1604 n = v;
1605 if (*v == '=')
1606 {
1607   while(isalpha(n[-1])) n--;
1608   /* RFC says SP, but TAB seen in wild and other major MTAs accept it */
1609   if (!isspace(n[-1])) return FALSE;
1610   n[-1] = 0;
1611 }
1612 else
1613 {
1614   n++;
1615   if (v == smtp_cmd_data) return FALSE;
1616 }
1617 *v++ = 0;
1618 *name = n;
1619 *value = v;
1620 return TRUE;
1621 }
1622
1623
1624
1625
1626
1627 /*************************************************
1628 *         Reset for new message                  *
1629 *************************************************/
1630
1631 /* This function is called whenever the SMTP session is reset from
1632 within either of the setup functions.
1633
1634 Argument:   the stacking pool storage reset point
1635 Returns:    nothing
1636 */
1637
1638 static void
1639 smtp_reset(void *reset_point)
1640 {
1641 store_reset(reset_point);
1642 recipients_list = NULL;
1643 rcpt_count = rcpt_defer_count = rcpt_fail_count =
1644   raw_recipients_count = recipients_count = recipients_list_max = 0;
1645 cancel_cutthrough_connection("smtp reset");
1646 message_linecount = 0;
1647 message_size = -1;
1648 acl_added_headers = NULL;
1649 acl_removed_headers = NULL;
1650 queue_only_policy = FALSE;
1651 rcpt_smtp_response = NULL;
1652 rcpt_smtp_response_same = TRUE;
1653 rcpt_in_progress = FALSE;
1654 deliver_freeze = FALSE;                              /* Can be set by ACL */
1655 freeze_tell = freeze_tell_config;                    /* Can be set by ACL */
1656 fake_response = OK;                                  /* Can be set by ACL */
1657 #ifdef WITH_CONTENT_SCAN
1658 no_mbox_unspool = FALSE;                             /* Can be set by ACL */
1659 #endif
1660 submission_mode = FALSE;                             /* Can be set by ACL */
1661 suppress_local_fixups = suppress_local_fixups_default; /* Can be set by ACL */
1662 active_local_from_check = local_from_check;          /* Can be set by ACL */
1663 active_local_sender_retain = local_sender_retain;    /* Can be set by ACL */
1664 sender_address = NULL;
1665 submission_name = NULL;                              /* Can be set by ACL */
1666 raw_sender = NULL;                  /* After SMTP rewrite, before qualifying */
1667 sender_address_unrewritten = NULL;  /* Set only after verify rewrite */
1668 sender_verified_list = NULL;        /* No senders verified */
1669 memset(sender_address_cache, 0, sizeof(sender_address_cache));
1670 memset(sender_domain_cache, 0, sizeof(sender_domain_cache));
1671
1672 authenticated_sender = NULL;
1673 #ifdef EXPERIMENTAL_BRIGHTMAIL
1674 bmi_run = 0;
1675 bmi_verdicts = NULL;
1676 #endif
1677 #ifndef DISABLE_DKIM
1678 dkim_signers = NULL;
1679 dkim_disable_verify = FALSE;
1680 dkim_collect_input = FALSE;
1681 #endif
1682 dsn_ret = 0;
1683 dsn_envid = NULL;
1684 #ifndef DISABLE_PRDR
1685 prdr_requested = FALSE;
1686 #endif
1687 #ifdef EXPERIMENTAL_SPF
1688 spf_header_comment = NULL;
1689 spf_received = NULL;
1690 spf_result = NULL;
1691 spf_smtp_comment = NULL;
1692 #endif
1693 #ifdef SUPPORT_I18N
1694 message_smtputf8 = FALSE;
1695 #endif
1696 body_linecount = body_zerocount = 0;
1697
1698 sender_rate = sender_rate_limit = sender_rate_period = NULL;
1699 ratelimiters_mail = NULL;           /* Updated by ratelimit ACL condition */
1700                    /* Note that ratelimiters_conn persists across resets. */
1701
1702 /* Reset message ACL variables */
1703
1704 acl_var_m = NULL;
1705
1706 /* The message body variables use malloc store. They may be set if this is
1707 not the first message in an SMTP session and the previous message caused them
1708 to be referenced in an ACL. */
1709
1710 if (message_body != NULL)
1711   {
1712   store_free(message_body);
1713   message_body = NULL;
1714   }
1715
1716 if (message_body_end != NULL)
1717   {
1718   store_free(message_body_end);
1719   message_body_end = NULL;
1720   }
1721
1722 /* Warning log messages are also saved in malloc store. They are saved to avoid
1723 repetition in the same message, but it seems right to repeat them for different
1724 messages. */
1725
1726 while (acl_warn_logged != NULL)
1727   {
1728   string_item *this = acl_warn_logged;
1729   acl_warn_logged = acl_warn_logged->next;
1730   store_free(this);
1731   }
1732 }
1733
1734
1735
1736
1737
1738 /*************************************************
1739 *  Initialize for incoming batched SMTP message  *
1740 *************************************************/
1741
1742 /* This function is called from smtp_setup_msg() in the case when
1743 smtp_batched_input is true. This happens when -bS is used to pass a whole batch
1744 of messages in one file with SMTP commands between them. All errors must be
1745 reported by sending a message, and only MAIL FROM, RCPT TO, and DATA are
1746 relevant. After an error on a sender, or an invalid recipient, the remainder
1747 of the message is skipped. The value of received_protocol is already set.
1748
1749 Argument: none
1750 Returns:  > 0 message successfully started (reached DATA)
1751           = 0 QUIT read or end of file reached
1752           < 0 should not occur
1753 */
1754
1755 static int
1756 smtp_setup_batch_msg(void)
1757 {
1758 int done = 0;
1759 void *reset_point = store_get(0);
1760
1761 /* Save the line count at the start of each transaction - single commands
1762 like HELO and RSET count as whole transactions. */
1763
1764 bsmtp_transaction_linecount = receive_linecount;
1765
1766 if ((receive_feof)()) return 0;   /* Treat EOF as QUIT */
1767
1768 smtp_reset(reset_point);                /* Reset for start of message */
1769
1770 /* Deal with SMTP commands. This loop is exited by setting done to a POSITIVE
1771 value. The values are 2 larger than the required yield of the function. */
1772
1773 while (done <= 0)
1774   {
1775   uschar *errmess;
1776   uschar *recipient = NULL;
1777   int start, end, sender_domain, recipient_domain;
1778
1779   switch(smtp_read_command(FALSE))
1780     {
1781     /* The HELO/EHLO commands set sender_address_helo if they have
1782     valid data; otherwise they are ignored, except that they do
1783     a reset of the state. */
1784
1785     case HELO_CMD:
1786     case EHLO_CMD:
1787
1788     check_helo(smtp_cmd_data);
1789     /* Fall through */
1790
1791     case RSET_CMD:
1792     smtp_reset(reset_point);
1793     bsmtp_transaction_linecount = receive_linecount;
1794     break;
1795
1796
1797     /* The MAIL FROM command requires an address as an operand. All we
1798     do here is to parse it for syntactic correctness. The form "<>" is
1799     a special case which converts into an empty string. The start/end
1800     pointers in the original are not used further for this address, as
1801     it is the canonical extracted address which is all that is kept. */
1802
1803     case MAIL_CMD:
1804     smtp_mailcmd_count++;              /* Count for no-mail log */
1805     if (sender_address != NULL)
1806       /* The function moan_smtp_batch() does not return. */
1807       moan_smtp_batch(smtp_cmd_buffer, "503 Sender already given");
1808
1809     if (smtp_cmd_data[0] == 0)
1810       /* The function moan_smtp_batch() does not return. */
1811       moan_smtp_batch(smtp_cmd_buffer, "501 MAIL FROM must have an address operand");
1812
1813     /* Reset to start of message */
1814
1815     smtp_reset(reset_point);
1816
1817     /* Apply SMTP rewrite */
1818
1819     raw_sender = ((rewrite_existflags & rewrite_smtp) != 0)?
1820       rewrite_one(smtp_cmd_data, rewrite_smtp|rewrite_smtp_sender, NULL, FALSE,
1821         US"", global_rewrite_rules) : smtp_cmd_data;
1822
1823     /* Extract the address; the TRUE flag allows <> as valid */
1824
1825     raw_sender =
1826       parse_extract_address(raw_sender, &errmess, &start, &end, &sender_domain,
1827         TRUE);
1828
1829     if (raw_sender == NULL)
1830       /* The function moan_smtp_batch() does not return. */
1831       moan_smtp_batch(smtp_cmd_buffer, "501 %s", errmess);
1832
1833     sender_address = string_copy(raw_sender);
1834
1835     /* Qualify unqualified sender addresses if permitted to do so. */
1836
1837     if (sender_domain == 0 && sender_address[0] != 0 && sender_address[0] != '@')
1838       {
1839       if (allow_unqualified_sender)
1840         {
1841         sender_address = rewrite_address_qualify(sender_address, FALSE);
1842         DEBUG(D_receive) debug_printf("unqualified address %s accepted "
1843           "and rewritten\n", raw_sender);
1844         }
1845       /* The function moan_smtp_batch() does not return. */
1846       else moan_smtp_batch(smtp_cmd_buffer, "501 sender address must contain "
1847         "a domain");
1848       }
1849     break;
1850
1851
1852     /* The RCPT TO command requires an address as an operand. All we do
1853     here is to parse it for syntactic correctness. There may be any number
1854     of RCPT TO commands, specifying multiple senders. We build them all into
1855     a data structure that is in argc/argv format. The start/end values
1856     given by parse_extract_address are not used, as we keep only the
1857     extracted address. */
1858
1859     case RCPT_CMD:
1860     if (sender_address == NULL)
1861       /* The function moan_smtp_batch() does not return. */
1862       moan_smtp_batch(smtp_cmd_buffer, "503 No sender yet given");
1863
1864     if (smtp_cmd_data[0] == 0)
1865       /* The function moan_smtp_batch() does not return. */
1866       moan_smtp_batch(smtp_cmd_buffer, "501 RCPT TO must have an address operand");
1867
1868     /* Check maximum number allowed */
1869
1870     if (recipients_max > 0 && recipients_count + 1 > recipients_max)
1871       /* The function moan_smtp_batch() does not return. */
1872       moan_smtp_batch(smtp_cmd_buffer, "%s too many recipients",
1873         recipients_max_reject? "552": "452");
1874
1875     /* Apply SMTP rewrite, then extract address. Don't allow "<>" as a
1876     recipient address */
1877
1878     recipient = rewrite_existflags & rewrite_smtp
1879       ? rewrite_one(smtp_cmd_data, rewrite_smtp, NULL, FALSE, US"",
1880                     global_rewrite_rules)
1881       : smtp_cmd_data;
1882
1883     recipient = parse_extract_address(recipient, &errmess, &start, &end,
1884       &recipient_domain, FALSE);
1885
1886     if (!recipient)
1887       /* The function moan_smtp_batch() does not return. */
1888       moan_smtp_batch(smtp_cmd_buffer, "501 %s", errmess);
1889
1890     /* If the recipient address is unqualified, qualify it if permitted. Then
1891     add it to the list of recipients. */
1892
1893     if (recipient_domain == 0)
1894       {
1895       if (allow_unqualified_recipient)
1896         {
1897         DEBUG(D_receive) debug_printf("unqualified address %s accepted\n",
1898           recipient);
1899         recipient = rewrite_address_qualify(recipient, TRUE);
1900         }
1901       /* The function moan_smtp_batch() does not return. */
1902       else moan_smtp_batch(smtp_cmd_buffer, "501 recipient address must contain "
1903         "a domain");
1904       }
1905     receive_add_recipient(recipient, -1);
1906     break;
1907
1908
1909     /* The DATA command is legal only if it follows successful MAIL FROM
1910     and RCPT TO commands. This function is complete when a valid DATA
1911     command is encountered. */
1912
1913     case DATA_CMD:
1914     if (sender_address == NULL || recipients_count <= 0)
1915       {
1916       /* The function moan_smtp_batch() does not return. */
1917       if (sender_address == NULL)
1918         moan_smtp_batch(smtp_cmd_buffer,
1919           "503 MAIL FROM:<sender> command must precede DATA");
1920       else
1921         moan_smtp_batch(smtp_cmd_buffer,
1922           "503 RCPT TO:<recipient> must precede DATA");
1923       }
1924     else
1925       {
1926       done = 3;                      /* DATA successfully achieved */
1927       message_ended = END_NOTENDED;  /* Indicate in middle of message */
1928       }
1929     break;
1930
1931
1932     /* The VRFY, EXPN, HELP, ETRN, and NOOP commands are ignored. */
1933
1934     case VRFY_CMD:
1935     case EXPN_CMD:
1936     case HELP_CMD:
1937     case NOOP_CMD:
1938     case ETRN_CMD:
1939     bsmtp_transaction_linecount = receive_linecount;
1940     break;
1941
1942
1943     case EOF_CMD:
1944     case QUIT_CMD:
1945     done = 2;
1946     break;
1947
1948
1949     case BADARG_CMD:
1950     /* The function moan_smtp_batch() does not return. */
1951     moan_smtp_batch(smtp_cmd_buffer, "501 Unexpected argument data");
1952     break;
1953
1954
1955     case BADCHAR_CMD:
1956     /* The function moan_smtp_batch() does not return. */
1957     moan_smtp_batch(smtp_cmd_buffer, "501 Unexpected NULL in SMTP command");
1958     break;
1959
1960
1961     default:
1962     /* The function moan_smtp_batch() does not return. */
1963     moan_smtp_batch(smtp_cmd_buffer, "500 Command unrecognized");
1964     break;
1965     }
1966   }
1967
1968 return done - 2;  /* Convert yield values */
1969 }
1970
1971
1972
1973
1974 /*************************************************
1975 *          Start an SMTP session                 *
1976 *************************************************/
1977
1978 /* This function is called at the start of an SMTP session. Thereafter,
1979 smtp_setup_msg() is called to initiate each separate message. This
1980 function does host-specific testing, and outputs the banner line.
1981
1982 Arguments:     none
1983 Returns:       FALSE if the session can not continue; something has
1984                gone wrong, or the connection to the host is blocked
1985 */
1986
1987 BOOL
1988 smtp_start_session(void)
1989 {
1990 int size = 256;
1991 int ptr, esclen;
1992 uschar *user_msg, *log_msg;
1993 uschar *code, *esc;
1994 uschar *p, *s, *ss;
1995
1996 smtp_connection_start = time(NULL);
1997 for (smtp_ch_index = 0; smtp_ch_index < SMTP_HBUFF_SIZE; smtp_ch_index++)
1998   smtp_connection_had[smtp_ch_index] = SCH_NONE;
1999 smtp_ch_index = 0;
2000
2001 /* Default values for certain variables */
2002
2003 helo_seen = esmtp = helo_accept_junk = FALSE;
2004 smtp_mailcmd_count = 0;
2005 count_nonmail = TRUE_UNSET;
2006 synprot_error_count = unknown_command_count = nonmail_command_count = 0;
2007 smtp_delay_mail = smtp_rlm_base;
2008 auth_advertised = FALSE;
2009 pipelining_advertised = FALSE;
2010 pipelining_enable = TRUE;
2011 sync_cmd_limit = NON_SYNC_CMD_NON_PIPELINING;
2012 smtp_exit_function_called = FALSE;    /* For avoiding loop in not-quit exit */
2013
2014 /* If receiving by -bs from a trusted user, or testing with -bh, we allow
2015 authentication settings from -oMaa to remain in force. */
2016
2017 if (!host_checking && !sender_host_notsocket) sender_host_authenticated = NULL;
2018 authenticated_by = NULL;
2019
2020 #ifdef SUPPORT_TLS
2021 tls_in.cipher = tls_in.peerdn = NULL;
2022 tls_in.ourcert = tls_in.peercert = NULL;
2023 tls_in.sni = NULL;
2024 tls_in.ocsp = OCSP_NOT_REQ;
2025 tls_advertised = FALSE;
2026 #endif
2027 dsn_advertised = FALSE;
2028 #ifdef SUPPORT_I18N
2029 smtputf8_advertised = FALSE;
2030 #endif
2031
2032 /* Reset ACL connection variables */
2033
2034 acl_var_c = NULL;
2035
2036 /* Allow for trailing 0 in the command and data buffers. */
2037
2038 smtp_cmd_buffer = (uschar *)malloc(2*smtp_cmd_buffer_size + 2);
2039 if (smtp_cmd_buffer == NULL)
2040   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
2041     "malloc() failed for SMTP command buffer");
2042 smtp_cmd_buffer[0] = 0;
2043 smtp_data_buffer = smtp_cmd_buffer + smtp_cmd_buffer_size + 1;
2044
2045 /* For batched input, the protocol setting can be overridden from the
2046 command line by a trusted caller. */
2047
2048 if (smtp_batched_input)
2049   {
2050   if (received_protocol == NULL) received_protocol = US"local-bsmtp";
2051   }
2052
2053 /* For non-batched SMTP input, the protocol setting is forced here. It will be
2054 reset later if any of EHLO/AUTH/STARTTLS are received. */
2055
2056 else
2057   received_protocol =
2058     (sender_host_address ? protocols : protocols_local) [pnormal];
2059
2060 /* Set up the buffer for inputting using direct read() calls, and arrange to
2061 call the local functions instead of the standard C ones. */
2062
2063 smtp_inbuffer = (uschar *)malloc(in_buffer_size);
2064 if (smtp_inbuffer == NULL)
2065   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "malloc() failed for SMTP input buffer");
2066 receive_getc = smtp_getc;
2067 receive_get_cache = smtp_get_cache;
2068 receive_ungetc = smtp_ungetc;
2069 receive_feof = smtp_feof;
2070 receive_ferror = smtp_ferror;
2071 receive_smtp_buffered = smtp_buffered;
2072 smtp_inptr = smtp_inend = smtp_inbuffer;
2073 smtp_had_eof = smtp_had_error = 0;
2074
2075 /* Set up the message size limit; this may be host-specific */
2076
2077 thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
2078 if (expand_string_message != NULL)
2079   {
2080   if (thismessage_size_limit == -1)
2081     log_write(0, LOG_MAIN|LOG_PANIC, "unable to expand message_size_limit: "
2082       "%s", expand_string_message);
2083   else
2084     log_write(0, LOG_MAIN|LOG_PANIC, "invalid message_size_limit: "
2085       "%s", expand_string_message);
2086   smtp_closedown(US"Temporary local problem - please try later");
2087   return FALSE;
2088   }
2089
2090 /* When a message is input locally via the -bs or -bS options, sender_host_
2091 unknown is set unless -oMa was used to force an IP address, in which case it
2092 is checked like a real remote connection. When -bs is used from inetd, this
2093 flag is not set, causing the sending host to be checked. The code that deals
2094 with IP source routing (if configured) is never required for -bs or -bS and
2095 the flag sender_host_notsocket is used to suppress it.
2096
2097 If smtp_accept_max and smtp_accept_reserve are set, keep some connections in
2098 reserve for certain hosts and/or networks. */
2099
2100 if (!sender_host_unknown)
2101   {
2102   int rc;
2103   BOOL reserved_host = FALSE;
2104
2105   /* Look up IP options (source routing info) on the socket if this is not an
2106   -oMa "host", and if any are found, log them and drop the connection.
2107
2108   Linux (and others now, see below) is different to everyone else, so there
2109   has to be some conditional compilation here. Versions of Linux before 2.1.15
2110   used a structure whose name was "options". Somebody finally realized that
2111   this name was silly, and it got changed to "ip_options". I use the
2112   newer name here, but there is a fudge in the script that sets up os.h
2113   to define a macro in older Linux systems.
2114
2115   Sigh. Linux is a fast-moving target. Another generation of Linux uses
2116   glibc 2, which has chosen ip_opts for the structure name. This is now
2117   really a glibc thing rather than a Linux thing, so the condition name
2118   has been changed to reflect this. It is relevant also to GNU/Hurd.
2119
2120   Mac OS 10.x (Darwin) is like the later glibc versions, but without the
2121   setting of the __GLIBC__ macro, so we can't detect it automatically. There's
2122   a special macro defined in the os.h file.
2123
2124   Some DGUX versions on older hardware appear not to support IP options at
2125   all, so there is now a general macro which can be set to cut out this
2126   support altogether.
2127
2128   How to do this properly in IPv6 is not yet known. */
2129
2130   #if !HAVE_IPV6 && !defined(NO_IP_OPTIONS)
2131
2132   #ifdef GLIBC_IP_OPTIONS
2133     #if (!defined __GLIBC__) || (__GLIBC__ < 2)
2134     #define OPTSTYLE 1
2135     #else
2136     #define OPTSTYLE 2
2137     #endif
2138   #elif defined DARWIN_IP_OPTIONS
2139     #define OPTSTYLE 2
2140   #else
2141     #define OPTSTYLE 3
2142   #endif
2143
2144   if (!host_checking && !sender_host_notsocket)
2145     {
2146     #if OPTSTYLE == 1
2147     EXIM_SOCKLEN_T optlen = sizeof(struct ip_options) + MAX_IPOPTLEN;
2148     struct ip_options *ipopt = store_get(optlen);
2149     #elif OPTSTYLE == 2
2150     struct ip_opts ipoptblock;
2151     struct ip_opts *ipopt = &ipoptblock;
2152     EXIM_SOCKLEN_T optlen = sizeof(ipoptblock);
2153     #else
2154     struct ipoption ipoptblock;
2155     struct ipoption *ipopt = &ipoptblock;
2156     EXIM_SOCKLEN_T optlen = sizeof(ipoptblock);
2157     #endif
2158
2159     /* Occasional genuine failures of getsockopt() have been seen - for
2160     example, "reset by peer". Therefore, just log and give up on this
2161     call, unless the error is ENOPROTOOPT. This error is given by systems
2162     that have the interfaces but not the mechanism - e.g. GNU/Hurd at the time
2163     of writing. So for that error, carry on - we just can't do an IP options
2164     check. */
2165
2166     DEBUG(D_receive) debug_printf("checking for IP options\n");
2167
2168     if (getsockopt(fileno(smtp_out), IPPROTO_IP, IP_OPTIONS, (uschar *)(ipopt),
2169           &optlen) < 0)
2170       {
2171       if (errno != ENOPROTOOPT)
2172         {
2173         log_write(0, LOG_MAIN, "getsockopt() failed from %s: %s",
2174           host_and_ident(FALSE), strerror(errno));
2175         smtp_printf("451 SMTP service not available\r\n");
2176         return FALSE;
2177         }
2178       }
2179
2180     /* Deal with any IP options that are set. On the systems I have looked at,
2181     the value of MAX_IPOPTLEN has been 40, meaning that there should never be
2182     more logging data than will fit in big_buffer. Nevertheless, after somebody
2183     questioned this code, I've added in some paranoid checking. */
2184
2185     else if (optlen > 0)
2186       {
2187       uschar *p = big_buffer;
2188       uschar *pend = big_buffer + big_buffer_size;
2189       uschar *opt, *adptr;
2190       int optcount;
2191       struct in_addr addr;
2192
2193       #if OPTSTYLE == 1
2194       uschar *optstart = (uschar *)(ipopt->__data);
2195       #elif OPTSTYLE == 2
2196       uschar *optstart = (uschar *)(ipopt->ip_opts);
2197       #else
2198       uschar *optstart = (uschar *)(ipopt->ipopt_list);
2199       #endif
2200
2201       DEBUG(D_receive) debug_printf("IP options exist\n");
2202
2203       Ustrcpy(p, "IP options on incoming call:");
2204       p += Ustrlen(p);
2205
2206       for (opt = optstart; opt != NULL &&
2207            opt < (uschar *)(ipopt) + optlen;)
2208         {
2209         switch (*opt)
2210           {
2211           case IPOPT_EOL:
2212           opt = NULL;
2213           break;
2214
2215           case IPOPT_NOP:
2216           opt++;
2217           break;
2218
2219           case IPOPT_SSRR:
2220           case IPOPT_LSRR:
2221           if (!string_format(p, pend-p, " %s [@%s",
2222                (*opt == IPOPT_SSRR)? "SSRR" : "LSRR",
2223                #if OPTSTYLE == 1
2224                inet_ntoa(*((struct in_addr *)(&(ipopt->faddr))))))
2225                #elif OPTSTYLE == 2
2226                inet_ntoa(ipopt->ip_dst)))
2227                #else
2228                inet_ntoa(ipopt->ipopt_dst)))
2229                #endif
2230             {
2231             opt = NULL;
2232             break;
2233             }
2234
2235           p += Ustrlen(p);
2236           optcount = (opt[1] - 3) / sizeof(struct in_addr);
2237           adptr = opt + 3;
2238           while (optcount-- > 0)
2239             {
2240             memcpy(&addr, adptr, sizeof(addr));
2241             if (!string_format(p, pend - p - 1, "%s%s",
2242                   (optcount == 0)? ":" : "@", inet_ntoa(addr)))
2243               {
2244               opt = NULL;
2245               break;
2246               }
2247             p += Ustrlen(p);
2248             adptr += sizeof(struct in_addr);
2249             }
2250           *p++ = ']';
2251           opt += opt[1];
2252           break;
2253
2254           default:
2255             {
2256             int i;
2257             if (pend - p < 4 + 3*opt[1]) { opt = NULL; break; }
2258             Ustrcat(p, "[ ");
2259             p += 2;
2260             for (i = 0; i < opt[1]; i++)
2261               {
2262               sprintf(CS p, "%2.2x ", opt[i]);
2263               p += 3;
2264               }
2265             *p++ = ']';
2266             }
2267           opt += opt[1];
2268           break;
2269           }
2270         }
2271
2272       *p = 0;
2273       log_write(0, LOG_MAIN, "%s", big_buffer);
2274
2275       /* Refuse any call with IP options. This is what tcpwrappers 7.5 does. */
2276
2277       log_write(0, LOG_MAIN|LOG_REJECT,
2278         "connection from %s refused (IP options)", host_and_ident(FALSE));
2279
2280       smtp_printf("554 SMTP service not available\r\n");
2281       return FALSE;
2282       }
2283
2284     /* Length of options = 0 => there are no options */
2285
2286     else DEBUG(D_receive) debug_printf("no IP options found\n");
2287     }
2288   #endif  /* HAVE_IPV6 && !defined(NO_IP_OPTIONS) */
2289
2290   /* Set keep-alive in socket options. The option is on by default. This
2291   setting is an attempt to get rid of some hanging connections that stick in
2292   read() when the remote end (usually a dialup) goes away. */
2293
2294   if (smtp_accept_keepalive && !sender_host_notsocket)
2295     ip_keepalive(fileno(smtp_out), sender_host_address, FALSE);
2296
2297   /* If the current host matches host_lookup, set the name by doing a
2298   reverse lookup. On failure, sender_host_name will be NULL and
2299   host_lookup_failed will be TRUE. This may or may not be serious - optional
2300   checks later. */
2301
2302   if (verify_check_host(&host_lookup) == OK)
2303     {
2304     (void)host_name_lookup();
2305     host_build_sender_fullhost();
2306     }
2307
2308   /* Delay this until we have the full name, if it is looked up. */
2309
2310   set_process_info("handling incoming connection from %s",
2311     host_and_ident(FALSE));
2312
2313   /* Expand smtp_receive_timeout, if needed */
2314
2315   if (smtp_receive_timeout_s)
2316     {
2317     uschar * exp;
2318     if (  !(exp = expand_string(smtp_receive_timeout_s))
2319        || !(*exp)
2320        || (smtp_receive_timeout = readconf_readtime(exp, 0, FALSE)) < 0
2321        )
2322       log_write(0, LOG_MAIN|LOG_PANIC,
2323         "bad value for smtp_receive_timeout: '%s'", exp ? exp : US"");
2324     }
2325
2326   /* Start up TLS if tls_on_connect is set. This is for supporting the legacy
2327   smtps port for use with older style SSL MTAs. */
2328
2329   #ifdef SUPPORT_TLS
2330   if (tls_in.on_connect && tls_server_start(tls_require_ciphers) != OK)
2331     return FALSE;
2332   #endif
2333
2334   /* Test for explicit connection rejection */
2335
2336   if (verify_check_host(&host_reject_connection) == OK)
2337     {
2338     log_write(L_connection_reject, LOG_MAIN|LOG_REJECT, "refused connection "
2339       "from %s (host_reject_connection)", host_and_ident(FALSE));
2340     smtp_printf("554 SMTP service not available\r\n");
2341     return FALSE;
2342     }
2343
2344   /* Test with TCP Wrappers if so configured. There is a problem in that
2345   hosts_ctl() returns 0 (deny) under a number of system failure circumstances,
2346   such as disks dying. In these cases, it is desirable to reject with a 4xx
2347   error instead of a 5xx error. There isn't a "right" way to detect such
2348   problems. The following kludge is used: errno is zeroed before calling
2349   hosts_ctl(). If the result is "reject", a 5xx error is given only if the
2350   value of errno is 0 or ENOENT (which happens if /etc/hosts.{allow,deny} does
2351   not exist). */
2352
2353   #ifdef USE_TCP_WRAPPERS
2354   errno = 0;
2355   tcp_wrappers_name = expand_string(tcp_wrappers_daemon_name);
2356   if (tcp_wrappers_name == NULL)
2357     {
2358     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Expansion of \"%s\" "
2359       "(tcp_wrappers_name) failed: %s", string_printing(tcp_wrappers_name),
2360         expand_string_message);
2361     }
2362   if (!hosts_ctl(tcp_wrappers_name,
2363          (sender_host_name == NULL)? STRING_UNKNOWN : CS sender_host_name,
2364          (sender_host_address == NULL)? STRING_UNKNOWN : CS sender_host_address,
2365          (sender_ident == NULL)? STRING_UNKNOWN : CS sender_ident))
2366     {
2367     if (errno == 0 || errno == ENOENT)
2368       {
2369       HDEBUG(D_receive) debug_printf("tcp wrappers rejection\n");
2370       log_write(L_connection_reject,
2371                 LOG_MAIN|LOG_REJECT, "refused connection from %s "
2372                 "(tcp wrappers)", host_and_ident(FALSE));
2373       smtp_printf("554 SMTP service not available\r\n");
2374       }
2375     else
2376       {
2377       int save_errno = errno;
2378       HDEBUG(D_receive) debug_printf("tcp wrappers rejected with unexpected "
2379         "errno value %d\n", save_errno);
2380       log_write(L_connection_reject,
2381                 LOG_MAIN|LOG_REJECT, "temporarily refused connection from %s "
2382                 "(tcp wrappers errno=%d)", host_and_ident(FALSE), save_errno);
2383       smtp_printf("451 Temporary local problem - please try later\r\n");
2384       }
2385     return FALSE;
2386     }
2387   #endif
2388
2389   /* Check for reserved slots. The value of smtp_accept_count has already been
2390   incremented to include this process. */
2391
2392   if (smtp_accept_max > 0 &&
2393       smtp_accept_count > smtp_accept_max - smtp_accept_reserve)
2394     {
2395     if ((rc = verify_check_host(&smtp_reserve_hosts)) != OK)
2396       {
2397       log_write(L_connection_reject,
2398         LOG_MAIN, "temporarily refused connection from %s: not in "
2399         "reserve list: connected=%d max=%d reserve=%d%s",
2400         host_and_ident(FALSE), smtp_accept_count - 1, smtp_accept_max,
2401         smtp_accept_reserve, (rc == DEFER)? " (lookup deferred)" : "");
2402       smtp_printf("421 %s: Too many concurrent SMTP connections; "
2403         "please try again later\r\n", smtp_active_hostname);
2404       return FALSE;
2405       }
2406     reserved_host = TRUE;
2407     }
2408
2409   /* If a load level above which only messages from reserved hosts are
2410   accepted is set, check the load. For incoming calls via the daemon, the
2411   check is done in the superior process if there are no reserved hosts, to
2412   save a fork. In all cases, the load average will already be available
2413   in a global variable at this point. */
2414
2415   if (smtp_load_reserve >= 0 &&
2416        load_average > smtp_load_reserve &&
2417        !reserved_host &&
2418        verify_check_host(&smtp_reserve_hosts) != OK)
2419     {
2420     log_write(L_connection_reject,
2421       LOG_MAIN, "temporarily refused connection from %s: not in "
2422       "reserve list and load average = %.2f", host_and_ident(FALSE),
2423       (double)load_average/1000.0);
2424     smtp_printf("421 %s: Too much load; please try again later\r\n",
2425       smtp_active_hostname);
2426     return FALSE;
2427     }
2428
2429   /* Determine whether unqualified senders or recipients are permitted
2430   for this host. Unfortunately, we have to do this every time, in order to
2431   set the flags so that they can be inspected when considering qualifying
2432   addresses in the headers. For a site that permits no qualification, this
2433   won't take long, however. */
2434
2435   allow_unqualified_sender =
2436     verify_check_host(&sender_unqualified_hosts) == OK;
2437
2438   allow_unqualified_recipient =
2439     verify_check_host(&recipient_unqualified_hosts) == OK;
2440
2441   /* Determine whether HELO/EHLO is required for this host. The requirement
2442   can be hard or soft. */
2443
2444   helo_required = verify_check_host(&helo_verify_hosts) == OK;
2445   if (!helo_required)
2446     helo_verify = verify_check_host(&helo_try_verify_hosts) == OK;
2447
2448   /* Determine whether this hosts is permitted to send syntactic junk
2449   after a HELO or EHLO command. */
2450
2451   helo_accept_junk = verify_check_host(&helo_accept_junk_hosts) == OK;
2452   }
2453
2454 /* For batch SMTP input we are now done. */
2455
2456 if (smtp_batched_input) return TRUE;
2457
2458 #ifdef SUPPORT_PROXY
2459 /* If valid Proxy Protocol source is connecting, set up session.
2460  * Failure will not allow any SMTP function other than QUIT. */
2461 proxy_session = FALSE;
2462 proxy_session_failed = FALSE;
2463 if (check_proxy_protocol_host())
2464   {
2465   if (setup_proxy_protocol_host() == FALSE)
2466     {
2467     proxy_session_failed = TRUE;
2468     DEBUG(D_receive)
2469       debug_printf("Failure to extract proxied host, only QUIT allowed\n");
2470     }
2471   else
2472     {
2473     sender_host_name = NULL;
2474     (void)host_name_lookup();
2475     host_build_sender_fullhost();
2476     }
2477   }
2478 #endif
2479
2480 /* Run the ACL if it exists */
2481
2482 user_msg = NULL;
2483 if (acl_smtp_connect != NULL)
2484   {
2485   int rc;
2486   rc = acl_check(ACL_WHERE_CONNECT, NULL, acl_smtp_connect, &user_msg,
2487     &log_msg);
2488   if (rc != OK)
2489     {
2490     (void)smtp_handle_acl_fail(ACL_WHERE_CONNECT, rc, user_msg, log_msg);
2491     return FALSE;
2492     }
2493   }
2494
2495 /* Output the initial message for a two-way SMTP connection. It may contain
2496 newlines, which then cause a multi-line response to be given. */
2497
2498 code = US"220";   /* Default status code */
2499 esc = US"";       /* Default extended status code */
2500 esclen = 0;       /* Length of esc */
2501
2502 if (!user_msg)
2503   {
2504   if (!(s = expand_string(smtp_banner)))
2505     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Expansion of \"%s\" (smtp_banner) "
2506       "failed: %s", smtp_banner, expand_string_message);
2507   }
2508 else
2509   {
2510   int codelen = 3;
2511   s = user_msg;
2512   smtp_message_code(&code, &codelen, &s, NULL, TRUE);
2513   if (codelen > 4)
2514     {
2515     esc = code + 4;
2516     esclen = codelen - 4;
2517     }
2518   }
2519
2520 /* Remove any terminating newlines; might as well remove trailing space too */
2521
2522 p = s + Ustrlen(s);
2523 while (p > s && isspace(p[-1])) p--;
2524 *p = 0;
2525
2526 /* It seems that CC:Mail is braindead, and assumes that the greeting message
2527 is all contained in a single IP packet. The original code wrote out the
2528 greeting using several calls to fprint/fputc, and on busy servers this could
2529 cause it to be split over more than one packet - which caused CC:Mail to fall
2530 over when it got the second part of the greeting after sending its first
2531 command. Sigh. To try to avoid this, build the complete greeting message
2532 first, and output it in one fell swoop. This gives a better chance of it
2533 ending up as a single packet. */
2534
2535 ss = store_get(size);
2536 ptr = 0;
2537
2538 p = s;
2539 do       /* At least once, in case we have an empty string */
2540   {
2541   int len;
2542   uschar *linebreak = Ustrchr(p, '\n');
2543   ss = string_catn(ss, &size, &ptr, code, 3);
2544   if (linebreak == NULL)
2545     {
2546     len = Ustrlen(p);
2547     ss = string_catn(ss, &size, &ptr, US" ", 1);
2548     }
2549   else
2550     {
2551     len = linebreak - p;
2552     ss = string_catn(ss, &size, &ptr, US"-", 1);
2553     }
2554   ss = string_catn(ss, &size, &ptr, esc, esclen);
2555   ss = string_catn(ss, &size, &ptr, p, len);
2556   ss = string_catn(ss, &size, &ptr, US"\r\n", 2);
2557   p += len;
2558   if (linebreak != NULL) p++;
2559   }
2560 while (*p != 0);
2561
2562 ss[ptr] = 0;  /* string_cat leaves room for this */
2563
2564 /* Before we write the banner, check that there is no input pending, unless
2565 this synchronisation check is disabled. */
2566
2567 if (!check_sync())
2568   {
2569   log_write(0, LOG_MAIN|LOG_REJECT, "SMTP protocol "
2570     "synchronization error (input sent without waiting for greeting): "
2571     "rejected connection from %s input=\"%s\"", host_and_ident(TRUE),
2572     string_printing(smtp_inptr));
2573   smtp_printf("554 SMTP synchronization error\r\n");
2574   return FALSE;
2575   }
2576
2577 /* Now output the banner */
2578
2579 smtp_printf("%s", ss);
2580 return TRUE;
2581 }
2582
2583
2584
2585
2586
2587 /*************************************************
2588 *     Handle SMTP syntax and protocol errors     *
2589 *************************************************/
2590
2591 /* Write to the log for SMTP syntax errors in incoming commands, if configured
2592 to do so. Then transmit the error response. The return value depends on the
2593 number of syntax and protocol errors in this SMTP session.
2594
2595 Arguments:
2596   type      error type, given as a log flag bit
2597   code      response code; <= 0 means don't send a response
2598   data      data to reflect in the response (can be NULL)
2599   errmess   the error message
2600
2601 Returns:    -1   limit of syntax/protocol errors NOT exceeded
2602             +1   limit of syntax/protocol errors IS exceeded
2603
2604 These values fit in with the values of the "done" variable in the main
2605 processing loop in smtp_setup_msg(). */
2606
2607 static int
2608 synprot_error(int type, int code, uschar *data, uschar *errmess)
2609 {
2610 int yield = -1;
2611
2612 log_write(type, LOG_MAIN, "SMTP %s error in \"%s\" %s %s",
2613   (type == L_smtp_syntax_error)? "syntax" : "protocol",
2614   string_printing(smtp_cmd_buffer), host_and_ident(TRUE), errmess);
2615
2616 if (++synprot_error_count > smtp_max_synprot_errors)
2617   {
2618   yield = 1;
2619   log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
2620     "syntax or protocol errors (last command was \"%s\")",
2621     host_and_ident(FALSE), string_printing(smtp_cmd_buffer));
2622   }
2623
2624 if (code > 0)
2625   {
2626   smtp_printf("%d%c%s%s%s\r\n", code, (yield == 1)? '-' : ' ',
2627     (data == NULL)? US"" : data, (data == NULL)? US"" : US": ", errmess);
2628   if (yield == 1)
2629     smtp_printf("%d Too many syntax or protocol errors\r\n", code);
2630   }
2631
2632 return yield;
2633 }
2634
2635
2636
2637
2638 /*************************************************
2639 *          Log incomplete transactions           *
2640 *************************************************/
2641
2642 /* This function is called after a transaction has been aborted by RSET, QUIT,
2643 connection drops or other errors. It logs the envelope information received
2644 so far in order to preserve address verification attempts.
2645
2646 Argument:   string to indicate what aborted the transaction
2647 Returns:    nothing
2648 */
2649
2650 static void
2651 incomplete_transaction_log(uschar *what)
2652 {
2653 if (sender_address == NULL ||                 /* No transaction in progress */
2654     !LOGGING(smtp_incomplete_transaction))
2655   return;
2656
2657 /* Build list of recipients for logging */
2658
2659 if (recipients_count > 0)
2660   {
2661   int i;
2662   raw_recipients = store_get(recipients_count * sizeof(uschar *));
2663   for (i = 0; i < recipients_count; i++)
2664     raw_recipients[i] = recipients_list[i].address;
2665   raw_recipients_count = recipients_count;
2666   }
2667
2668 log_write(L_smtp_incomplete_transaction, LOG_MAIN|LOG_SENDER|LOG_RECIPIENTS,
2669   "%s incomplete transaction (%s)", host_and_ident(TRUE), what);
2670 }
2671
2672
2673
2674
2675 /*************************************************
2676 *    Send SMTP response, possibly multiline      *
2677 *************************************************/
2678
2679 /* There are, it seems, broken clients out there that cannot handle multiline
2680 responses. If no_multiline_responses is TRUE (it can be set from an ACL), we
2681 output nothing for non-final calls, and only the first line for anything else.
2682
2683 Arguments:
2684   code          SMTP code, may involve extended status codes
2685   codelen       length of smtp code; if > 4 there's an ESC
2686   final         FALSE if the last line isn't the final line
2687   msg           message text, possibly containing newlines
2688
2689 Returns:        nothing
2690 */
2691
2692 void
2693 smtp_respond(uschar* code, int codelen, BOOL final, uschar *msg)
2694 {
2695 int esclen = 0;
2696 uschar *esc = US"";
2697
2698 if (!final && no_multiline_responses) return;
2699
2700 if (codelen > 4)
2701   {
2702   esc = code + 4;
2703   esclen = codelen - 4;
2704   }
2705
2706 /* If this is the first output for a (non-batch) RCPT command, see if all RCPTs
2707 have had the same. Note: this code is also present in smtp_printf(). It would
2708 be tidier to have it only in one place, but when it was added, it was easier to
2709 do it that way, so as not to have to mess with the code for the RCPT command,
2710 which sometimes uses smtp_printf() and sometimes smtp_respond(). */
2711
2712 if (rcpt_in_progress)
2713   {
2714   if (rcpt_smtp_response == NULL)
2715     rcpt_smtp_response = string_copy(msg);
2716   else if (rcpt_smtp_response_same &&
2717            Ustrcmp(rcpt_smtp_response, msg) != 0)
2718     rcpt_smtp_response_same = FALSE;
2719   rcpt_in_progress = FALSE;
2720   }
2721
2722 /* Not output the message, splitting it up into multiple lines if necessary. */
2723
2724 for (;;)
2725   {
2726   uschar *nl = Ustrchr(msg, '\n');
2727   if (nl == NULL)
2728     {
2729     smtp_printf("%.3s%c%.*s%s\r\n", code, final? ' ':'-', esclen, esc, msg);
2730     return;
2731     }
2732   else if (nl[1] == 0 || no_multiline_responses)
2733     {
2734     smtp_printf("%.3s%c%.*s%.*s\r\n", code, final? ' ':'-', esclen, esc,
2735       (int)(nl - msg), msg);
2736     return;
2737     }
2738   else
2739     {
2740     smtp_printf("%.3s-%.*s%.*s\r\n", code, esclen, esc, (int)(nl - msg), msg);
2741     msg = nl + 1;
2742     while (isspace(*msg)) msg++;
2743     }
2744   }
2745 }
2746
2747
2748
2749
2750 /*************************************************
2751 *            Parse user SMTP message             *
2752 *************************************************/
2753
2754 /* This function allows for user messages overriding the response code details
2755 by providing a suitable response code string at the start of the message
2756 user_msg. Check the message for starting with a response code and optionally an
2757 extended status code. If found, check that the first digit is valid, and if so,
2758 change the code pointer and length to use the replacement. An invalid code
2759 causes a panic log; in this case, if the log messages is the same as the user
2760 message, we must also adjust the value of the log message to show the code that
2761 is actually going to be used (the original one).
2762
2763 This function is global because it is called from receive.c as well as within
2764 this module.
2765
2766 Note that the code length returned includes the terminating whitespace
2767 character, which is always included in the regex match.
2768
2769 Arguments:
2770   code          SMTP code, may involve extended status codes
2771   codelen       length of smtp code; if > 4 there's an ESC
2772   msg           message text
2773   log_msg       optional log message, to be adjusted with the new SMTP code
2774   check_valid   if true, verify the response code
2775
2776 Returns:        nothing
2777 */
2778
2779 void
2780 smtp_message_code(uschar **code, int *codelen, uschar **msg, uschar **log_msg,
2781   BOOL check_valid)
2782 {
2783 int n;
2784 int ovector[3];
2785
2786 if (!msg || !*msg) return;
2787
2788 if ((n = pcre_exec(regex_smtp_code, NULL, CS *msg, Ustrlen(*msg), 0,
2789   PCRE_EOPT, ovector, sizeof(ovector)/sizeof(int))) < 0) return;
2790
2791 if (check_valid && (*msg)[0] != (*code)[0])
2792   {
2793   log_write(0, LOG_MAIN|LOG_PANIC, "configured error code starts with "
2794     "incorrect digit (expected %c) in \"%s\"", (*code)[0], *msg);
2795   if (log_msg != NULL && *log_msg == *msg)
2796     *log_msg = string_sprintf("%s %s", *code, *log_msg + ovector[1]);
2797   }
2798 else
2799   {
2800   *code = *msg;
2801   *codelen = ovector[1];    /* Includes final space */
2802   }
2803 *msg += ovector[1];         /* Chop the code off the message */
2804 return;
2805 }
2806
2807
2808
2809
2810 /*************************************************
2811 *           Handle an ACL failure                *
2812 *************************************************/
2813
2814 /* This function is called when acl_check() fails. As well as calls from within
2815 this module, it is called from receive.c for an ACL after DATA. It sorts out
2816 logging the incident, and sets up the error response. A message containing
2817 newlines is turned into a multiline SMTP response, but for logging, only the
2818 first line is used.
2819
2820 There's a table of default permanent failure response codes to use in
2821 globals.c, along with the table of names. VFRY is special. Despite RFC1123 it
2822 defaults disabled in Exim. However, discussion in connection with RFC 821bis
2823 (aka RFC 2821) has concluded that the response should be 252 in the disabled
2824 state, because there are broken clients that try VRFY before RCPT. A 5xx
2825 response should be given only when the address is positively known to be
2826 undeliverable. Sigh. We return 252 if there is no VRFY ACL or it provides
2827 no explicit code, but if there is one we let it know best.
2828 Also, for ETRN, 458 is given on refusal, and for AUTH, 503.
2829
2830 From Exim 4.63, it is possible to override the response code details by
2831 providing a suitable response code string at the start of the message provided
2832 in user_msg. The code's first digit is checked for validity.
2833
2834 Arguments:
2835   where        where the ACL was called from
2836   rc           the failure code
2837   user_msg     a message that can be included in an SMTP response
2838   log_msg      a message for logging
2839
2840 Returns:     0 in most cases
2841              2 if the failure code was FAIL_DROP, in which case the
2842                SMTP connection should be dropped (this value fits with the
2843                "done" variable in smtp_setup_msg() below)
2844 */
2845
2846 int
2847 smtp_handle_acl_fail(int where, int rc, uschar *user_msg, uschar *log_msg)
2848 {
2849 BOOL drop = rc == FAIL_DROP;
2850 int codelen = 3;
2851 uschar *smtp_code;
2852 uschar *lognl;
2853 uschar *sender_info = US"";
2854 uschar *what =
2855 #ifdef WITH_CONTENT_SCAN
2856   (where == ACL_WHERE_MIME)? US"during MIME ACL checks" :
2857 #endif
2858   (where == ACL_WHERE_PREDATA)? US"DATA" :
2859   (where == ACL_WHERE_DATA)? US"after DATA" :
2860 #ifndef DISABLE_PRDR
2861   (where == ACL_WHERE_PRDR)? US"after DATA PRDR" :
2862 #endif
2863   (smtp_cmd_data == NULL)?
2864     string_sprintf("%s in \"connect\" ACL", acl_wherenames[where]) :
2865     string_sprintf("%s %s", acl_wherenames[where], smtp_cmd_data);
2866
2867 if (drop) rc = FAIL;
2868
2869 /* Set the default SMTP code, and allow a user message to change it. */
2870
2871 smtp_code = rc == FAIL ? acl_wherecodes[where] : US"451";
2872 smtp_message_code(&smtp_code, &codelen, &user_msg, &log_msg,
2873   where != ACL_WHERE_VRFY);
2874
2875 /* We used to have sender_address here; however, there was a bug that was not
2876 updating sender_address after a rewrite during a verify. When this bug was
2877 fixed, sender_address at this point became the rewritten address. I'm not sure
2878 this is what should be logged, so I've changed to logging the unrewritten
2879 address to retain backward compatibility. */
2880
2881 #ifndef WITH_CONTENT_SCAN
2882 if (where == ACL_WHERE_RCPT || where == ACL_WHERE_DATA)
2883 #else
2884 if (where == ACL_WHERE_RCPT || where == ACL_WHERE_DATA || where == ACL_WHERE_MIME)
2885 #endif
2886   {
2887   sender_info = string_sprintf("F=<%s>%s%s%s%s ",
2888     sender_address_unrewritten ? sender_address_unrewritten : sender_address,
2889     sender_host_authenticated ? US" A="                                    : US"",
2890     sender_host_authenticated ? sender_host_authenticated                  : US"",
2891     sender_host_authenticated && authenticated_id ? US":"                  : US"",
2892     sender_host_authenticated && authenticated_id ? authenticated_id       : US""
2893     );
2894   }
2895
2896 /* If there's been a sender verification failure with a specific message, and
2897 we have not sent a response about it yet, do so now, as a preliminary line for
2898 failures, but not defers. However, always log it for defer, and log it for fail
2899 unless the sender_verify_fail log selector has been turned off. */
2900
2901 if (sender_verified_failed != NULL &&
2902     !testflag(sender_verified_failed, af_sverify_told))
2903   {
2904   BOOL save_rcpt_in_progress = rcpt_in_progress;
2905   rcpt_in_progress = FALSE;  /* So as not to treat these as the error */
2906
2907   setflag(sender_verified_failed, af_sverify_told);
2908
2909   if (rc != FAIL || LOGGING(sender_verify_fail))
2910     log_write(0, LOG_MAIN|LOG_REJECT, "%s sender verify %s for <%s>%s",
2911       host_and_ident(TRUE),
2912       ((sender_verified_failed->special_action & 255) == DEFER)? "defer":"fail",
2913       sender_verified_failed->address,
2914       (sender_verified_failed->message == NULL)? US"" :
2915       string_sprintf(": %s", sender_verified_failed->message));
2916
2917   if (rc == FAIL && sender_verified_failed->user_message != NULL)
2918     smtp_respond(smtp_code, codelen, FALSE, string_sprintf(
2919         testflag(sender_verified_failed, af_verify_pmfail)?
2920           "Postmaster verification failed while checking <%s>\n%s\n"
2921           "Several RFCs state that you are required to have a postmaster\n"
2922           "mailbox for each mail domain. This host does not accept mail\n"
2923           "from domains whose servers reject the postmaster address."
2924           :
2925         testflag(sender_verified_failed, af_verify_nsfail)?
2926           "Callback setup failed while verifying <%s>\n%s\n"
2927           "The initial connection, or a HELO or MAIL FROM:<> command was\n"
2928           "rejected. Refusing MAIL FROM:<> does not help fight spam, disregards\n"
2929           "RFC requirements, and stops you from receiving standard bounce\n"
2930           "messages. This host does not accept mail from domains whose servers\n"
2931           "refuse bounces."
2932           :
2933           "Verification failed for <%s>\n%s",
2934         sender_verified_failed->address,
2935         sender_verified_failed->user_message));
2936
2937   rcpt_in_progress = save_rcpt_in_progress;
2938   }
2939
2940 /* Sort out text for logging */
2941
2942 log_msg = (log_msg == NULL)? US"" : string_sprintf(": %s", log_msg);
2943 lognl = Ustrchr(log_msg, '\n');
2944 if (lognl != NULL) *lognl = 0;
2945
2946 /* Send permanent failure response to the command, but the code used isn't
2947 always a 5xx one - see comments at the start of this function. If the original
2948 rc was FAIL_DROP we drop the connection and yield 2. */
2949
2950 if (rc == FAIL) smtp_respond(smtp_code, codelen, TRUE, (user_msg == NULL)?
2951   US"Administrative prohibition" : user_msg);
2952
2953 /* Send temporary failure response to the command. Don't give any details,
2954 unless acl_temp_details is set. This is TRUE for a callout defer, a "defer"
2955 verb, and for a header verify when smtp_return_error_details is set.
2956
2957 This conditional logic is all somewhat of a mess because of the odd
2958 interactions between temp_details and return_error_details. One day it should
2959 be re-implemented in a tidier fashion. */
2960
2961 else
2962   {
2963   if (acl_temp_details && user_msg != NULL)
2964     {
2965     if (smtp_return_error_details &&
2966         sender_verified_failed != NULL &&
2967         sender_verified_failed->message != NULL)
2968       {
2969       smtp_respond(smtp_code, codelen, FALSE, sender_verified_failed->message);
2970       }
2971     smtp_respond(smtp_code, codelen, TRUE, user_msg);
2972     }
2973   else
2974     smtp_respond(smtp_code, codelen, TRUE,
2975       US"Temporary local problem - please try later");
2976   }
2977
2978 /* Log the incident to the logs that are specified by log_reject_target
2979 (default main, reject). This can be empty to suppress logging of rejections. If
2980 the connection is not forcibly to be dropped, return 0. Otherwise, log why it
2981 is closing if required and return 2.  */
2982
2983 if (log_reject_target != 0)
2984   {
2985 #ifdef SUPPORT_TLS
2986   uschar * tls = s_tlslog(NULL, NULL, NULL);
2987   if (!tls) tls = US"";
2988 #else
2989   uschar * tls = US"";
2990 #endif
2991   log_write(0, log_reject_target, "%s%s%s %s%srejected %s%s",
2992     LOGGING(dnssec) && sender_host_dnssec ? US" DS" : US"",
2993     host_and_ident(TRUE),
2994     tls,
2995     sender_info,
2996     rc == FAIL ? US"" : US"temporarily ",
2997     what, log_msg);
2998   }
2999
3000 if (!drop) return 0;
3001
3002 log_write(L_smtp_connection, LOG_MAIN, "%s closed by DROP in ACL",
3003   smtp_get_connection_info());
3004
3005 /* Run the not-quit ACL, but without any custom messages. This should not be a
3006 problem, because we get here only if some other ACL has issued "drop", and
3007 in that case, *its* custom messages will have been used above. */
3008
3009 smtp_notquit_exit(US"acl-drop", NULL, NULL);
3010 return 2;
3011 }
3012
3013
3014
3015
3016 /*************************************************
3017 *     Handle SMTP exit when QUIT is not given    *
3018 *************************************************/
3019
3020 /* This function provides a logging/statistics hook for when an SMTP connection
3021 is dropped on the floor or the other end goes away. It's a global function
3022 because it's called from receive.c as well as this module. As well as running
3023 the NOTQUIT ACL, if there is one, this function also outputs a final SMTP
3024 response, either with a custom message from the ACL, or using a default. There
3025 is one case, however, when no message is output - after "drop". In that case,
3026 the ACL that obeyed "drop" has already supplied the custom message, and NULL is
3027 passed to this function.
3028
3029 In case things go wrong while processing this function, causing an error that
3030 may re-enter this funtion, there is a recursion check.
3031
3032 Arguments:
3033   reason          What $smtp_notquit_reason will be set to in the ACL;
3034                     if NULL, the ACL is not run
3035   code            The error code to return as part of the response
3036   defaultrespond  The default message if there's no user_msg
3037
3038 Returns:          Nothing
3039 */
3040
3041 void
3042 smtp_notquit_exit(uschar *reason, uschar *code, uschar *defaultrespond, ...)
3043 {
3044 int rc;
3045 uschar *user_msg = NULL;
3046 uschar *log_msg = NULL;
3047
3048 /* Check for recursive acll */
3049
3050 if (smtp_exit_function_called)
3051   {
3052   log_write(0, LOG_PANIC, "smtp_notquit_exit() called more than once (%s)",
3053     reason);
3054   return;
3055   }
3056 smtp_exit_function_called = TRUE;
3057
3058 /* Call the not-QUIT ACL, if there is one, unless no reason is given. */
3059
3060 if (acl_smtp_notquit && reason)
3061   {
3062   smtp_notquit_reason = reason;
3063   if ((rc = acl_check(ACL_WHERE_NOTQUIT, NULL, acl_smtp_notquit, &user_msg,
3064                       &log_msg)) == ERROR)
3065     log_write(0, LOG_MAIN|LOG_PANIC, "ACL for not-QUIT returned ERROR: %s",
3066       log_msg);
3067   }
3068
3069 /* Write an SMTP response if we are expected to give one. As the default
3070 responses are all internal, they should always fit in the buffer, but code a
3071 warning, just in case. Note that string_vformat() still leaves a complete
3072 string, even if it is incomplete. */
3073
3074 if (code && defaultrespond)
3075   {
3076   if (user_msg)
3077     smtp_respond(code, 3, TRUE, user_msg);
3078   else
3079     {
3080     uschar buffer[128];
3081     va_list ap;
3082     va_start(ap, defaultrespond);
3083     if (!string_vformat(buffer, sizeof(buffer), CS defaultrespond, ap))
3084       log_write(0, LOG_MAIN|LOG_PANIC, "string too large in smtp_notquit_exit()");
3085     smtp_printf("%s %s\r\n", code, buffer);
3086     va_end(ap);
3087     }
3088   mac_smtp_fflush();
3089   }
3090 }
3091
3092
3093
3094
3095 /*************************************************
3096 *             Verify HELO argument               *
3097 *************************************************/
3098
3099 /* This function is called if helo_verify_hosts or helo_try_verify_hosts is
3100 matched. It is also called from ACL processing if verify = helo is used and
3101 verification was not previously tried (i.e. helo_try_verify_hosts was not
3102 matched). The result of its processing is to set helo_verified and
3103 helo_verify_failed. These variables should both be FALSE for this function to
3104 be called.
3105
3106 Note that EHLO/HELO is legitimately allowed to quote an address literal. Allow
3107 for IPv6 ::ffff: literals.
3108
3109 Argument:   none
3110 Returns:    TRUE if testing was completed;
3111             FALSE on a temporary failure
3112 */
3113
3114 BOOL
3115 smtp_verify_helo(void)
3116 {
3117 BOOL yield = TRUE;
3118
3119 HDEBUG(D_receive) debug_printf("verifying EHLO/HELO argument \"%s\"\n",
3120   sender_helo_name);
3121
3122 if (sender_helo_name == NULL)
3123   {
3124   HDEBUG(D_receive) debug_printf("no EHLO/HELO command was issued\n");
3125   }
3126
3127 /* Deal with the case of -bs without an IP address */
3128
3129 else if (sender_host_address == NULL)
3130   {
3131   HDEBUG(D_receive) debug_printf("no client IP address: assume success\n");
3132   helo_verified = TRUE;
3133   }
3134
3135 /* Deal with the more common case when there is a sending IP address */
3136
3137 else if (sender_helo_name[0] == '[')
3138   {
3139   helo_verified = Ustrncmp(sender_helo_name+1, sender_host_address,
3140     Ustrlen(sender_host_address)) == 0;
3141
3142   #if HAVE_IPV6
3143   if (!helo_verified)
3144     {
3145     if (strncmpic(sender_host_address, US"::ffff:", 7) == 0)
3146       helo_verified = Ustrncmp(sender_helo_name + 1,
3147         sender_host_address + 7, Ustrlen(sender_host_address) - 7) == 0;
3148     }
3149   #endif
3150
3151   HDEBUG(D_receive)
3152     { if (helo_verified) debug_printf("matched host address\n"); }
3153   }
3154
3155 /* Do a reverse lookup if one hasn't already given a positive or negative
3156 response. If that fails, or the name doesn't match, try checking with a forward
3157 lookup. */
3158
3159 else
3160   {
3161   if (sender_host_name == NULL && !host_lookup_failed)
3162     yield = host_name_lookup() != DEFER;
3163
3164   /* If a host name is known, check it and all its aliases. */
3165
3166   if (sender_host_name)
3167     if ((helo_verified = strcmpic(sender_host_name, sender_helo_name) == 0))
3168       {
3169       sender_helo_dnssec = sender_host_dnssec;
3170       HDEBUG(D_receive) debug_printf("matched host name\n");
3171       }
3172     else
3173       {
3174       uschar **aliases = sender_host_aliases;
3175       while (*aliases)
3176         if ((helo_verified = strcmpic(*aliases++, sender_helo_name) == 0))
3177           {
3178           sender_helo_dnssec = sender_host_dnssec;
3179           break;
3180           }
3181
3182       HDEBUG(D_receive) if (helo_verified)
3183           debug_printf("matched alias %s\n", *(--aliases));
3184       }
3185
3186   /* Final attempt: try a forward lookup of the helo name */
3187
3188   if (!helo_verified)
3189     {
3190     int rc;
3191     host_item h;
3192     dnssec_domains d;
3193     host_item *hh;
3194
3195     h.name = sender_helo_name;
3196     h.address = NULL;
3197     h.mx = MX_NONE;
3198     h.next = NULL;
3199     d.request = US"*";
3200     d.require = US"";
3201
3202     HDEBUG(D_receive) debug_printf("getting IP address for %s\n",
3203       sender_helo_name);
3204     rc = host_find_bydns(&h, NULL, HOST_FIND_BY_A,
3205                           NULL, NULL, NULL, &d, NULL, NULL);
3206     if (rc == HOST_FOUND || rc == HOST_FOUND_LOCAL)
3207       for (hh = &h; hh; hh = hh->next)
3208         if (Ustrcmp(hh->address, sender_host_address) == 0)
3209           {
3210           helo_verified = TRUE;
3211           if (h.dnssec == DS_YES) sender_helo_dnssec = TRUE;
3212           HDEBUG(D_receive)
3213             {
3214             debug_printf("IP address for %s matches calling address\n"
3215               "Forward DNS security status: %sverified\n",
3216               sender_helo_name, sender_helo_dnssec ? "" : "un");
3217             }
3218           break;
3219           }
3220     }
3221   }
3222
3223 if (!helo_verified) helo_verify_failed = TRUE;  /* We've tried ... */
3224 return yield;
3225 }
3226
3227
3228
3229
3230 /*************************************************
3231 *        Send user response message              *
3232 *************************************************/
3233
3234 /* This function is passed a default response code and a user message. It calls
3235 smtp_message_code() to check and possibly modify the response code, and then
3236 calls smtp_respond() to transmit the response. I put this into a function
3237 just to avoid a lot of repetition.
3238
3239 Arguments:
3240   code         the response code
3241   user_msg     the user message
3242
3243 Returns:       nothing
3244 */
3245
3246 static void
3247 smtp_user_msg(uschar *code, uschar *user_msg)
3248 {
3249 int len = 3;
3250 smtp_message_code(&code, &len, &user_msg, NULL, TRUE);
3251 smtp_respond(code, len, TRUE, user_msg);
3252 }
3253
3254
3255
3256 static int
3257 smtp_in_auth(auth_instance *au, uschar ** s, uschar ** ss)
3258 {
3259 const uschar *set_id = NULL;
3260 int rc, i;
3261
3262 /* Run the checking code, passing the remainder of the command line as
3263 data. Initials the $auth<n> variables as empty. Initialize $0 empty and set
3264 it as the only set numerical variable. The authenticator may set $auth<n>
3265 and also set other numeric variables. The $auth<n> variables are preferred
3266 nowadays; the numerical variables remain for backwards compatibility.
3267
3268 Afterwards, have a go at expanding the set_id string, even if
3269 authentication failed - for bad passwords it can be useful to log the
3270 userid. On success, require set_id to expand and exist, and put it in
3271 authenticated_id. Save this in permanent store, as the working store gets
3272 reset at HELO, RSET, etc. */
3273
3274 for (i = 0; i < AUTH_VARS; i++) auth_vars[i] = NULL;
3275 expand_nmax = 0;
3276 expand_nlength[0] = 0;   /* $0 contains nothing */
3277
3278 rc = (au->info->servercode)(au, smtp_cmd_data);
3279 if (au->set_id) set_id = expand_string(au->set_id);
3280 expand_nmax = -1;        /* Reset numeric variables */
3281 for (i = 0; i < AUTH_VARS; i++) auth_vars[i] = NULL;   /* Reset $auth<n> */
3282
3283 /* The value of authenticated_id is stored in the spool file and printed in
3284 log lines. It must not contain binary zeros or newline characters. In
3285 normal use, it never will, but when playing around or testing, this error
3286 can (did) happen. To guard against this, ensure that the id contains only
3287 printing characters. */
3288
3289 if (set_id) set_id = string_printing(set_id);
3290
3291 /* For the non-OK cases, set up additional logging data if set_id
3292 is not empty. */
3293
3294 if (rc != OK)
3295   set_id = set_id && *set_id
3296     ? string_sprintf(" (set_id=%s)", set_id) : US"";
3297
3298 /* Switch on the result */
3299
3300 switch(rc)
3301   {
3302   case OK:
3303   if (!au->set_id || set_id)    /* Complete success */
3304     {
3305     if (set_id) authenticated_id = string_copy_malloc(set_id);
3306     sender_host_authenticated = au->name;
3307     authentication_failed = FALSE;
3308     authenticated_fail_id = NULL;   /* Impossible to already be set? */
3309
3310     received_protocol =
3311       (sender_host_address ? protocols : protocols_local)
3312         [pextend + pauthed + (tls_in.active >= 0 ? pcrpted:0)];
3313     *s = *ss = US"235 Authentication succeeded";
3314     authenticated_by = au;
3315     break;
3316     }
3317
3318   /* Authentication succeeded, but we failed to expand the set_id string.
3319   Treat this as a temporary error. */
3320
3321   auth_defer_msg = expand_string_message;
3322   /* Fall through */
3323
3324   case DEFER:
3325   if (set_id) authenticated_fail_id = string_copy_malloc(set_id);
3326   *s = string_sprintf("435 Unable to authenticate at present%s",
3327     auth_defer_user_msg);
3328   *ss = string_sprintf("435 Unable to authenticate at present%s: %s",
3329     set_id, auth_defer_msg);
3330   break;
3331
3332   case BAD64:
3333   *s = *ss = US"501 Invalid base64 data";
3334   break;
3335
3336   case CANCELLED:
3337   *s = *ss = US"501 Authentication cancelled";
3338   break;
3339
3340   case UNEXPECTED:
3341   *s = *ss = US"553 Initial data not expected";
3342   break;
3343
3344   case FAIL:
3345   if (set_id) authenticated_fail_id = string_copy_malloc(set_id);
3346   *s = US"535 Incorrect authentication data";
3347   *ss = string_sprintf("535 Incorrect authentication data%s", set_id);
3348   break;
3349
3350   default:
3351   if (set_id) authenticated_fail_id = string_copy_malloc(set_id);
3352   *s = US"435 Internal error";
3353   *ss = string_sprintf("435 Internal error%s: return %d from authentication "
3354     "check", set_id, rc);
3355   break;
3356   }
3357
3358 return rc;
3359 }
3360
3361
3362
3363
3364
3365 static int
3366 qualify_recipient(uschar ** recipient, uschar * smtp_cmd_data, uschar * tag)
3367 {
3368 int rd;
3369 if (allow_unqualified_recipient || strcmpic(*recipient, US"postmaster") == 0)
3370   {
3371   DEBUG(D_receive) debug_printf("unqualified address %s accepted\n",
3372     *recipient);
3373   rd = Ustrlen(recipient) + 1;
3374   *recipient = rewrite_address_qualify(*recipient, TRUE);
3375   return rd;
3376   }
3377 smtp_printf("501 %s: recipient address must contain a domain\r\n",
3378   smtp_cmd_data);
3379 log_write(L_smtp_syntax_error,
3380   LOG_MAIN|LOG_REJECT, "unqualified %s rejected: <%s> %s%s",
3381   tag, *recipient, host_and_ident(TRUE), host_lookup_msg);
3382 return 0;
3383 }
3384
3385
3386
3387
3388 static void
3389 smtp_quit_handler(uschar ** user_msgp, uschar ** log_msgp)
3390 {
3391 HAD(SCH_QUIT);
3392 incomplete_transaction_log(US"QUIT");
3393 if (acl_smtp_quit != NULL)
3394   {
3395   int rc = acl_check(ACL_WHERE_QUIT, NULL, acl_smtp_quit, user_msgp, log_msgp);
3396   if (rc == ERROR)
3397     log_write(0, LOG_MAIN|LOG_PANIC, "ACL for QUIT returned ERROR: %s",
3398       *log_msgp);
3399   }
3400 if (*user_msgp)
3401   smtp_respond(US"221", 3, TRUE, *user_msgp);
3402 else
3403   smtp_printf("221 %s closing connection\r\n", smtp_active_hostname);
3404
3405 #ifdef SUPPORT_TLS
3406 tls_close(TRUE, TRUE);
3407 #endif
3408
3409 log_write(L_smtp_connection, LOG_MAIN, "%s closed by QUIT",
3410   smtp_get_connection_info());
3411 }
3412
3413
3414 static void
3415 smtp_rset_handler(void)
3416 {
3417 HAD(SCH_RSET);
3418 incomplete_transaction_log(US"RSET");
3419 smtp_printf("250 Reset OK\r\n");
3420 cmd_list[CMD_LIST_RSET].is_mail_cmd = FALSE;
3421 }
3422
3423
3424
3425 /*************************************************
3426 *       Initialize for SMTP incoming message     *
3427 *************************************************/
3428
3429 /* This function conducts the initial dialogue at the start of an incoming SMTP
3430 message, and builds a list of recipients. However, if the incoming message
3431 is part of a batch (-bS option) a separate function is called since it would
3432 be messy having tests splattered about all over this function. This function
3433 therefore handles the case where interaction is occurring. The input and output
3434 files are set up in smtp_in and smtp_out.
3435
3436 The global recipients_list is set to point to a vector of recipient_item
3437 blocks, whose number is given by recipients_count. This is extended by the
3438 receive_add_recipient() function. The global variable sender_address is set to
3439 the sender's address. The yield is +1 if a message has been successfully
3440 started, 0 if a QUIT command was encountered or the connection was refused from
3441 the particular host, or -1 if the connection was lost.
3442
3443 Argument: none
3444
3445 Returns:  > 0 message successfully started (reached DATA)
3446           = 0 QUIT read or end of file reached or call refused
3447           < 0 lost connection
3448 */
3449
3450 int
3451 smtp_setup_msg(void)
3452 {
3453 int done = 0;
3454 BOOL toomany = FALSE;
3455 BOOL discarded = FALSE;
3456 BOOL last_was_rej_mail = FALSE;
3457 BOOL last_was_rcpt = FALSE;
3458 void *reset_point = store_get(0);
3459
3460 DEBUG(D_receive) debug_printf("smtp_setup_msg entered\n");
3461
3462 /* Reset for start of new message. We allow one RSET not to be counted as a
3463 nonmail command, for those MTAs that insist on sending it between every
3464 message. Ditto for EHLO/HELO and for STARTTLS, to allow for going in and out of
3465 TLS between messages (an Exim client may do this if it has messages queued up
3466 for the host). Note: we do NOT reset AUTH at this point. */
3467
3468 smtp_reset(reset_point);
3469 message_ended = END_NOTSTARTED;
3470
3471 chunking_state = chunking_offered ? CHUNKING_OFFERED : CHUNKING_NOT_OFFERED;
3472
3473 cmd_list[CMD_LIST_RSET].is_mail_cmd = TRUE;
3474 cmd_list[CMD_LIST_HELO].is_mail_cmd = TRUE;
3475 cmd_list[CMD_LIST_EHLO].is_mail_cmd = TRUE;
3476 #ifdef SUPPORT_TLS
3477 cmd_list[CMD_LIST_STARTTLS].is_mail_cmd = TRUE;
3478 cmd_list[CMD_LIST_TLS_AUTH].is_mail_cmd = TRUE;
3479 #endif
3480
3481 /* Set the local signal handler for SIGTERM - it tries to end off tidily */
3482
3483 os_non_restarting_signal(SIGTERM, command_sigterm_handler);
3484
3485 /* Batched SMTP is handled in a different function. */
3486
3487 if (smtp_batched_input) return smtp_setup_batch_msg();
3488
3489 /* Deal with SMTP commands. This loop is exited by setting done to a POSITIVE
3490 value. The values are 2 larger than the required yield of the function. */
3491
3492 while (done <= 0)
3493   {
3494   const uschar **argv;
3495   uschar *etrn_command;
3496   uschar *etrn_serialize_key;
3497   uschar *errmess;
3498   uschar *log_msg, *smtp_code;
3499   uschar *user_msg = NULL;
3500   uschar *recipient = NULL;
3501   uschar *hello = NULL;
3502   uschar *s, *ss;
3503   BOOL was_rej_mail = FALSE;
3504   BOOL was_rcpt = FALSE;
3505   void (*oldsignal)(int);
3506   pid_t pid;
3507   int start, end, sender_domain, recipient_domain;
3508   int ptr, size, rc;
3509   int c;
3510   auth_instance *au;
3511   uschar *orcpt = NULL;
3512   int flags;
3513
3514 #if defined(SUPPORT_TLS) && defined(AUTH_TLS)
3515   /* Check once per STARTTLS or SSL-on-connect for a TLS AUTH */
3516   if (  tls_in.active >= 0
3517      && tls_in.peercert
3518      && tls_in.certificate_verified
3519      && cmd_list[CMD_LIST_TLS_AUTH].is_mail_cmd
3520      )
3521     {
3522     cmd_list[CMD_LIST_TLS_AUTH].is_mail_cmd = FALSE;
3523     if (  acl_smtp_auth
3524        && (rc = acl_check(ACL_WHERE_AUTH, NULL, acl_smtp_auth,
3525                   &user_msg, &log_msg)) != OK
3526        )
3527       {
3528       done = smtp_handle_acl_fail(ACL_WHERE_AUTH, rc, user_msg, log_msg);
3529       continue;
3530       }
3531
3532     for (au = auths; au; au = au->next)
3533       if (strcmpic(US"tls", au->driver_name) == 0)
3534         {
3535         smtp_cmd_data = NULL;
3536
3537         if (smtp_in_auth(au, &s, &ss) == OK)
3538           { DEBUG(D_auth) debug_printf("tls auth succeeded\n"); }
3539         else
3540           { DEBUG(D_auth) debug_printf("tls auth not succeeded\n"); }
3541         break;
3542         }
3543     }
3544 #endif
3545
3546   switch(smtp_read_command(TRUE))
3547     {
3548     /* The AUTH command is not permitted to occur inside a transaction, and may
3549     occur successfully only once per connection. Actually, that isn't quite
3550     true. When TLS is started, all previous information about a connection must
3551     be discarded, so a new AUTH is permitted at that time.
3552
3553     AUTH may only be used when it has been advertised. However, it seems that
3554     there are clients that send AUTH when it hasn't been advertised, some of
3555     them even doing this after HELO. And there are MTAs that accept this. Sigh.
3556     So there's a get-out that allows this to happen.
3557
3558     AUTH is initially labelled as a "nonmail command" so that one occurrence
3559     doesn't get counted. We change the label here so that multiple failing
3560     AUTHS will eventually hit the nonmail threshold. */
3561
3562     case AUTH_CMD:
3563     HAD(SCH_AUTH);
3564     authentication_failed = TRUE;
3565     cmd_list[CMD_LIST_AUTH].is_mail_cmd = FALSE;
3566
3567     if (!auth_advertised && !allow_auth_unadvertised)
3568       {
3569       done = synprot_error(L_smtp_protocol_error, 503, NULL,
3570         US"AUTH command used when not advertised");
3571       break;
3572       }
3573     if (sender_host_authenticated)
3574       {
3575       done = synprot_error(L_smtp_protocol_error, 503, NULL,
3576         US"already authenticated");
3577       break;
3578       }
3579     if (sender_address)
3580       {
3581       done = synprot_error(L_smtp_protocol_error, 503, NULL,
3582         US"not permitted in mail transaction");
3583       break;
3584       }
3585
3586     /* Check the ACL */
3587
3588     if (  acl_smtp_auth
3589        && (rc = acl_check(ACL_WHERE_AUTH, NULL, acl_smtp_auth,
3590                   &user_msg, &log_msg)) != OK
3591        )
3592       {
3593       done = smtp_handle_acl_fail(ACL_WHERE_AUTH, rc, user_msg, log_msg);
3594       break;
3595       }
3596
3597     /* Find the name of the requested authentication mechanism. */
3598
3599     s = smtp_cmd_data;
3600     while ((c = *smtp_cmd_data) != 0 && !isspace(c))
3601       {
3602       if (!isalnum(c) && c != '-' && c != '_')
3603         {
3604         done = synprot_error(L_smtp_syntax_error, 501, NULL,
3605           US"invalid character in authentication mechanism name");
3606         goto COMMAND_LOOP;
3607         }
3608       smtp_cmd_data++;
3609       }
3610
3611     /* If not at the end of the line, we must be at white space. Terminate the
3612     name and move the pointer on to any data that may be present. */
3613
3614     if (*smtp_cmd_data != 0)
3615       {
3616       *smtp_cmd_data++ = 0;
3617       while (isspace(*smtp_cmd_data)) smtp_cmd_data++;
3618       }
3619
3620     /* Search for an authentication mechanism which is configured for use
3621     as a server and which has been advertised (unless, sigh, allow_auth_
3622     unadvertised is set). */
3623
3624     for (au = auths; au; au = au->next)
3625       if (strcmpic(s, au->public_name) == 0 && au->server &&
3626           (au->advertised || allow_auth_unadvertised))
3627         break;
3628
3629     if (au)
3630       {
3631       c = smtp_in_auth(au, &s, &ss);
3632
3633       smtp_printf("%s\r\n", s);
3634       if (c != OK)
3635         log_write(0, LOG_MAIN|LOG_REJECT, "%s authenticator failed for %s: %s",
3636           au->name, host_and_ident(FALSE), ss);
3637       }
3638     else
3639       done = synprot_error(L_smtp_protocol_error, 504, NULL,
3640         string_sprintf("%s authentication mechanism not supported", s));
3641
3642     break;  /* AUTH_CMD */
3643
3644     /* The HELO/EHLO commands are permitted to appear in the middle of a
3645     session as well as at the beginning. They have the effect of a reset in
3646     addition to their other functions. Their absence at the start cannot be
3647     taken to be an error.
3648
3649     RFC 2821 says:
3650
3651       If the EHLO command is not acceptable to the SMTP server, 501, 500,
3652       or 502 failure replies MUST be returned as appropriate.  The SMTP
3653       server MUST stay in the same state after transmitting these replies
3654       that it was in before the EHLO was received.
3655
3656     Therefore, we do not do the reset until after checking the command for
3657     acceptability. This change was made for Exim release 4.11. Previously
3658     it did the reset first. */
3659
3660     case HELO_CMD:
3661     HAD(SCH_HELO);
3662     hello = US"HELO";
3663     esmtp = FALSE;
3664     goto HELO_EHLO;
3665
3666     case EHLO_CMD:
3667     HAD(SCH_EHLO);
3668     hello = US"EHLO";
3669     esmtp = TRUE;
3670
3671     HELO_EHLO:      /* Common code for HELO and EHLO */
3672     cmd_list[CMD_LIST_HELO].is_mail_cmd = FALSE;
3673     cmd_list[CMD_LIST_EHLO].is_mail_cmd = FALSE;
3674
3675     /* Reject the HELO if its argument was invalid or non-existent. A
3676     successful check causes the argument to be saved in malloc store. */
3677
3678     if (!check_helo(smtp_cmd_data))
3679       {
3680       smtp_printf("501 Syntactically invalid %s argument(s)\r\n", hello);
3681
3682       log_write(0, LOG_MAIN|LOG_REJECT, "rejected %s from %s: syntactically "
3683         "invalid argument(s): %s", hello, host_and_ident(FALSE),
3684         (*smtp_cmd_argument == 0)? US"(no argument given)" :
3685                            string_printing(smtp_cmd_argument));
3686
3687       if (++synprot_error_count > smtp_max_synprot_errors)
3688         {
3689         log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
3690           "syntax or protocol errors (last command was \"%s\")",
3691           host_and_ident(FALSE), string_printing(smtp_cmd_buffer));
3692         done = 1;
3693         }
3694
3695       break;
3696       }
3697
3698     /* If sender_host_unknown is true, we have got here via the -bs interface,
3699     not called from inetd. Otherwise, we are running an IP connection and the
3700     host address will be set. If the helo name is the primary name of this
3701     host and we haven't done a reverse lookup, force one now. If helo_required
3702     is set, ensure that the HELO name matches the actual host. If helo_verify
3703     is set, do the same check, but softly. */
3704
3705     if (!sender_host_unknown)
3706       {
3707       BOOL old_helo_verified = helo_verified;
3708       uschar *p = smtp_cmd_data;
3709
3710       while (*p != 0 && !isspace(*p)) { *p = tolower(*p); p++; }
3711       *p = 0;
3712
3713       /* Force a reverse lookup if HELO quoted something in helo_lookup_domains
3714       because otherwise the log can be confusing. */
3715
3716       if (sender_host_name == NULL &&
3717            (deliver_domain = sender_helo_name,  /* set $domain */
3718             match_isinlist(sender_helo_name, CUSS &helo_lookup_domains, 0,
3719               &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL)) == OK)
3720         (void)host_name_lookup();
3721
3722       /* Rebuild the fullhost info to include the HELO name (and the real name
3723       if it was looked up.) */
3724
3725       host_build_sender_fullhost();  /* Rebuild */
3726       set_process_info("handling%s incoming connection from %s",
3727         (tls_in.active >= 0)? " TLS" : "", host_and_ident(FALSE));
3728
3729       /* Verify if configured. This doesn't give much security, but it does
3730       make some people happy to be able to do it. If helo_required is set,
3731       (host matches helo_verify_hosts) failure forces rejection. If helo_verify
3732       is set (host matches helo_try_verify_hosts), it does not. This is perhaps
3733       now obsolescent, since the verification can now be requested selectively
3734       at ACL time. */
3735
3736       helo_verified = helo_verify_failed = sender_helo_dnssec = FALSE;
3737       if (helo_required || helo_verify)
3738         {
3739         BOOL tempfail = !smtp_verify_helo();
3740         if (!helo_verified)
3741           {
3742           if (helo_required)
3743             {
3744             smtp_printf("%d %s argument does not match calling host\r\n",
3745               tempfail? 451 : 550, hello);
3746             log_write(0, LOG_MAIN|LOG_REJECT, "%srejected \"%s %s\" from %s",
3747               tempfail? "temporarily " : "",
3748               hello, sender_helo_name, host_and_ident(FALSE));
3749             helo_verified = old_helo_verified;
3750             break;                   /* End of HELO/EHLO processing */
3751             }
3752           HDEBUG(D_all) debug_printf("%s verification failed but host is in "
3753             "helo_try_verify_hosts\n", hello);
3754           }
3755         }
3756       }
3757
3758 #ifdef EXPERIMENTAL_SPF
3759     /* set up SPF context */
3760     spf_init(sender_helo_name, sender_host_address);
3761 #endif
3762
3763     /* Apply an ACL check if one is defined; afterwards, recheck
3764     synchronization in case the client started sending in a delay. */
3765
3766     if (acl_smtp_helo)
3767       if ((rc = acl_check(ACL_WHERE_HELO, NULL, acl_smtp_helo,
3768                 &user_msg, &log_msg)) != OK)
3769         {
3770         done = smtp_handle_acl_fail(ACL_WHERE_HELO, rc, user_msg, log_msg);
3771         sender_helo_name = NULL;
3772         host_build_sender_fullhost();  /* Rebuild */
3773         break;
3774         }
3775       else if (!check_sync()) goto SYNC_FAILURE;
3776
3777     /* Generate an OK reply. The default string includes the ident if present,
3778     and also the IP address if present. Reflecting back the ident is intended
3779     as a deterrent to mail forgers. For maximum efficiency, and also because
3780     some broken systems expect each response to be in a single packet, arrange
3781     that the entire reply is sent in one write(). */
3782
3783     auth_advertised = FALSE;
3784     pipelining_advertised = FALSE;
3785 #ifdef SUPPORT_TLS
3786     tls_advertised = FALSE;
3787 #endif
3788     dsn_advertised = FALSE;
3789 #ifdef SUPPORT_I18N
3790     smtputf8_advertised = FALSE;
3791 #endif
3792
3793     smtp_code = US"250 ";        /* Default response code plus space*/
3794     if (user_msg == NULL)
3795       {
3796       s = string_sprintf("%.3s %s Hello %s%s%s",
3797         smtp_code,
3798         smtp_active_hostname,
3799         (sender_ident == NULL)?  US"" : sender_ident,
3800         (sender_ident == NULL)?  US"" : US" at ",
3801         (sender_host_name == NULL)? sender_helo_name : sender_host_name);
3802
3803       ptr = Ustrlen(s);
3804       size = ptr + 1;
3805
3806       if (sender_host_address != NULL)
3807         {
3808         s = string_catn(s, &size, &ptr, US" [", 2);
3809         s = string_cat (s, &size, &ptr, sender_host_address);
3810         s = string_catn(s, &size, &ptr, US"]", 1);
3811         }
3812       }
3813
3814     /* A user-supplied EHLO greeting may not contain more than one line. Note
3815     that the code returned by smtp_message_code() includes the terminating
3816     whitespace character. */
3817
3818     else
3819       {
3820       char *ss;
3821       int codelen = 4;
3822       smtp_message_code(&smtp_code, &codelen, &user_msg, NULL, TRUE);
3823       s = string_sprintf("%.*s%s", codelen, smtp_code, user_msg);
3824       if ((ss = strpbrk(CS s, "\r\n")) != NULL)
3825         {
3826         log_write(0, LOG_MAIN|LOG_PANIC, "EHLO/HELO response must not contain "
3827           "newlines: message truncated: %s", string_printing(s));
3828         *ss = 0;
3829         }
3830       ptr = Ustrlen(s);
3831       size = ptr + 1;
3832       }
3833
3834     s = string_catn(s, &size, &ptr, US"\r\n", 2);
3835
3836     /* If we received EHLO, we must create a multiline response which includes
3837     the functions supported. */
3838
3839     if (esmtp)
3840       {
3841       s[3] = '-';
3842
3843       /* I'm not entirely happy with this, as an MTA is supposed to check
3844       that it has enough room to accept a message of maximum size before
3845       it sends this. However, there seems little point in not sending it.
3846       The actual size check happens later at MAIL FROM time. By postponing it
3847       till then, VRFY and EXPN can be used after EHLO when space is short. */
3848
3849       if (thismessage_size_limit > 0)
3850         {
3851         sprintf(CS big_buffer, "%.3s-SIZE %d\r\n", smtp_code,
3852           thismessage_size_limit);
3853         s = string_cat(s, &size, &ptr, big_buffer);
3854         }
3855       else
3856         {
3857         s = string_catn(s, &size, &ptr, smtp_code, 3);
3858         s = string_catn(s, &size, &ptr, US"-SIZE\r\n", 7);
3859         }
3860
3861       /* Exim does not do protocol conversion or data conversion. It is 8-bit
3862       clean; if it has an 8-bit character in its hand, it just sends it. It
3863       cannot therefore specify 8BITMIME and remain consistent with the RFCs.
3864       However, some users want this option simply in order to stop MUAs
3865       mangling messages that contain top-bit-set characters. It is therefore
3866       provided as an option. */
3867
3868       if (accept_8bitmime)
3869         {
3870         s = string_catn(s, &size, &ptr, smtp_code, 3);
3871         s = string_catn(s, &size, &ptr, US"-8BITMIME\r\n", 11);
3872         }
3873
3874       /* Advertise DSN support if configured to do so. */
3875       if (verify_check_host(&dsn_advertise_hosts) != FAIL)
3876         {
3877         s = string_catn(s, &size, &ptr, smtp_code, 3);
3878         s = string_catn(s, &size, &ptr, US"-DSN\r\n", 6);
3879         dsn_advertised = TRUE;
3880         }
3881
3882       /* Advertise ETRN if there's an ACL checking whether a host is
3883       permitted to issue it; a check is made when any host actually tries. */
3884
3885       if (acl_smtp_etrn != NULL)
3886         {
3887         s = string_catn(s, &size, &ptr, smtp_code, 3);
3888         s = string_catn(s, &size, &ptr, US"-ETRN\r\n", 7);
3889         }
3890
3891       /* Advertise EXPN if there's an ACL checking whether a host is
3892       permitted to issue it; a check is made when any host actually tries. */
3893
3894       if (acl_smtp_expn != NULL)
3895         {
3896         s = string_catn(s, &size, &ptr, smtp_code, 3);
3897         s = string_catn(s, &size, &ptr, US"-EXPN\r\n", 7);
3898         }
3899
3900       /* Exim is quite happy with pipelining, so let the other end know that
3901       it is safe to use it, unless advertising is disabled. */
3902
3903       if (pipelining_enable &&
3904           verify_check_host(&pipelining_advertise_hosts) == OK)
3905         {
3906         s = string_catn(s, &size, &ptr, smtp_code, 3);
3907         s = string_catn(s, &size, &ptr, US"-PIPELINING\r\n", 13);
3908         sync_cmd_limit = NON_SYNC_CMD_PIPELINING;
3909         pipelining_advertised = TRUE;
3910         }
3911
3912
3913       /* If any server authentication mechanisms are configured, advertise
3914       them if the current host is in auth_advertise_hosts. The problem with
3915       advertising always is that some clients then require users to
3916       authenticate (and aren't configurable otherwise) even though it may not
3917       be necessary (e.g. if the host is in host_accept_relay).
3918
3919       RFC 2222 states that SASL mechanism names contain only upper case
3920       letters, so output the names in upper case, though we actually recognize
3921       them in either case in the AUTH command. */
3922
3923       if (  auths
3924 #if defined(SUPPORT_TLS) && defined(AUTH_TLS)
3925          && !sender_host_authenticated
3926 #endif
3927          && verify_check_host(&auth_advertise_hosts) == OK
3928          )
3929         {
3930         auth_instance *au;
3931         BOOL first = TRUE;
3932         for (au = auths; au; au = au->next)
3933           if (au->server && (au->advertise_condition == NULL ||
3934               expand_check_condition(au->advertise_condition, au->name,
3935               US"authenticator")))
3936             {
3937             int saveptr;
3938             if (first)
3939               {
3940               s = string_catn(s, &size, &ptr, smtp_code, 3);
3941               s = string_catn(s, &size, &ptr, US"-AUTH", 5);
3942               first = FALSE;
3943               auth_advertised = TRUE;
3944               }
3945             saveptr = ptr;
3946             s = string_catn(s, &size, &ptr, US" ", 1);
3947             s = string_cat (s, &size, &ptr, au->public_name);
3948             while (++saveptr < ptr) s[saveptr] = toupper(s[saveptr]);
3949             au->advertised = TRUE;
3950             }
3951           else
3952             au->advertised = FALSE;
3953
3954         if (!first) s = string_catn(s, &size, &ptr, US"\r\n", 2);
3955         }
3956
3957       /* RFC 3030 CHUNKING */
3958
3959       if (verify_check_host(&chunking_advertise_hosts) != FAIL)
3960         {
3961         s = string_catn(s, &size, &ptr, smtp_code, 3);
3962         s = string_catn(s, &size, &ptr, US"-CHUNKING\r\n", 11);
3963         chunking_offered = TRUE;
3964         chunking_state = CHUNKING_OFFERED;
3965         }
3966
3967       /* Advertise TLS (Transport Level Security) aka SSL (Secure Socket Layer)
3968       if it has been included in the binary, and the host matches
3969       tls_advertise_hosts. We must *not* advertise if we are already in a
3970       secure connection. */
3971
3972 #ifdef SUPPORT_TLS
3973       if (tls_in.active < 0 &&
3974           verify_check_host(&tls_advertise_hosts) != FAIL)
3975         {
3976         s = string_catn(s, &size, &ptr, smtp_code, 3);
3977         s = string_catn(s, &size, &ptr, US"-STARTTLS\r\n", 11);
3978         tls_advertised = TRUE;
3979         }
3980 #endif
3981
3982 #ifndef DISABLE_PRDR
3983       /* Per Recipient Data Response, draft by Eric A. Hall extending RFC */
3984       if (prdr_enable)
3985         {
3986         s = string_catn(s, &size, &ptr, smtp_code, 3);
3987         s = string_catn(s, &size, &ptr, US"-PRDR\r\n", 7);
3988         }
3989 #endif
3990
3991 #ifdef SUPPORT_I18N
3992       if (  accept_8bitmime
3993          && verify_check_host(&smtputf8_advertise_hosts) != FAIL)
3994         {
3995         s = string_catn(s, &size, &ptr, smtp_code, 3);
3996         s = string_catn(s, &size, &ptr, US"-SMTPUTF8\r\n", 11);
3997         smtputf8_advertised = TRUE;
3998         }
3999 #endif
4000
4001       /* Finish off the multiline reply with one that is always available. */
4002
4003       s = string_catn(s, &size, &ptr, smtp_code, 3);
4004       s = string_catn(s, &size, &ptr, US" HELP\r\n", 7);
4005       }
4006
4007     /* Terminate the string (for debug), write it, and note that HELO/EHLO
4008     has been seen. */
4009
4010     s[ptr] = 0;
4011
4012 #ifdef SUPPORT_TLS
4013     if (tls_in.active >= 0) (void)tls_write(TRUE, s, ptr); else
4014 #endif
4015
4016       {
4017       int i = fwrite(s, 1, ptr, smtp_out); i = i; /* compiler quietening */
4018       }
4019     DEBUG(D_receive)
4020       {
4021       uschar *cr;
4022       while ((cr = Ustrchr(s, '\r')) != NULL)   /* lose CRs */
4023         memmove(cr, cr + 1, (ptr--) - (cr - s));
4024       debug_printf("SMTP>> %s", s);
4025       }
4026     helo_seen = TRUE;
4027
4028     /* Reset the protocol and the state, abandoning any previous message. */
4029     received_protocol =
4030       (sender_host_address ? protocols : protocols_local)
4031         [ (esmtp
4032           ? pextend + (sender_host_authenticated ? pauthed : 0)
4033           : pnormal)
4034         + (tls_in.active >= 0 ? pcrpted : 0)
4035         ];
4036     smtp_reset(reset_point);
4037     toomany = FALSE;
4038     break;   /* HELO/EHLO */
4039
4040
4041     /* The MAIL command requires an address as an operand. All we do
4042     here is to parse it for syntactic correctness. The form "<>" is
4043     a special case which converts into an empty string. The start/end
4044     pointers in the original are not used further for this address, as
4045     it is the canonical extracted address which is all that is kept. */
4046
4047     case MAIL_CMD:
4048     HAD(SCH_MAIL);
4049     smtp_mailcmd_count++;              /* Count for limit and ratelimit */
4050     was_rej_mail = TRUE;               /* Reset if accepted */
4051     env_mail_type_t * mail_args;       /* Sanity check & validate args */
4052
4053     if (helo_required && !helo_seen)
4054       {
4055       smtp_printf("503 HELO or EHLO required\r\n");
4056       log_write(0, LOG_MAIN|LOG_REJECT, "rejected MAIL from %s: no "
4057         "HELO/EHLO given", host_and_ident(FALSE));
4058       break;
4059       }
4060
4061     if (sender_address != NULL)
4062       {
4063       done = synprot_error(L_smtp_protocol_error, 503, NULL,
4064         US"sender already given");
4065       break;
4066       }
4067
4068     if (smtp_cmd_data[0] == 0)
4069       {
4070       done = synprot_error(L_smtp_protocol_error, 501, NULL,
4071         US"MAIL must have an address operand");
4072       break;
4073       }
4074
4075     /* Check to see if the limit for messages per connection would be
4076     exceeded by accepting further messages. */
4077
4078     if (smtp_accept_max_per_connection > 0 &&
4079         smtp_mailcmd_count > smtp_accept_max_per_connection)
4080       {
4081       smtp_printf("421 too many messages in this connection\r\n");
4082       log_write(0, LOG_MAIN|LOG_REJECT, "rejected MAIL command %s: too many "
4083         "messages in one connection", host_and_ident(TRUE));
4084       break;
4085       }
4086
4087     /* Reset for start of message - even if this is going to fail, we
4088     obviously need to throw away any previous data. */
4089
4090     smtp_reset(reset_point);
4091     toomany = FALSE;
4092     sender_data = recipient_data = NULL;
4093
4094     /* Loop, checking for ESMTP additions to the MAIL FROM command. */
4095
4096     if (esmtp) for(;;)
4097       {
4098       uschar *name, *value, *end;
4099       unsigned long int size;
4100       BOOL arg_error = FALSE;
4101
4102       if (!extract_option(&name, &value)) break;
4103
4104       for (mail_args = env_mail_type_list;
4105            mail_args->value != ENV_MAIL_OPT_NULL;
4106            mail_args++
4107           )
4108         if (strcmpic(name, mail_args->name) == 0)
4109           break;
4110       if (mail_args->need_value && strcmpic(value, US"") == 0)
4111         break;
4112
4113       switch(mail_args->value)
4114         {
4115         /* Handle SIZE= by reading the value. We don't do the check till later,
4116         in order to be able to log the sender address on failure. */
4117         case ENV_MAIL_OPT_SIZE:
4118           if (((size = Ustrtoul(value, &end, 10)), *end == 0))
4119             {
4120             if ((size == ULONG_MAX && errno == ERANGE) || size > INT_MAX)
4121               size = INT_MAX;
4122             message_size = (int)size;
4123             }
4124           else
4125             arg_error = TRUE;
4126           break;
4127
4128         /* If this session was initiated with EHLO and accept_8bitmime is set,
4129         Exim will have indicated that it supports the BODY=8BITMIME option. In
4130         fact, it does not support this according to the RFCs, in that it does not
4131         take any special action for forwarding messages containing 8-bit
4132         characters. That is why accept_8bitmime is not the default setting, but
4133         some sites want the action that is provided. We recognize both "8BITMIME"
4134         and "7BIT" as body types, but take no action. */
4135         case ENV_MAIL_OPT_BODY:
4136           if (accept_8bitmime) {
4137             if (strcmpic(value, US"8BITMIME") == 0)
4138               body_8bitmime = 8;
4139             else if (strcmpic(value, US"7BIT") == 0)
4140               body_8bitmime = 7;
4141             else
4142               {
4143               body_8bitmime = 0;
4144               done = synprot_error(L_smtp_syntax_error, 501, NULL,
4145                 US"invalid data for BODY");
4146               goto COMMAND_LOOP;
4147               }
4148             DEBUG(D_receive) debug_printf("8BITMIME: %d\n", body_8bitmime);
4149             break;
4150           }
4151           arg_error = TRUE;
4152           break;
4153
4154         /* Handle the two DSN options, but only if configured to do so (which
4155         will have caused "DSN" to be given in the EHLO response). The code itself
4156         is included only if configured in at build time. */
4157
4158         case ENV_MAIL_OPT_RET:
4159           if (dsn_advertised)
4160             {
4161             /* Check if RET has already been set */
4162             if (dsn_ret > 0)
4163               {
4164               synprot_error(L_smtp_syntax_error, 501, NULL,
4165                 US"RET can be specified once only");
4166               goto COMMAND_LOOP;
4167               }
4168             dsn_ret = strcmpic(value, US"HDRS") == 0
4169               ? dsn_ret_hdrs
4170               : strcmpic(value, US"FULL") == 0
4171               ? dsn_ret_full
4172               : 0;
4173             DEBUG(D_receive) debug_printf("DSN_RET: %d\n", dsn_ret);
4174             /* Check for invalid invalid value, and exit with error */
4175             if (dsn_ret == 0)
4176               {
4177               synprot_error(L_smtp_syntax_error, 501, NULL,
4178                 US"Value for RET is invalid");
4179               goto COMMAND_LOOP;
4180               }
4181             }
4182           break;
4183         case ENV_MAIL_OPT_ENVID:
4184           if (dsn_advertised)
4185             {
4186             /* Check if the dsn envid has been already set */
4187             if (dsn_envid != NULL)
4188               {
4189               synprot_error(L_smtp_syntax_error, 501, NULL,
4190                 US"ENVID can be specified once only");
4191               goto COMMAND_LOOP;
4192               }
4193             dsn_envid = string_copy(value);
4194             DEBUG(D_receive) debug_printf("DSN_ENVID: %s\n", dsn_envid);
4195             }
4196           break;
4197
4198         /* Handle the AUTH extension. If the value given is not "<>" and either
4199         the ACL says "yes" or there is no ACL but the sending host is
4200         authenticated, we set it up as the authenticated sender. However, if the
4201         authenticator set a condition to be tested, we ignore AUTH on MAIL unless
4202         the condition is met. The value of AUTH is an xtext, which means that +,
4203         = and cntrl chars are coded in hex; however "<>" is unaffected by this
4204         coding. */
4205         case ENV_MAIL_OPT_AUTH:
4206           if (Ustrcmp(value, "<>") != 0)
4207             {
4208             int rc;
4209             uschar *ignore_msg;
4210
4211             if (auth_xtextdecode(value, &authenticated_sender) < 0)
4212               {
4213               /* Put back terminator overrides for error message */
4214               value[-1] = '=';
4215               name[-1] = ' ';
4216               done = synprot_error(L_smtp_syntax_error, 501, NULL,
4217                 US"invalid data for AUTH");
4218               goto COMMAND_LOOP;
4219               }
4220             if (acl_smtp_mailauth == NULL)
4221               {
4222               ignore_msg = US"client not authenticated";
4223               rc = (sender_host_authenticated != NULL)? OK : FAIL;
4224               }
4225             else
4226               {
4227               ignore_msg = US"rejected by ACL";
4228               rc = acl_check(ACL_WHERE_MAILAUTH, NULL, acl_smtp_mailauth,
4229                 &user_msg, &log_msg);
4230               }
4231
4232             switch (rc)
4233               {
4234               case OK:
4235                 if (authenticated_by == NULL ||
4236                     authenticated_by->mail_auth_condition == NULL ||
4237                     expand_check_condition(authenticated_by->mail_auth_condition,
4238                         authenticated_by->name, US"authenticator"))
4239                   break;     /* Accept the AUTH */
4240
4241                 ignore_msg = US"server_mail_auth_condition failed";
4242                 if (authenticated_id != NULL)
4243                   ignore_msg = string_sprintf("%s: authenticated ID=\"%s\"",
4244                     ignore_msg, authenticated_id);
4245
4246               /* Fall through */
4247
4248               case FAIL:
4249                 authenticated_sender = NULL;
4250                 log_write(0, LOG_MAIN, "ignoring AUTH=%s from %s (%s)",
4251                   value, host_and_ident(TRUE), ignore_msg);
4252                 break;
4253
4254               /* Should only get DEFER or ERROR here. Put back terminator
4255               overrides for error message */
4256
4257               default:
4258                 value[-1] = '=';
4259                 name[-1] = ' ';
4260                 (void)smtp_handle_acl_fail(ACL_WHERE_MAILAUTH, rc, user_msg,
4261                   log_msg);
4262                 goto COMMAND_LOOP;
4263               }
4264             }
4265             break;
4266
4267 #ifndef DISABLE_PRDR
4268         case ENV_MAIL_OPT_PRDR:
4269           if (prdr_enable)
4270             prdr_requested = TRUE;
4271           break;
4272 #endif
4273
4274 #ifdef SUPPORT_I18N
4275         case ENV_MAIL_OPT_UTF8:
4276           if (smtputf8_advertised)
4277             {
4278             DEBUG(D_receive) debug_printf("smtputf8 requested\n");
4279             message_smtputf8 = allow_utf8_domains = TRUE;
4280             received_protocol = string_sprintf("utf8%s", received_protocol);
4281             }
4282           break;
4283 #endif
4284         /* No valid option. Stick back the terminator characters and break
4285         the loop.  Do the name-terminator second as extract_option sets
4286         value==name when it found no equal-sign.
4287         An error for a malformed address will occur. */
4288         case ENV_MAIL_OPT_NULL:
4289           value[-1] = '=';
4290           name[-1] = ' ';
4291           arg_error = TRUE;
4292           break;
4293
4294         default:  assert(0);
4295         }
4296       /* Break out of for loop if switch() had bad argument or
4297          when start of the email address is reached */
4298       if (arg_error) break;
4299       }
4300
4301     /* If we have passed the threshold for rate limiting, apply the current
4302     delay, and update it for next time, provided this is a limited host. */
4303
4304     if (smtp_mailcmd_count > smtp_rlm_threshold &&
4305         verify_check_host(&smtp_ratelimit_hosts) == OK)
4306       {
4307       DEBUG(D_receive) debug_printf("rate limit MAIL: delay %.3g sec\n",
4308         smtp_delay_mail/1000.0);
4309       millisleep((int)smtp_delay_mail);
4310       smtp_delay_mail *= smtp_rlm_factor;
4311       if (smtp_delay_mail > (double)smtp_rlm_limit)
4312         smtp_delay_mail = (double)smtp_rlm_limit;
4313       }
4314
4315     /* Now extract the address, first applying any SMTP-time rewriting. The
4316     TRUE flag allows "<>" as a sender address. */
4317
4318     raw_sender = rewrite_existflags & rewrite_smtp
4319       ? rewrite_one(smtp_cmd_data, rewrite_smtp, NULL, FALSE, US"",
4320                     global_rewrite_rules)
4321       : smtp_cmd_data;
4322
4323     raw_sender =
4324       parse_extract_address(raw_sender, &errmess, &start, &end, &sender_domain,
4325         TRUE);
4326
4327     if (!raw_sender)
4328       {
4329       done = synprot_error(L_smtp_syntax_error, 501, smtp_cmd_data, errmess);
4330       break;
4331       }
4332
4333     sender_address = raw_sender;
4334
4335     /* If there is a configured size limit for mail, check that this message
4336     doesn't exceed it. The check is postponed to this point so that the sender
4337     can be logged. */
4338
4339     if (thismessage_size_limit > 0 && message_size > thismessage_size_limit)
4340       {
4341       smtp_printf("552 Message size exceeds maximum permitted\r\n");
4342       log_write(L_size_reject,
4343           LOG_MAIN|LOG_REJECT, "rejected MAIL FROM:<%s> %s: "
4344           "message too big: size%s=%d max=%d",
4345           sender_address,
4346           host_and_ident(TRUE),
4347           (message_size == INT_MAX)? ">" : "",
4348           message_size,
4349           thismessage_size_limit);
4350       sender_address = NULL;
4351       break;
4352       }
4353
4354     /* Check there is enough space on the disk unless configured not to.
4355     When smtp_check_spool_space is set, the check is for thismessage_size_limit
4356     plus the current message - i.e. we accept the message only if it won't
4357     reduce the space below the threshold. Add 5000 to the size to allow for
4358     overheads such as the Received: line and storing of recipients, etc.
4359     By putting the check here, even when SIZE is not given, it allow VRFY
4360     and EXPN etc. to be used when space is short. */
4361
4362     if (!receive_check_fs(
4363          (smtp_check_spool_space && message_size >= 0)?
4364             message_size + 5000 : 0))
4365       {
4366       smtp_printf("452 Space shortage, please try later\r\n");
4367       sender_address = NULL;
4368       break;
4369       }
4370
4371     /* If sender_address is unqualified, reject it, unless this is a locally
4372     generated message, or the sending host or net is permitted to send
4373     unqualified addresses - typically local machines behaving as MUAs -
4374     in which case just qualify the address. The flag is set above at the start
4375     of the SMTP connection. */
4376
4377     if (sender_domain == 0 && sender_address[0] != 0)
4378       {
4379       if (allow_unqualified_sender)
4380         {
4381         sender_domain = Ustrlen(sender_address) + 1;
4382         sender_address = rewrite_address_qualify(sender_address, FALSE);
4383         DEBUG(D_receive) debug_printf("unqualified address %s accepted\n",
4384           raw_sender);
4385         }
4386       else
4387         {
4388         smtp_printf("501 %s: sender address must contain a domain\r\n",
4389           smtp_cmd_data);
4390         log_write(L_smtp_syntax_error,
4391           LOG_MAIN|LOG_REJECT,
4392           "unqualified sender rejected: <%s> %s%s",
4393           raw_sender,
4394           host_and_ident(TRUE),
4395           host_lookup_msg);
4396         sender_address = NULL;
4397         break;
4398         }
4399       }
4400
4401     /* Apply an ACL check if one is defined, before responding. Afterwards,
4402     when pipelining is not advertised, do another sync check in case the ACL
4403     delayed and the client started sending in the meantime. */
4404
4405     if (acl_smtp_mail)
4406       {
4407       rc = acl_check(ACL_WHERE_MAIL, NULL, acl_smtp_mail, &user_msg, &log_msg);
4408       if (rc == OK && !pipelining_advertised && !check_sync())
4409         goto SYNC_FAILURE;
4410       }
4411     else
4412       rc = OK;
4413
4414     if (rc == OK || rc == DISCARD)
4415       {
4416       if (!user_msg)
4417         smtp_printf("%s%s%s", US"250 OK",
4418                   #ifndef DISABLE_PRDR
4419                     prdr_requested ? US", PRDR Requested" : US"",
4420                   #else
4421                     US"",
4422                   #endif
4423                     US"\r\n");
4424       else
4425         {
4426       #ifndef DISABLE_PRDR
4427         if (prdr_requested)
4428            user_msg = string_sprintf("%s%s", user_msg, US", PRDR Requested");
4429       #endif
4430         smtp_user_msg(US"250", user_msg);
4431         }
4432       smtp_delay_rcpt = smtp_rlr_base;
4433       recipients_discarded = (rc == DISCARD);
4434       was_rej_mail = FALSE;
4435       }
4436     else
4437       {
4438       done = smtp_handle_acl_fail(ACL_WHERE_MAIL, rc, user_msg, log_msg);
4439       sender_address = NULL;
4440       }
4441     break;
4442
4443
4444     /* The RCPT command requires an address as an operand. There may be any
4445     number of RCPT commands, specifying multiple recipients. We build them all
4446     into a data structure. The start/end values given by parse_extract_address
4447     are not used, as we keep only the extracted address. */
4448
4449     case RCPT_CMD:
4450     HAD(SCH_RCPT);
4451     rcpt_count++;
4452     was_rcpt = rcpt_in_progress = TRUE;
4453
4454     /* There must be a sender address; if the sender was rejected and
4455     pipelining was advertised, we assume the client was pipelining, and do not
4456     count this as a protocol error. Reset was_rej_mail so that further RCPTs
4457     get the same treatment. */
4458
4459     if (sender_address == NULL)
4460       {
4461       if (pipelining_advertised && last_was_rej_mail)
4462         {
4463         smtp_printf("503 sender not yet given\r\n");
4464         was_rej_mail = TRUE;
4465         }
4466       else
4467         {
4468         done = synprot_error(L_smtp_protocol_error, 503, NULL,
4469           US"sender not yet given");
4470         was_rcpt = FALSE;             /* Not a valid RCPT */
4471         }
4472       rcpt_fail_count++;
4473       break;
4474       }
4475
4476     /* Check for an operand */
4477
4478     if (smtp_cmd_data[0] == 0)
4479       {
4480       done = synprot_error(L_smtp_syntax_error, 501, NULL,
4481         US"RCPT must have an address operand");
4482       rcpt_fail_count++;
4483       break;
4484       }
4485
4486     /* Set the DSN flags orcpt and dsn_flags from the session*/
4487     orcpt = NULL;
4488     flags = 0;
4489
4490     if (esmtp) for(;;)
4491       {
4492       uschar *name, *value;
4493
4494       if (!extract_option(&name, &value))
4495         break;
4496
4497       if (dsn_advertised && strcmpic(name, US"ORCPT") == 0)
4498         {
4499         /* Check whether orcpt has been already set */
4500         if (orcpt)
4501           {
4502           synprot_error(L_smtp_syntax_error, 501, NULL,
4503             US"ORCPT can be specified once only");
4504           goto COMMAND_LOOP;
4505           }
4506         orcpt = string_copy(value);
4507         DEBUG(D_receive) debug_printf("DSN orcpt: %s\n", orcpt);
4508         }
4509
4510       else if (dsn_advertised && strcmpic(name, US"NOTIFY") == 0)
4511         {
4512         /* Check if the notify flags have been already set */
4513         if (flags > 0)
4514           {
4515           synprot_error(L_smtp_syntax_error, 501, NULL,
4516               US"NOTIFY can be specified once only");
4517           goto COMMAND_LOOP;
4518           }
4519         if (strcmpic(value, US"NEVER") == 0)
4520           flags |= rf_notify_never;
4521         else
4522           {
4523           uschar *p = value;
4524           while (*p != 0)
4525             {
4526             uschar *pp = p;
4527             while (*pp != 0 && *pp != ',') pp++;
4528             if (*pp == ',') *pp++ = 0;
4529             if (strcmpic(p, US"SUCCESS") == 0)
4530               {
4531               DEBUG(D_receive) debug_printf("DSN: Setting notify success\n");
4532               flags |= rf_notify_success;
4533               }
4534             else if (strcmpic(p, US"FAILURE") == 0)
4535               {
4536               DEBUG(D_receive) debug_printf("DSN: Setting notify failure\n");
4537               flags |= rf_notify_failure;
4538               }
4539             else if (strcmpic(p, US"DELAY") == 0)
4540               {
4541               DEBUG(D_receive) debug_printf("DSN: Setting notify delay\n");
4542               flags |= rf_notify_delay;
4543               }
4544             else
4545               {
4546               /* Catch any strange values */
4547               synprot_error(L_smtp_syntax_error, 501, NULL,
4548                 US"Invalid value for NOTIFY parameter");
4549               goto COMMAND_LOOP;
4550               }
4551             p = pp;
4552             }
4553             DEBUG(D_receive) debug_printf("DSN Flags: %x\n", flags);
4554           }
4555         }
4556
4557       /* Unknown option. Stick back the terminator characters and break
4558       the loop. An error for a malformed address will occur. */
4559
4560       else
4561         {
4562         DEBUG(D_receive) debug_printf("Invalid RCPT option: %s : %s\n", name, value);
4563         name[-1] = ' ';
4564         value[-1] = '=';
4565         break;
4566         }
4567       }
4568
4569     /* Apply SMTP rewriting then extract the working address. Don't allow "<>"
4570     as a recipient address */
4571
4572     recipient = rewrite_existflags & rewrite_smtp
4573       ? rewrite_one(smtp_cmd_data, rewrite_smtp, NULL, FALSE, US"",
4574           global_rewrite_rules)
4575       : smtp_cmd_data;
4576
4577     if (!(recipient = parse_extract_address(recipient, &errmess, &start, &end,
4578       &recipient_domain, FALSE)))
4579       {
4580       done = synprot_error(L_smtp_syntax_error, 501, smtp_cmd_data, errmess);
4581       rcpt_fail_count++;
4582       break;
4583       }
4584
4585     /* If the recipient address is unqualified, reject it, unless this is a
4586     locally generated message. However, unqualified addresses are permitted
4587     from a configured list of hosts and nets - typically when behaving as
4588     MUAs rather than MTAs. Sad that SMTP is used for both types of traffic,
4589     really. The flag is set at the start of the SMTP connection.
4590
4591     RFC 1123 talks about supporting "the reserved mailbox postmaster"; I always
4592     assumed this meant "reserved local part", but the revision of RFC 821 and
4593     friends now makes it absolutely clear that it means *mailbox*. Consequently
4594     we must always qualify this address, regardless. */
4595
4596     if (recipient_domain == 0)
4597       if (!(recipient_domain = qualify_recipient(&recipient, smtp_cmd_data,
4598                                   US"recipient")))
4599         {
4600         rcpt_fail_count++;
4601         break;
4602         }
4603
4604     /* Check maximum allowed */
4605
4606     if (rcpt_count > recipients_max && recipients_max > 0)
4607       {
4608       if (recipients_max_reject)
4609         {
4610         rcpt_fail_count++;
4611         smtp_printf("552 too many recipients\r\n");
4612         if (!toomany)
4613           log_write(0, LOG_MAIN|LOG_REJECT, "too many recipients: message "
4614             "rejected: sender=<%s> %s", sender_address, host_and_ident(TRUE));
4615         }
4616       else
4617         {
4618         rcpt_defer_count++;
4619         smtp_printf("452 too many recipients\r\n");
4620         if (!toomany)
4621           log_write(0, LOG_MAIN|LOG_REJECT, "too many recipients: excess "
4622             "temporarily rejected: sender=<%s> %s", sender_address,
4623             host_and_ident(TRUE));
4624         }
4625
4626       toomany = TRUE;
4627       break;
4628       }
4629
4630     /* If we have passed the threshold for rate limiting, apply the current
4631     delay, and update it for next time, provided this is a limited host. */
4632
4633     if (rcpt_count > smtp_rlr_threshold &&
4634         verify_check_host(&smtp_ratelimit_hosts) == OK)
4635       {
4636       DEBUG(D_receive) debug_printf("rate limit RCPT: delay %.3g sec\n",
4637         smtp_delay_rcpt/1000.0);
4638       millisleep((int)smtp_delay_rcpt);
4639       smtp_delay_rcpt *= smtp_rlr_factor;
4640       if (smtp_delay_rcpt > (double)smtp_rlr_limit)
4641         smtp_delay_rcpt = (double)smtp_rlr_limit;
4642       }
4643
4644     /* If the MAIL ACL discarded all the recipients, we bypass ACL checking
4645     for them. Otherwise, check the access control list for this recipient. As
4646     there may be a delay in this, re-check for a synchronization error
4647     afterwards, unless pipelining was advertised. */
4648
4649     if (recipients_discarded) rc = DISCARD; else
4650       {
4651       rc = acl_check(ACL_WHERE_RCPT, recipient, acl_smtp_rcpt, &user_msg,
4652         &log_msg);
4653       if (rc == OK && !pipelining_advertised && !check_sync())
4654         goto SYNC_FAILURE;
4655       }
4656
4657     /* The ACL was happy */
4658
4659     if (rc == OK)
4660       {
4661       if (user_msg == NULL) smtp_printf("250 Accepted\r\n");
4662         else smtp_user_msg(US"250", user_msg);
4663       receive_add_recipient(recipient, -1);
4664
4665       /* Set the dsn flags in the recipients_list */
4666       recipients_list[recipients_count-1].orcpt = orcpt;
4667       recipients_list[recipients_count-1].dsn_flags = flags;
4668
4669       DEBUG(D_receive) debug_printf("DSN: orcpt: %s  flags: %d\n",
4670         recipients_list[recipients_count-1].orcpt,
4671         recipients_list[recipients_count-1].dsn_flags);
4672       }
4673
4674     /* The recipient was discarded */
4675
4676     else if (rc == DISCARD)
4677       {
4678       if (user_msg == NULL) smtp_printf("250 Accepted\r\n");
4679         else smtp_user_msg(US"250", user_msg);
4680       rcpt_fail_count++;
4681       discarded = TRUE;
4682       log_write(0, LOG_MAIN|LOG_REJECT, "%s F=<%s> RCPT %s: "
4683         "discarded by %s ACL%s%s", host_and_ident(TRUE),
4684         sender_address_unrewritten? sender_address_unrewritten : sender_address,
4685         smtp_cmd_argument, recipients_discarded? "MAIL" : "RCPT",
4686         log_msg ? US": " : US"", log_msg ? log_msg : US"");
4687       }
4688
4689     /* Either the ACL failed the address, or it was deferred. */
4690
4691     else
4692       {
4693       if (rc == FAIL) rcpt_fail_count++; else rcpt_defer_count++;
4694       done = smtp_handle_acl_fail(ACL_WHERE_RCPT, rc, user_msg, log_msg);
4695       }
4696     break;
4697
4698
4699     /* The DATA command is legal only if it follows successful MAIL FROM
4700     and RCPT TO commands. However, if pipelining is advertised, a bad DATA is
4701     not counted as a protocol error if it follows RCPT (which must have been
4702     rejected if there are no recipients.) This function is complete when a
4703     valid DATA command is encountered.
4704
4705     Note concerning the code used: RFC 2821 says this:
4706
4707      -  If there was no MAIL, or no RCPT, command, or all such commands
4708         were rejected, the server MAY return a "command out of sequence"
4709         (503) or "no valid recipients" (554) reply in response to the
4710         DATA command.
4711
4712     The example in the pipelining RFC 2920 uses 554, but I use 503 here
4713     because it is the same whether pipelining is in use or not.
4714
4715     If all the RCPT commands that precede DATA provoked the same error message
4716     (often indicating some kind of system error), it is helpful to include it
4717     with the DATA rejection (an idea suggested by Tony Finch). */
4718
4719     case BDAT_CMD:
4720     HAD(SCH_BDAT);
4721       {
4722       int n;
4723
4724       if (chunking_state != CHUNKING_OFFERED)
4725         {
4726         done = synprot_error(L_smtp_protocol_error, 503, NULL,
4727           US"BDAT command used when CHUNKING not advertised");
4728         break;
4729         }
4730
4731       /* grab size, endmarker */
4732
4733       if (sscanf(CS smtp_cmd_data, "%u %n", &chunking_datasize, &n) < 1)
4734         {
4735         done = synprot_error(L_smtp_protocol_error, 501, NULL,
4736           US"missing size for BDAT command");
4737         break;
4738         }
4739       chunking_state = strcmpic(smtp_cmd_data+n, US"LAST") == 0
4740         ? CHUNKING_LAST : CHUNKING_ACTIVE;
4741       chunking_data_left = chunking_datasize;
4742
4743       lwr_receive_getc = receive_getc;
4744       lwr_receive_ungetc = receive_ungetc;
4745       receive_getc = bdat_getc;
4746       receive_ungetc = bdat_ungetc;
4747
4748       DEBUG(D_any)
4749         debug_printf("chunking state %d\n", (int)chunking_state);
4750       goto DATA_BDAT;
4751       }
4752
4753     case DATA_CMD:
4754     HAD(SCH_DATA);
4755
4756     DATA_BDAT:          /* Common code for DATA and BDAT */
4757     if (!discarded && recipients_count <= 0)
4758       {
4759       if (rcpt_smtp_response_same && rcpt_smtp_response != NULL)
4760         {
4761         uschar *code = US"503";
4762         int len = Ustrlen(rcpt_smtp_response);
4763         smtp_respond(code, 3, FALSE, US"All RCPT commands were rejected with "
4764           "this error:");
4765         /* Responses from smtp_printf() will have \r\n on the end */
4766         if (len > 2 && rcpt_smtp_response[len-2] == '\r')
4767           rcpt_smtp_response[len-2] = 0;
4768         smtp_respond(code, 3, FALSE, rcpt_smtp_response);
4769         }
4770       if (pipelining_advertised && last_was_rcpt)
4771         smtp_printf("503 Valid RCPT command must precede %s\r\n",
4772           smtp_names[smtp_connection_had[smtp_ch_index-1]]);
4773       else
4774         done = synprot_error(L_smtp_protocol_error, 503, NULL,
4775           smtp_connection_had[smtp_ch_index-1] == SCH_DATA
4776           ? US"valid RCPT command must precede DATA"
4777           : US"valid RCPT command must precede BDAT");
4778       break;
4779       }
4780
4781     if (toomany && recipients_max_reject)
4782       {
4783       sender_address = NULL;  /* This will allow a new MAIL without RSET */
4784       sender_address_unrewritten = NULL;
4785       smtp_printf("554 Too many recipients\r\n");
4786       break;
4787       }
4788
4789     if (chunking_state > CHUNKING_OFFERED)
4790       {                         /* No predata ACL or go-ahead output for BDAT */
4791       rc = OK;
4792       }
4793     else
4794       {
4795       /* If there is an ACL, re-check the synchronization afterwards, since the
4796       ACL may have delayed.  To handle cutthrough delivery enforce a dummy call
4797       to get the DATA command sent. */
4798
4799       if (acl_smtp_predata == NULL && cutthrough.fd < 0)
4800         rc = OK;
4801       else
4802         {
4803         uschar * acl = acl_smtp_predata ? acl_smtp_predata : US"accept";
4804         enable_dollar_recipients = TRUE;
4805         rc = acl_check(ACL_WHERE_PREDATA, NULL, acl, &user_msg,
4806           &log_msg);
4807         enable_dollar_recipients = FALSE;
4808         if (rc == OK && !check_sync())
4809           goto SYNC_FAILURE;
4810
4811         if (rc != OK)
4812           {     /* Either the ACL failed the address, or it was deferred. */
4813           done = smtp_handle_acl_fail(ACL_WHERE_PREDATA, rc, user_msg, log_msg);
4814           break;
4815           }
4816         }
4817
4818       if (user_msg)
4819         smtp_user_msg(US"354", user_msg);
4820       else
4821         smtp_printf(
4822           "354 Enter message, ending with \".\" on a line by itself\r\n");
4823       }
4824
4825     done = 3;
4826     message_ended = END_NOTENDED;   /* Indicate in middle of data */
4827
4828     break;
4829
4830
4831     case VRFY_CMD:
4832       {
4833       uschar * address;
4834
4835       HAD(SCH_VRFY);
4836
4837       if (!(address = parse_extract_address(smtp_cmd_data, &errmess,
4838             &start, &end, &recipient_domain, FALSE)))
4839         {
4840         smtp_printf("501 %s\r\n", errmess);
4841         break;
4842         }
4843
4844       if (recipient_domain == 0)
4845         if (!(recipient_domain = qualify_recipient(&address, smtp_cmd_data,
4846                                     US"verify")))
4847           break;
4848
4849       if ((rc = acl_check(ACL_WHERE_VRFY, address, acl_smtp_vrfy,
4850                     &user_msg, &log_msg)) != OK)
4851         done = smtp_handle_acl_fail(ACL_WHERE_VRFY, rc, user_msg, log_msg);
4852       else
4853         {
4854         uschar * s = NULL;
4855         address_item * addr = deliver_make_addr(address, FALSE);
4856
4857         switch(verify_address(addr, NULL, vopt_is_recipient | vopt_qualify, -1,
4858                -1, -1, NULL, NULL, NULL))
4859           {
4860           case OK:
4861             s = string_sprintf("250 <%s> is deliverable", address);
4862             break;
4863
4864           case DEFER:
4865             s = (addr->user_message != NULL)?
4866               string_sprintf("451 <%s> %s", address, addr->user_message) :
4867               string_sprintf("451 Cannot resolve <%s> at this time", address);
4868             break;
4869
4870           case FAIL:
4871             s = (addr->user_message != NULL)?
4872               string_sprintf("550 <%s> %s", address, addr->user_message) :
4873               string_sprintf("550 <%s> is not deliverable", address);
4874             log_write(0, LOG_MAIN, "VRFY failed for %s %s",
4875               smtp_cmd_argument, host_and_ident(TRUE));
4876             break;
4877           }
4878
4879         smtp_printf("%s\r\n", s);
4880         }
4881       break;
4882       }
4883
4884
4885     case EXPN_CMD:
4886     HAD(SCH_EXPN);
4887     rc = acl_check(ACL_WHERE_EXPN, NULL, acl_smtp_expn, &user_msg, &log_msg);
4888     if (rc != OK)
4889       done = smtp_handle_acl_fail(ACL_WHERE_EXPN, rc, user_msg, log_msg);
4890     else
4891       {
4892       BOOL save_log_testing_mode = log_testing_mode;
4893       address_test_mode = log_testing_mode = TRUE;
4894       (void) verify_address(deliver_make_addr(smtp_cmd_data, FALSE),
4895         smtp_out, vopt_is_recipient | vopt_qualify | vopt_expn, -1, -1, -1,
4896         NULL, NULL, NULL);
4897       address_test_mode = FALSE;
4898       log_testing_mode = save_log_testing_mode;    /* true for -bh */
4899       }
4900     break;
4901
4902
4903     #ifdef SUPPORT_TLS
4904
4905     case STARTTLS_CMD:
4906     HAD(SCH_STARTTLS);
4907     if (!tls_advertised)
4908       {
4909       done = synprot_error(L_smtp_protocol_error, 503, NULL,
4910         US"STARTTLS command used when not advertised");
4911       break;
4912       }
4913
4914     /* Apply an ACL check if one is defined */
4915
4916     if (  acl_smtp_starttls
4917        && (rc = acl_check(ACL_WHERE_STARTTLS, NULL, acl_smtp_starttls,
4918                   &user_msg, &log_msg)) != OK
4919        )
4920       {
4921       done = smtp_handle_acl_fail(ACL_WHERE_STARTTLS, rc, user_msg, log_msg);
4922       break;
4923       }
4924
4925     /* RFC 2487 is not clear on when this command may be sent, though it
4926     does state that all information previously obtained from the client
4927     must be discarded if a TLS session is started. It seems reasonble to
4928     do an implied RSET when STARTTLS is received. */
4929
4930     incomplete_transaction_log(US"STARTTLS");
4931     smtp_reset(reset_point);
4932     toomany = FALSE;
4933     cmd_list[CMD_LIST_STARTTLS].is_mail_cmd = FALSE;
4934
4935     /* There's an attack where more data is read in past the STARTTLS command
4936     before TLS is negotiated, then assumed to be part of the secure session
4937     when used afterwards; we use segregated input buffers, so are not
4938     vulnerable, but we want to note when it happens and, for sheer paranoia,
4939     ensure that the buffer is "wiped".
4940     Pipelining sync checks will normally have protected us too, unless disabled
4941     by configuration. */
4942
4943     if (receive_smtp_buffered())
4944       {
4945       DEBUG(D_any)
4946         debug_printf("Non-empty input buffer after STARTTLS; naive attack?\n");
4947       if (tls_in.active < 0)
4948         smtp_inend = smtp_inptr = smtp_inbuffer;
4949       /* and if TLS is already active, tls_server_start() should fail */
4950       }
4951
4952     /* There is nothing we value in the input buffer and if TLS is succesfully
4953     negotiated, we won't use this buffer again; if TLS fails, we'll just read
4954     fresh content into it.  The buffer contains arbitrary content from an
4955     untrusted remote source; eg: NOOP <shellcode>\r\nSTARTTLS\r\n
4956     It seems safest to just wipe away the content rather than leave it as a
4957     target to jump to. */
4958
4959     memset(smtp_inbuffer, 0, in_buffer_size);
4960
4961     /* Attempt to start up a TLS session, and if successful, discard all
4962     knowledge that was obtained previously. At least, that's what the RFC says,
4963     and that's what happens by default. However, in order to work round YAEB,
4964     there is an option to remember the esmtp state. Sigh.
4965
4966     We must allow for an extra EHLO command and an extra AUTH command after
4967     STARTTLS that don't add to the nonmail command count. */
4968
4969     if ((rc = tls_server_start(tls_require_ciphers)) == OK)
4970       {
4971       if (!tls_remember_esmtp)
4972         helo_seen = esmtp = auth_advertised = pipelining_advertised = FALSE;
4973       cmd_list[CMD_LIST_EHLO].is_mail_cmd = TRUE;
4974       cmd_list[CMD_LIST_AUTH].is_mail_cmd = TRUE;
4975       cmd_list[CMD_LIST_TLS_AUTH].is_mail_cmd = TRUE;
4976       if (sender_helo_name != NULL)
4977         {
4978         store_free(sender_helo_name);
4979         sender_helo_name = NULL;
4980         host_build_sender_fullhost();  /* Rebuild */
4981         set_process_info("handling incoming TLS connection from %s",
4982           host_and_ident(FALSE));
4983         }
4984       received_protocol =
4985         (sender_host_address ? protocols : protocols_local)
4986           [ (esmtp
4987             ? pextend + (sender_host_authenticated ? pauthed : 0)
4988             : pnormal)
4989           + (tls_in.active >= 0 ? pcrpted : 0)
4990           ];
4991
4992       sender_host_authenticated = NULL;
4993       authenticated_id = NULL;
4994       sync_cmd_limit = NON_SYNC_CMD_NON_PIPELINING;
4995       DEBUG(D_tls) debug_printf("TLS active\n");
4996       break;     /* Successful STARTTLS */
4997       }
4998
4999     /* Some local configuration problem was discovered before actually trying
5000     to do a TLS handshake; give a temporary error. */
5001
5002     else if (rc == DEFER)
5003       {
5004       smtp_printf("454 TLS currently unavailable\r\n");
5005       break;
5006       }
5007
5008     /* Hard failure. Reject everything except QUIT or closed connection. One
5009     cause for failure is a nested STARTTLS, in which case tls_in.active remains
5010     set, but we must still reject all incoming commands. */
5011
5012     DEBUG(D_tls) debug_printf("TLS failed to start\n");
5013     while (done <= 0)
5014       {
5015       switch(smtp_read_command(FALSE))
5016         {
5017         case EOF_CMD:
5018         log_write(L_smtp_connection, LOG_MAIN, "%s closed by EOF",
5019           smtp_get_connection_info());
5020         smtp_notquit_exit(US"tls-failed", NULL, NULL);
5021         done = 2;
5022         break;
5023
5024         /* It is perhaps arguable as to which exit ACL should be called here,
5025         but as it is probably a situation that almost never arises, it
5026         probably doesn't matter. We choose to call the real QUIT ACL, which in
5027         some sense is perhaps "right". */
5028
5029         case QUIT_CMD:
5030         user_msg = NULL;
5031         if (acl_smtp_quit != NULL)
5032           {
5033           rc = acl_check(ACL_WHERE_QUIT, NULL, acl_smtp_quit, &user_msg,
5034             &log_msg);
5035           if (rc == ERROR)
5036             log_write(0, LOG_MAIN|LOG_PANIC, "ACL for QUIT returned ERROR: %s",
5037               log_msg);
5038           }
5039         if (user_msg == NULL)
5040           smtp_printf("221 %s closing connection\r\n", smtp_active_hostname);
5041         else
5042           smtp_respond(US"221", 3, TRUE, user_msg);
5043         log_write(L_smtp_connection, LOG_MAIN, "%s closed by QUIT",
5044           smtp_get_connection_info());
5045         done = 2;
5046         break;
5047
5048         default:
5049         smtp_printf("554 Security failure\r\n");
5050         break;
5051         }
5052       }
5053     tls_close(TRUE, TRUE);
5054     break;
5055     #endif
5056
5057
5058     /* The ACL for QUIT is provided for gathering statistical information or
5059     similar; it does not affect the response code, but it can supply a custom
5060     message. */
5061
5062     case QUIT_CMD:
5063     smtp_quit_handler(&user_msg, &log_msg);
5064     done = 2;
5065     break;
5066
5067
5068     case RSET_CMD:
5069     smtp_rset_handler();
5070     smtp_reset(reset_point);
5071     toomany = FALSE;
5072     break;
5073
5074
5075     case NOOP_CMD:
5076     HAD(SCH_NOOP);
5077     smtp_printf("250 OK\r\n");
5078     break;
5079
5080
5081     /* Show ETRN/EXPN/VRFY if there's an ACL for checking hosts; if actually
5082     used, a check will be done for permitted hosts. Show STARTTLS only if not
5083     already in a TLS session and if it would be advertised in the EHLO
5084     response. */
5085
5086     case HELP_CMD:
5087     HAD(SCH_HELP);
5088     smtp_printf("214-Commands supported:\r\n");
5089       {
5090       uschar buffer[256];
5091       buffer[0] = 0;
5092       Ustrcat(buffer, " AUTH");
5093       #ifdef SUPPORT_TLS
5094       if (tls_in.active < 0 &&
5095           verify_check_host(&tls_advertise_hosts) != FAIL)
5096         Ustrcat(buffer, " STARTTLS");
5097       #endif
5098       Ustrcat(buffer, " HELO EHLO MAIL RCPT DATA BDAT");
5099       Ustrcat(buffer, " NOOP QUIT RSET HELP");
5100       if (acl_smtp_etrn != NULL) Ustrcat(buffer, " ETRN");
5101       if (acl_smtp_expn != NULL) Ustrcat(buffer, " EXPN");
5102       if (acl_smtp_vrfy != NULL) Ustrcat(buffer, " VRFY");
5103       smtp_printf("214%s\r\n", buffer);
5104       }
5105     break;
5106
5107
5108     case EOF_CMD:
5109     incomplete_transaction_log(US"connection lost");
5110     smtp_notquit_exit(US"connection-lost", US"421",
5111       US"%s lost input connection", smtp_active_hostname);
5112
5113     /* Don't log by default unless in the middle of a message, as some mailers
5114     just drop the call rather than sending QUIT, and it clutters up the logs.
5115     */
5116
5117     if (sender_address != NULL || recipients_count > 0)
5118       log_write(L_lost_incoming_connection,
5119           LOG_MAIN,
5120           "unexpected %s while reading SMTP command from %s%s",
5121           sender_host_unknown? "EOF" : "disconnection",
5122           host_and_ident(FALSE), smtp_read_error);
5123
5124     else log_write(L_smtp_connection, LOG_MAIN, "%s lost%s",
5125       smtp_get_connection_info(), smtp_read_error);
5126
5127     done = 1;
5128     break;
5129
5130
5131     case ETRN_CMD:
5132     HAD(SCH_ETRN);
5133     if (sender_address != NULL)
5134       {
5135       done = synprot_error(L_smtp_protocol_error, 503, NULL,
5136         US"ETRN is not permitted inside a transaction");
5137       break;
5138       }
5139
5140     log_write(L_etrn, LOG_MAIN, "ETRN %s received from %s", smtp_cmd_argument,
5141       host_and_ident(FALSE));
5142
5143     if ((rc = acl_check(ACL_WHERE_ETRN, NULL, acl_smtp_etrn,
5144                 &user_msg, &log_msg)) != OK)
5145       {
5146       done = smtp_handle_acl_fail(ACL_WHERE_ETRN, rc, user_msg, log_msg);
5147       break;
5148       }
5149
5150     /* Compute the serialization key for this command. */
5151
5152     etrn_serialize_key = string_sprintf("etrn-%s\n", smtp_cmd_data);
5153
5154     /* If a command has been specified for running as a result of ETRN, we
5155     permit any argument to ETRN. If not, only the # standard form is permitted,
5156     since that is strictly the only kind of ETRN that can be implemented
5157     according to the RFC. */
5158
5159     if (smtp_etrn_command != NULL)
5160       {
5161       uschar *error;
5162       BOOL rc;
5163       etrn_command = smtp_etrn_command;
5164       deliver_domain = smtp_cmd_data;
5165       rc = transport_set_up_command(&argv, smtp_etrn_command, TRUE, 0, NULL,
5166         US"ETRN processing", &error);
5167       deliver_domain = NULL;
5168       if (!rc)
5169         {
5170         log_write(0, LOG_MAIN|LOG_PANIC, "failed to set up ETRN command: %s",
5171           error);
5172         smtp_printf("458 Internal failure\r\n");
5173         break;
5174         }
5175       }
5176
5177     /* Else set up to call Exim with the -R option. */
5178
5179     else
5180       {
5181       if (*smtp_cmd_data++ != '#')
5182         {
5183         done = synprot_error(L_smtp_syntax_error, 501, NULL,
5184           US"argument must begin with #");
5185         break;
5186         }
5187       etrn_command = US"exim -R";
5188       argv = CUSS child_exec_exim(CEE_RETURN_ARGV, TRUE, NULL, TRUE,
5189         *queue_name ? 4 : 2,
5190         US"-R", smtp_cmd_data,
5191         US"-MCG", queue_name);
5192       }
5193
5194     /* If we are host-testing, don't actually do anything. */
5195
5196     if (host_checking)
5197       {
5198       HDEBUG(D_any)
5199         {
5200         debug_printf("ETRN command is: %s\n", etrn_command);
5201         debug_printf("ETRN command execution skipped\n");
5202         }
5203       if (user_msg == NULL) smtp_printf("250 OK\r\n");
5204         else smtp_user_msg(US"250", user_msg);
5205       break;
5206       }
5207
5208
5209     /* If ETRN queue runs are to be serialized, check the database to
5210     ensure one isn't already running. */
5211
5212     if (smtp_etrn_serialize && !enq_start(etrn_serialize_key, 1))
5213       {
5214       smtp_printf("458 Already processing %s\r\n", smtp_cmd_data);
5215       break;
5216       }
5217
5218     /* Fork a child process and run the command. We don't want to have to
5219     wait for the process at any point, so set SIGCHLD to SIG_IGN before
5220     forking. It should be set that way anyway for external incoming SMTP,
5221     but we save and restore to be tidy. If serialization is required, we
5222     actually run the command in yet another process, so we can wait for it
5223     to complete and then remove the serialization lock. */
5224
5225     oldsignal = signal(SIGCHLD, SIG_IGN);
5226
5227     if ((pid = fork()) == 0)
5228       {
5229       smtp_input = FALSE;       /* This process is not associated with the */
5230       (void)fclose(smtp_in);    /* SMTP call any more. */
5231       (void)fclose(smtp_out);
5232
5233       signal(SIGCHLD, SIG_DFL);      /* Want to catch child */
5234
5235       /* If not serializing, do the exec right away. Otherwise, fork down
5236       into another process. */
5237
5238       if (!smtp_etrn_serialize || (pid = fork()) == 0)
5239         {
5240         DEBUG(D_exec) debug_print_argv(argv);
5241         exim_nullstd();                   /* Ensure std{in,out,err} exist */
5242         execv(CS argv[0], (char *const *)argv);
5243         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "exec of \"%s\" (ETRN) failed: %s",
5244           etrn_command, strerror(errno));
5245         _exit(EXIT_FAILURE);         /* paranoia */
5246         }
5247
5248       /* Obey this if smtp_serialize and the 2nd fork yielded non-zero. That
5249       is, we are in the first subprocess, after forking again. All we can do
5250       for a failing fork is to log it. Otherwise, wait for the 2nd process to
5251       complete, before removing the serialization. */
5252
5253       if (pid < 0)
5254         log_write(0, LOG_MAIN|LOG_PANIC, "2nd fork for serialized ETRN "
5255           "failed: %s", strerror(errno));
5256       else
5257         {
5258         int status;
5259         DEBUG(D_any) debug_printf("waiting for serialized ETRN process %d\n",
5260           (int)pid);
5261         (void)wait(&status);
5262         DEBUG(D_any) debug_printf("serialized ETRN process %d ended\n",
5263           (int)pid);
5264         }
5265
5266       enq_end(etrn_serialize_key);
5267       _exit(EXIT_SUCCESS);
5268       }
5269
5270     /* Back in the top level SMTP process. Check that we started a subprocess
5271     and restore the signal state. */
5272
5273     if (pid < 0)
5274       {
5275       log_write(0, LOG_MAIN|LOG_PANIC, "fork of process for ETRN failed: %s",
5276         strerror(errno));
5277       smtp_printf("458 Unable to fork process\r\n");
5278       if (smtp_etrn_serialize) enq_end(etrn_serialize_key);
5279       }
5280     else
5281       {
5282       if (user_msg == NULL) smtp_printf("250 OK\r\n");
5283         else smtp_user_msg(US"250", user_msg);
5284       }
5285
5286     signal(SIGCHLD, oldsignal);
5287     break;
5288
5289
5290     case BADARG_CMD:
5291     done = synprot_error(L_smtp_syntax_error, 501, NULL,
5292       US"unexpected argument data");
5293     break;
5294
5295
5296     /* This currently happens only for NULLs, but could be extended. */
5297
5298     case BADCHAR_CMD:
5299     done = synprot_error(L_smtp_syntax_error, 0, NULL,       /* Just logs */
5300       US"NULL character(s) present (shown as '?')");
5301     smtp_printf("501 NULL characters are not allowed in SMTP commands\r\n");
5302     break;
5303
5304
5305     case BADSYN_CMD:
5306     SYNC_FAILURE:
5307     if (smtp_inend >= smtp_inbuffer + in_buffer_size)
5308       smtp_inend = smtp_inbuffer + in_buffer_size - 1;
5309     c = smtp_inend - smtp_inptr;
5310     if (c > 150) c = 150;
5311     smtp_inptr[c] = 0;
5312     incomplete_transaction_log(US"sync failure");
5313     log_write(0, LOG_MAIN|LOG_REJECT, "SMTP protocol synchronization error "
5314       "(next input sent too soon: pipelining was%s advertised): "
5315       "rejected \"%s\" %s next input=\"%s\"",
5316       pipelining_advertised? "" : " not",
5317       smtp_cmd_buffer, host_and_ident(TRUE),
5318       string_printing(smtp_inptr));
5319     smtp_notquit_exit(US"synchronization-error", US"554",
5320       US"SMTP synchronization error");
5321     done = 1;   /* Pretend eof - drops connection */
5322     break;
5323
5324
5325     case TOO_MANY_NONMAIL_CMD:
5326     s = smtp_cmd_buffer;
5327     while (*s != 0 && !isspace(*s)) s++;
5328     incomplete_transaction_log(US"too many non-mail commands");
5329     log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
5330       "nonmail commands (last was \"%.*s\")",  host_and_ident(FALSE),
5331       (int)(s - smtp_cmd_buffer), smtp_cmd_buffer);
5332     smtp_notquit_exit(US"bad-commands", US"554", US"Too many nonmail commands");
5333     done = 1;   /* Pretend eof - drops connection */
5334     break;
5335
5336 #ifdef SUPPORT_PROXY
5337     case PROXY_FAIL_IGNORE_CMD:
5338     smtp_printf("503 Command refused, required Proxy negotiation failed\r\n");
5339     break;
5340 #endif
5341
5342     default:
5343     if (unknown_command_count++ >= smtp_max_unknown_commands)
5344       {
5345       log_write(L_smtp_syntax_error, LOG_MAIN,
5346         "SMTP syntax error in \"%s\" %s %s",
5347         string_printing(smtp_cmd_buffer), host_and_ident(TRUE),
5348         US"unrecognized command");
5349       incomplete_transaction_log(US"unrecognized command");
5350       smtp_notquit_exit(US"bad-commands", US"500",
5351         US"Too many unrecognized commands");
5352       done = 2;
5353       log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
5354         "unrecognized commands (last was \"%s\")", host_and_ident(FALSE),
5355         string_printing(smtp_cmd_buffer));
5356       }
5357     else
5358       done = synprot_error(L_smtp_syntax_error, 500, NULL,
5359         US"unrecognized command");
5360     break;
5361     }
5362
5363   /* This label is used by goto's inside loops that want to break out to
5364   the end of the command-processing loop. */
5365
5366   COMMAND_LOOP:
5367   last_was_rej_mail = was_rej_mail;     /* Remember some last commands for */
5368   last_was_rcpt = was_rcpt;             /* protocol error handling */
5369   continue;
5370   }
5371
5372 return done - 2;  /* Convert yield values */
5373 }
5374
5375 /* vi: aw ai sw=2
5376 */
5377 /* End of smtp_in.c */