Introduce EXPERIMENTAL_DANE feature
[exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2014 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* The main function: entry point, initialization, and high-level control.
10 Also a few functions that don't naturally fit elsewhere. */
11
12
13 #include "exim.h"
14
15 extern void init_lookup_list(void);
16
17
18
19 /*************************************************
20 *      Function interface to store functions     *
21 *************************************************/
22
23 /* We need some real functions to pass to the PCRE regular expression library
24 for store allocation via Exim's store manager. The normal calls are actually
25 macros that pass over location information to make tracing easier. These
26 functions just interface to the standard macro calls. A good compiler will
27 optimize out the tail recursion and so not make them too expensive. There
28 are two sets of functions; one for use when we want to retain the compiled
29 regular expression for a long time; the other for short-term use. */
30
31 static void *
32 function_store_get(size_t size)
33 {
34 return store_get((int)size);
35 }
36
37 static void
38 function_dummy_free(void *block) { block = block; }
39
40 static void *
41 function_store_malloc(size_t size)
42 {
43 return store_malloc((int)size);
44 }
45
46 static void
47 function_store_free(void *block)
48 {
49 store_free(block);
50 }
51
52
53
54
55 /*************************************************
56 *         Enums for cmdline interface            *
57 *************************************************/
58
59 enum commandline_info { CMDINFO_NONE=0,
60   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
61
62
63
64
65 /*************************************************
66 *  Compile regular expression and panic on fail  *
67 *************************************************/
68
69 /* This function is called when failure to compile a regular expression leads
70 to a panic exit. In other cases, pcre_compile() is called directly. In many
71 cases where this function is used, the results of the compilation are to be
72 placed in long-lived store, so we temporarily reset the store management
73 functions that PCRE uses if the use_malloc flag is set.
74
75 Argument:
76   pattern     the pattern to compile
77   caseless    TRUE if caseless matching is required
78   use_malloc  TRUE if compile into malloc store
79
80 Returns:      pointer to the compiled pattern
81 */
82
83 const pcre *
84 regex_must_compile(uschar *pattern, BOOL caseless, BOOL use_malloc)
85 {
86 int offset;
87 int options = PCRE_COPT;
88 const pcre *yield;
89 const uschar *error;
90 if (use_malloc)
91   {
92   pcre_malloc = function_store_malloc;
93   pcre_free = function_store_free;
94   }
95 if (caseless) options |= PCRE_CASELESS;
96 yield = pcre_compile(CS pattern, options, (const char **)&error, &offset, NULL);
97 pcre_malloc = function_store_get;
98 pcre_free = function_dummy_free;
99 if (yield == NULL)
100   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
101     "%s at offset %d while compiling %s", error, offset, pattern);
102 return yield;
103 }
104
105
106
107
108 /*************************************************
109 *   Execute regular expression and set strings   *
110 *************************************************/
111
112 /* This function runs a regular expression match, and sets up the pointers to
113 the matched substrings.
114
115 Arguments:
116   re          the compiled expression
117   subject     the subject string
118   options     additional PCRE options
119   setup       if < 0 do full setup
120               if >= 0 setup from setup+1 onwards,
121                 excluding the full matched string
122
123 Returns:      TRUE or FALSE
124 */
125
126 BOOL
127 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
128 {
129 int ovector[3*(EXPAND_MAXN+1)];
130 int n = pcre_exec(re, NULL, CS subject, Ustrlen(subject), 0,
131   PCRE_EOPT | options, ovector, sizeof(ovector)/sizeof(int));
132 BOOL yield = n >= 0;
133 if (n == 0) n = EXPAND_MAXN + 1;
134 if (yield)
135   {
136   int nn;
137   expand_nmax = (setup < 0)? 0 : setup + 1;
138   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
139     {
140     expand_nstring[expand_nmax] = subject + ovector[nn];
141     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
142     }
143   expand_nmax--;
144   }
145 return yield;
146 }
147
148
149
150
151 /*************************************************
152 *            Set up processing details           *
153 *************************************************/
154
155 /* Save a text string for dumping when SIGUSR1 is received.
156 Do checks for overruns.
157
158 Arguments: format and arguments, as for printf()
159 Returns:   nothing
160 */
161
162 void
163 set_process_info(const char *format, ...)
164 {
165 int len;
166 va_list ap;
167 sprintf(CS process_info, "%5d ", (int)getpid());
168 len = Ustrlen(process_info);
169 va_start(ap, format);
170 if (!string_vformat(process_info + len, PROCESS_INFO_SIZE - len - 2, format, ap))
171   Ustrcpy(process_info + len, "**** string overflowed buffer ****");
172 len = Ustrlen(process_info);
173 process_info[len+0] = '\n';
174 process_info[len+1] = '\0';
175 process_info_len = len + 1;
176 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
177 va_end(ap);
178 }
179
180
181
182
183 /*************************************************
184 *             Handler for SIGUSR1                *
185 *************************************************/
186
187 /* SIGUSR1 causes any exim process to write to the process log details of
188 what it is currently doing. It will only be used if the OS is capable of
189 setting up a handler that causes automatic restarting of any system call
190 that is in progress at the time.
191
192 This function takes care to be signal-safe.
193
194 Argument: the signal number (SIGUSR1)
195 Returns:  nothing
196 */
197
198 static void
199 usr1_handler(int sig)
200 {
201 int fd;
202
203 os_restarting_signal(sig, usr1_handler);
204
205 fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE);
206 if (fd < 0)
207   {
208   /* If we are already running as the Exim user, try to create it in the
209   current process (assuming spool_directory exists). Otherwise, if we are
210   root, do the creation in an exim:exim subprocess. */
211
212   int euid = geteuid();
213   if (euid == exim_uid)
214     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
215   else if (euid == root_uid)
216     fd = log_create_as_exim(process_log_path);
217   }
218
219 /* If we are neither exim nor root, or if we failed to create the log file,
220 give up. There is not much useful we can do with errors, since we don't want
221 to disrupt whatever is going on outside the signal handler. */
222
223 if (fd < 0) return;
224
225 {int dummy = write(fd, process_info, process_info_len); dummy = dummy; }
226 (void)close(fd);
227 }
228
229
230
231 /*************************************************
232 *             Timeout handler                    *
233 *************************************************/
234
235 /* This handler is enabled most of the time that Exim is running. The handler
236 doesn't actually get used unless alarm() has been called to set a timer, to
237 place a time limit on a system call of some kind. When the handler is run, it
238 re-enables itself.
239
240 There are some other SIGALRM handlers that are used in special cases when more
241 than just a flag setting is required; for example, when reading a message's
242 input. These are normally set up in the code module that uses them, and the
243 SIGALRM handler is reset to this one afterwards.
244
245 Argument: the signal value (SIGALRM)
246 Returns:  nothing
247 */
248
249 void
250 sigalrm_handler(int sig)
251 {
252 sig = sig;      /* Keep picky compilers happy */
253 sigalrm_seen = TRUE;
254 os_non_restarting_signal(SIGALRM, sigalrm_handler);
255 }
256
257
258
259 /*************************************************
260 *      Sleep for a fractional time interval      *
261 *************************************************/
262
263 /* This function is called by millisleep() and exim_wait_tick() to wait for a
264 period of time that may include a fraction of a second. The coding is somewhat
265 tedious. We do not expect setitimer() ever to fail, but if it does, the process
266 will wait for ever, so we panic in this instance. (There was a case of this
267 when a bug in a function that calls milliwait() caused it to pass invalid data.
268 That's when I added the check. :-)
269
270 We assume it to be not worth sleeping for under 100us; this value will
271 require revisiting as hardware advances.  This avoids the issue of
272 a zero-valued timer setting meaning "never fire".
273
274 Argument:  an itimerval structure containing the interval
275 Returns:   nothing
276 */
277
278 static void
279 milliwait(struct itimerval *itval)
280 {
281 sigset_t sigmask;
282 sigset_t old_sigmask;
283
284 if (itval->it_value.tv_usec < 100 && itval->it_value.tv_sec == 0)
285   return;
286 (void)sigemptyset(&sigmask);                           /* Empty mask */
287 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
288 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
289 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
290   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
291     "setitimer() failed: %s", strerror(errno));
292 (void)sigfillset(&sigmask);                            /* All signals */
293 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
294 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
295 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
296 }
297
298
299
300
301 /*************************************************
302 *         Millisecond sleep function             *
303 *************************************************/
304
305 /* The basic sleep() function has a granularity of 1 second, which is too rough
306 in some cases - for example, when using an increasing delay to slow down
307 spammers.
308
309 Argument:    number of millseconds
310 Returns:     nothing
311 */
312
313 void
314 millisleep(int msec)
315 {
316 struct itimerval itval;
317 itval.it_interval.tv_sec = 0;
318 itval.it_interval.tv_usec = 0;
319 itval.it_value.tv_sec = msec/1000;
320 itval.it_value.tv_usec = (msec % 1000) * 1000;
321 milliwait(&itval);
322 }
323
324
325
326 /*************************************************
327 *         Compare microsecond times              *
328 *************************************************/
329
330 /*
331 Arguments:
332   tv1         the first time
333   tv2         the second time
334
335 Returns:      -1, 0, or +1
336 */
337
338 int
339 exim_tvcmp(struct timeval *t1, struct timeval *t2)
340 {
341 if (t1->tv_sec > t2->tv_sec) return +1;
342 if (t1->tv_sec < t2->tv_sec) return -1;
343 if (t1->tv_usec > t2->tv_usec) return +1;
344 if (t1->tv_usec < t2->tv_usec) return -1;
345 return 0;
346 }
347
348
349
350
351 /*************************************************
352 *          Clock tick wait function              *
353 *************************************************/
354
355 /* Exim uses a time + a pid to generate a unique identifier in two places: its
356 message IDs, and in file names for maildir deliveries. Because some OS now
357 re-use pids within the same second, sub-second times are now being used.
358 However, for absolute certaintly, we must ensure the clock has ticked before
359 allowing the relevant process to complete. At the time of implementation of
360 this code (February 2003), the speed of processors is such that the clock will
361 invariably have ticked already by the time a process has done its job. This
362 function prepares for the time when things are faster - and it also copes with
363 clocks that go backwards.
364
365 Arguments:
366   then_tv      A timeval which was used to create uniqueness; its usec field
367                  has been rounded down to the value of the resolution.
368                  We want to be sure the current time is greater than this.
369   resolution   The resolution that was used to divide the microseconds
370                  (1 for maildir, larger for message ids)
371
372 Returns:       nothing
373 */
374
375 void
376 exim_wait_tick(struct timeval *then_tv, int resolution)
377 {
378 struct timeval now_tv;
379 long int now_true_usec;
380
381 (void)gettimeofday(&now_tv, NULL);
382 now_true_usec = now_tv.tv_usec;
383 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
384
385 if (exim_tvcmp(&now_tv, then_tv) <= 0)
386   {
387   struct itimerval itval;
388   itval.it_interval.tv_sec = 0;
389   itval.it_interval.tv_usec = 0;
390   itval.it_value.tv_sec = then_tv->tv_sec - now_tv.tv_sec;
391   itval.it_value.tv_usec = then_tv->tv_usec + resolution - now_true_usec;
392
393   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
394   negative value for the microseconds is possible only in the case when "now"
395   is more than a second less than "then". That means that itval.it_value.tv_sec
396   is greater than zero. The following correction is therefore safe. */
397
398   if (itval.it_value.tv_usec < 0)
399     {
400     itval.it_value.tv_usec += 1000000;
401     itval.it_value.tv_sec -= 1;
402     }
403
404   DEBUG(D_transport|D_receive)
405     {
406     if (!running_in_test_harness)
407       {
408       debug_printf("tick check: %lu.%06lu %lu.%06lu\n",
409         then_tv->tv_sec, (long) then_tv->tv_usec,
410         now_tv.tv_sec, (long) now_tv.tv_usec);
411       debug_printf("waiting %lu.%06lu\n", itval.it_value.tv_sec,
412         (long) itval.it_value.tv_usec);
413       }
414     }
415
416   milliwait(&itval);
417   }
418 }
419
420
421
422
423 /*************************************************
424 *   Call fopen() with umask 777 and adjust mode  *
425 *************************************************/
426
427 /* Exim runs with umask(0) so that files created with open() have the mode that
428 is specified in the open() call. However, there are some files, typically in
429 the spool directory, that are created with fopen(). They end up world-writeable
430 if no precautions are taken. Although the spool directory is not accessible to
431 the world, this is an untidiness. So this is a wrapper function for fopen()
432 that sorts out the mode of the created file.
433
434 Arguments:
435    filename       the file name
436    options        the fopen() options
437    mode           the required mode
438
439 Returns:          the fopened FILE or NULL
440 */
441
442 FILE *
443 modefopen(const uschar *filename, const char *options, mode_t mode)
444 {
445 mode_t saved_umask = umask(0777);
446 FILE *f = Ufopen(filename, options);
447 (void)umask(saved_umask);
448 if (f != NULL) (void)fchmod(fileno(f), mode);
449 return f;
450 }
451
452
453
454
455 /*************************************************
456 *   Ensure stdin, stdout, and stderr exist       *
457 *************************************************/
458
459 /* Some operating systems grumble if an exec() happens without a standard
460 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
461 file will be opened and will use these fd values, and then some other bit of
462 code will assume, for example, that it can write error messages to stderr.
463 This function ensures that fds 0, 1, and 2 are open if they do not already
464 exist, by connecting them to /dev/null.
465
466 This function is also used to ensure that std{in,out,err} exist at all times,
467 so that if any library that Exim calls tries to use them, it doesn't crash.
468
469 Arguments:  None
470 Returns:    Nothing
471 */
472
473 void
474 exim_nullstd(void)
475 {
476 int i;
477 int devnull = -1;
478 struct stat statbuf;
479 for (i = 0; i <= 2; i++)
480   {
481   if (fstat(i, &statbuf) < 0 && errno == EBADF)
482     {
483     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
484     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
485       string_open_failed(errno, "/dev/null"));
486     if (devnull != i) (void)dup2(devnull, i);
487     }
488   }
489 if (devnull > 2) (void)close(devnull);
490 }
491
492
493
494
495 /*************************************************
496 *   Close unwanted file descriptors for delivery *
497 *************************************************/
498
499 /* This function is called from a new process that has been forked to deliver
500 an incoming message, either directly, or using exec.
501
502 We want any smtp input streams to be closed in this new process. However, it
503 has been observed that using fclose() here causes trouble. When reading in -bS
504 input, duplicate copies of messages have been seen. The files will be sharing a
505 file pointer with the parent process, and it seems that fclose() (at least on
506 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
507 least sometimes. Hence we go for closing the underlying file descriptors.
508
509 If TLS is active, we want to shut down the TLS library, but without molesting
510 the parent's SSL connection.
511
512 For delivery of a non-SMTP message, we want to close stdin and stdout (and
513 stderr unless debugging) because the calling process might have set them up as
514 pipes and be waiting for them to close before it waits for the submission
515 process to terminate. If they aren't closed, they hold up the calling process
516 until the initial delivery process finishes, which is not what we want.
517
518 Exception: We do want it for synchronous delivery!
519
520 And notwithstanding all the above, if D_resolver is set, implying resolver
521 debugging, leave stdout open, because that's where the resolver writes its
522 debugging output.
523
524 When we close stderr (which implies we've also closed stdout), we also get rid
525 of any controlling terminal.
526
527 Arguments:   None
528 Returns:     Nothing
529 */
530
531 static void
532 close_unwanted(void)
533 {
534 if (smtp_input)
535   {
536   #ifdef SUPPORT_TLS
537   tls_close(TRUE, FALSE);      /* Shut down the TLS library */
538   #endif
539   (void)close(fileno(smtp_in));
540   (void)close(fileno(smtp_out));
541   smtp_in = NULL;
542   }
543 else
544   {
545   (void)close(0);                                          /* stdin */
546   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
547   if (debug_selector == 0)                                 /* stderr */
548     {
549     if (!synchronous_delivery)
550       {
551       (void)close(2);
552       log_stderr = NULL;
553       }
554     (void)setsid();
555     }
556   }
557 }
558
559
560
561
562 /*************************************************
563 *          Set uid and gid                       *
564 *************************************************/
565
566 /* This function sets a new uid and gid permanently, optionally calling
567 initgroups() to set auxiliary groups. There are some special cases when running
568 Exim in unprivileged modes. In these situations the effective uid will not be
569 root; if we already have the right effective uid/gid, and don't need to
570 initialize any groups, leave things as they are.
571
572 Arguments:
573   uid        the uid
574   gid        the gid
575   igflag     TRUE if initgroups() wanted
576   msg        text to use in debugging output and failure log
577
578 Returns:     nothing; bombs out on failure
579 */
580
581 void
582 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
583 {
584 uid_t euid = geteuid();
585 gid_t egid = getegid();
586
587 if (euid == root_uid || euid != uid || egid != gid || igflag)
588   {
589   /* At least one OS returns +1 for initgroups failure, so just check for
590   non-zero. */
591
592   if (igflag)
593     {
594     struct passwd *pw = getpwuid(uid);
595     if (pw != NULL)
596       {
597       if (initgroups(pw->pw_name, gid) != 0)
598         log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
599           (long int)uid, strerror(errno));
600       }
601     else log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
602       "no passwd entry for uid=%ld", (long int)uid);
603     }
604
605   if (setgid(gid) < 0 || setuid(uid) < 0)
606     {
607     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
608       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
609     }
610   }
611
612 /* Debugging output included uid/gid and all groups */
613
614 DEBUG(D_uid)
615   {
616   int group_count, save_errno;
617   gid_t group_list[NGROUPS_MAX];
618   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
619     (long int)geteuid(), (long int)getegid(), (long int)getpid());
620   group_count = getgroups(NGROUPS_MAX, group_list);
621   save_errno = errno;
622   debug_printf("  auxiliary group list:");
623   if (group_count > 0)
624     {
625     int i;
626     for (i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
627     }
628   else if (group_count < 0)
629     debug_printf(" <error: %s>", strerror(save_errno));
630   else debug_printf(" <none>");
631   debug_printf("\n");
632   }
633 }
634
635
636
637
638 /*************************************************
639 *               Exit point                       *
640 *************************************************/
641
642 /* Exim exits via this function so that it always clears up any open
643 databases.
644
645 Arguments:
646   rc         return code
647
648 Returns:     does not return
649 */
650
651 void
652 exim_exit(int rc)
653 {
654 search_tidyup();
655 DEBUG(D_any)
656   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d terminating with rc=%d "
657     ">>>>>>>>>>>>>>>>\n", (int)getpid(), rc);
658 exit(rc);
659 }
660
661
662
663
664 /*************************************************
665 *         Extract port from host address         *
666 *************************************************/
667
668 /* Called to extract the port from the values given to -oMa and -oMi.
669 It also checks the syntax of the address, and terminates it before the
670 port data when a port is extracted.
671
672 Argument:
673   address   the address, with possible port on the end
674
675 Returns:    the port, or zero if there isn't one
676             bombs out on a syntax error
677 */
678
679 static int
680 check_port(uschar *address)
681 {
682 int port = host_address_extract_port(address);
683 if (string_is_ip_address(address, NULL) == 0)
684   {
685   fprintf(stderr, "exim abandoned: \"%s\" is not an IP address\n", address);
686   exit(EXIT_FAILURE);
687   }
688 return port;
689 }
690
691
692
693 /*************************************************
694 *              Test/verify an address            *
695 *************************************************/
696
697 /* This function is called by the -bv and -bt code. It extracts a working
698 address from a full RFC 822 address. This isn't really necessary per se, but it
699 has the effect of collapsing source routes.
700
701 Arguments:
702   s            the address string
703   flags        flag bits for verify_address()
704   exit_value   to be set for failures
705
706 Returns:       nothing
707 */
708
709 static void
710 test_address(uschar *s, int flags, int *exit_value)
711 {
712 int start, end, domain;
713 uschar *parse_error = NULL;
714 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
715   FALSE);
716 if (address == NULL)
717   {
718   fprintf(stdout, "syntax error: %s\n", parse_error);
719   *exit_value = 2;
720   }
721 else
722   {
723   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
724     -1, -1, NULL, NULL, NULL);
725   if (rc == FAIL) *exit_value = 2;
726     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
727   }
728 }
729
730
731
732 /*************************************************
733 *          Show supported features               *
734 *************************************************/
735
736 /* This function is called for -bV/--version and for -d to output the optional
737 features of the current Exim binary.
738
739 Arguments:  a FILE for printing
740 Returns:    nothing
741 */
742
743 static void
744 show_whats_supported(FILE *f)
745 {
746   auth_info *authi;
747
748 #ifdef DB_VERSION_STRING
749 fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
750 #elif defined(BTREEVERSION) && defined(HASHVERSION)
751   #ifdef USE_DB
752   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
753   #else
754   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
755   #endif
756 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
757 fprintf(f, "Probably ndbm\n");
758 #elif defined(USE_TDB)
759 fprintf(f, "Using tdb\n");
760 #else
761   #ifdef USE_GDBM
762   fprintf(f, "Probably GDBM (native mode)\n");
763   #else
764   fprintf(f, "Probably GDBM (compatibility mode)\n");
765   #endif
766 #endif
767
768 fprintf(f, "Support for:");
769 #ifdef SUPPORT_CRYPTEQ
770   fprintf(f, " crypteq");
771 #endif
772 #if HAVE_ICONV
773   fprintf(f, " iconv()");
774 #endif
775 #if HAVE_IPV6
776   fprintf(f, " IPv6");
777 #endif
778 #ifdef HAVE_SETCLASSRESOURCES
779   fprintf(f, " use_setclassresources");
780 #endif
781 #ifdef SUPPORT_PAM
782   fprintf(f, " PAM");
783 #endif
784 #ifdef EXIM_PERL
785   fprintf(f, " Perl");
786 #endif
787 #ifdef EXPAND_DLFUNC
788   fprintf(f, " Expand_dlfunc");
789 #endif
790 #ifdef USE_TCP_WRAPPERS
791   fprintf(f, " TCPwrappers");
792 #endif
793 #ifdef SUPPORT_TLS
794   #ifdef USE_GNUTLS
795   fprintf(f, " GnuTLS");
796   #else
797   fprintf(f, " OpenSSL");
798   #endif
799 #endif
800 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
801   fprintf(f, " translate_ip_address");
802 #endif
803 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
804   fprintf(f, " move_frozen_messages");
805 #endif
806 #ifdef WITH_CONTENT_SCAN
807   fprintf(f, " Content_Scanning");
808 #endif
809 #ifndef DISABLE_DKIM
810   fprintf(f, " DKIM");
811 #endif
812 #ifdef WITH_OLD_DEMIME
813   fprintf(f, " Old_Demime");
814 #endif
815 #ifndef DISABLE_PRDR
816   fprintf(f, " PRDR");
817 #endif
818 #ifndef DISABLE_OCSP
819   fprintf(f, " OCSP");
820 #endif
821 #ifdef EXPERIMENTAL_SPF
822   fprintf(f, " Experimental_SPF");
823 #endif
824 #ifdef EXPERIMENTAL_SRS
825   fprintf(f, " Experimental_SRS");
826 #endif
827 #ifdef EXPERIMENTAL_BRIGHTMAIL
828   fprintf(f, " Experimental_Brightmail");
829 #endif
830 #ifdef EXPERIMENTAL_DANE
831   fprintf(f, " Experimental_DANE");
832 #endif
833 #ifdef EXPERIMENTAL_DCC
834   fprintf(f, " Experimental_DCC");
835 #endif
836 #ifdef EXPERIMENTAL_DMARC
837   fprintf(f, " Experimental_DMARC");
838 #endif
839 #ifdef EXPERIMENTAL_PROXY
840   fprintf(f, " Experimental_Proxy");
841 #endif
842 #ifdef EXPERIMENTAL_TPDA
843   fprintf(f, " Experimental_TPDA");
844 #endif
845 #ifdef EXPERIMENTAL_REDIS
846   fprintf(f, " Experimental_Redis");
847 #endif
848 #ifdef EXPERIMENTAL_CERTNAMES
849   fprintf(f, " Experimental_Certnames");
850 #endif
851 #ifdef EXPERIMENTAL_DSN
852   fprintf(f, " Experimental_DSN");
853 #endif
854 fprintf(f, "\n");
855
856 fprintf(f, "Lookups (built-in):");
857 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
858   fprintf(f, " lsearch wildlsearch nwildlsearch iplsearch");
859 #endif
860 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
861   fprintf(f, " cdb");
862 #endif
863 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
864   fprintf(f, " dbm dbmjz dbmnz");
865 #endif
866 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
867   fprintf(f, " dnsdb");
868 #endif
869 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
870   fprintf(f, " dsearch");
871 #endif
872 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
873   fprintf(f, " ibase");
874 #endif
875 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
876   fprintf(f, " ldap ldapdn ldapm");
877 #endif
878 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
879   fprintf(f, " mysql");
880 #endif
881 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
882   fprintf(f, " nis nis0");
883 #endif
884 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
885   fprintf(f, " nisplus");
886 #endif
887 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
888   fprintf(f, " oracle");
889 #endif
890 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
891   fprintf(f, " passwd");
892 #endif
893 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
894   fprintf(f, " pgsql");
895 #endif
896 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
897   fprintf(f, " sqlite");
898 #endif
899 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
900   fprintf(f, " testdb");
901 #endif
902 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
903   fprintf(f, " whoson");
904 #endif
905 fprintf(f, "\n");
906
907 fprintf(f, "Authenticators:");
908 #ifdef AUTH_CRAM_MD5
909   fprintf(f, " cram_md5");
910 #endif
911 #ifdef AUTH_CYRUS_SASL
912   fprintf(f, " cyrus_sasl");
913 #endif
914 #ifdef AUTH_DOVECOT
915   fprintf(f, " dovecot");
916 #endif
917 #ifdef AUTH_GSASL
918   fprintf(f, " gsasl");
919 #endif
920 #ifdef AUTH_HEIMDAL_GSSAPI
921   fprintf(f, " heimdal_gssapi");
922 #endif
923 #ifdef AUTH_PLAINTEXT
924   fprintf(f, " plaintext");
925 #endif
926 #ifdef AUTH_SPA
927   fprintf(f, " spa");
928 #endif
929 fprintf(f, "\n");
930
931 fprintf(f, "Routers:");
932 #ifdef ROUTER_ACCEPT
933   fprintf(f, " accept");
934 #endif
935 #ifdef ROUTER_DNSLOOKUP
936   fprintf(f, " dnslookup");
937 #endif
938 #ifdef ROUTER_IPLITERAL
939   fprintf(f, " ipliteral");
940 #endif
941 #ifdef ROUTER_IPLOOKUP
942   fprintf(f, " iplookup");
943 #endif
944 #ifdef ROUTER_MANUALROUTE
945   fprintf(f, " manualroute");
946 #endif
947 #ifdef ROUTER_QUERYPROGRAM
948   fprintf(f, " queryprogram");
949 #endif
950 #ifdef ROUTER_REDIRECT
951   fprintf(f, " redirect");
952 #endif
953 fprintf(f, "\n");
954
955 fprintf(f, "Transports:");
956 #ifdef TRANSPORT_APPENDFILE
957   fprintf(f, " appendfile");
958   #ifdef SUPPORT_MAILDIR
959     fprintf(f, "/maildir");
960   #endif
961   #ifdef SUPPORT_MAILSTORE
962     fprintf(f, "/mailstore");
963   #endif
964   #ifdef SUPPORT_MBX
965     fprintf(f, "/mbx");
966   #endif
967 #endif
968 #ifdef TRANSPORT_AUTOREPLY
969   fprintf(f, " autoreply");
970 #endif
971 #ifdef TRANSPORT_LMTP
972   fprintf(f, " lmtp");
973 #endif
974 #ifdef TRANSPORT_PIPE
975   fprintf(f, " pipe");
976 #endif
977 #ifdef TRANSPORT_SMTP
978   fprintf(f, " smtp");
979 #endif
980 fprintf(f, "\n");
981
982 if (fixed_never_users[0] > 0)
983   {
984   int i;
985   fprintf(f, "Fixed never_users: ");
986   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
987     fprintf(f, "%d:", (unsigned int)fixed_never_users[i]);
988   fprintf(f, "%d\n", (unsigned int)fixed_never_users[i]);
989   }
990
991 fprintf(f, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
992
993 /* Everything else is details which are only worth reporting when debugging.
994 Perhaps the tls_version_report should move into this too. */
995 DEBUG(D_any) do {
996
997   int i;
998
999 /* clang defines __GNUC__ (at least, for me) so test for it first */
1000 #if defined(__clang__)
1001   fprintf(f, "Compiler: CLang [%s]\n", __clang_version__);
1002 #elif defined(__GNUC__)
1003   fprintf(f, "Compiler: GCC [%s]\n",
1004 # ifdef __VERSION__
1005       __VERSION__
1006 # else
1007       "? unknown version ?"
1008 # endif
1009       );
1010 #else
1011   fprintf(f, "Compiler: <unknown>\n");
1012 #endif
1013
1014 #ifdef SUPPORT_TLS
1015   tls_version_report(f);
1016 #endif
1017
1018   for (authi = auths_available; *authi->driver_name != '\0'; ++authi) {
1019     if (authi->version_report) {
1020       (*authi->version_report)(f);
1021     }
1022   }
1023
1024   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1025   characters; unless it's an ancient version of PCRE in which case it
1026   is not defined. */
1027 #ifndef PCRE_PRERELEASE
1028 #define PCRE_PRERELEASE
1029 #endif
1030 #define QUOTE(X) #X
1031 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1032   fprintf(f, "Library version: PCRE: Compile: %d.%d%s\n"
1033              "                       Runtime: %s\n",
1034           PCRE_MAJOR, PCRE_MINOR,
1035           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1036           pcre_version());
1037 #undef QUOTE
1038 #undef EXPAND_AND_QUOTE
1039
1040   init_lookup_list();
1041   for (i = 0; i < lookup_list_count; i++)
1042     {
1043     if (lookup_list[i]->version_report)
1044       lookup_list[i]->version_report(f);
1045     }
1046
1047 #ifdef WHITELIST_D_MACROS
1048   fprintf(f, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1049 #else
1050   fprintf(f, "WHITELIST_D_MACROS unset\n");
1051 #endif
1052 #ifdef TRUSTED_CONFIG_LIST
1053   fprintf(f, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1054 #else
1055   fprintf(f, "TRUSTED_CONFIG_LIST unset\n");
1056 #endif
1057
1058 } while (0);
1059 }
1060
1061
1062 /*************************************************
1063 *     Show auxiliary information about Exim      *
1064 *************************************************/
1065
1066 static void
1067 show_exim_information(enum commandline_info request, FILE *stream)
1068 {
1069 const uschar **pp;
1070
1071 switch(request)
1072   {
1073   case CMDINFO_NONE:
1074     fprintf(stream, "Oops, something went wrong.\n");
1075     return;
1076   case CMDINFO_HELP:
1077     fprintf(stream,
1078 "The -bI: flag takes a string indicating which information to provide.\n"
1079 "If the string is not recognised, you'll get this help (on stderr).\n"
1080 "\n"
1081 "  exim -bI:help    this information\n"
1082 "  exim -bI:dscp    dscp value keywords known\n"
1083 "  exim -bI:sieve   list of supported sieve extensions, one per line.\n"
1084 );
1085     return;
1086   case CMDINFO_SIEVE:
1087     for (pp = exim_sieve_extension_list; *pp; ++pp)
1088       fprintf(stream, "%s\n", *pp);
1089     return;
1090   case CMDINFO_DSCP:
1091     dscp_list_to_stream(stream);
1092     return;
1093   }
1094 }
1095
1096
1097 /*************************************************
1098 *               Quote a local part               *
1099 *************************************************/
1100
1101 /* This function is used when a sender address or a From: or Sender: header
1102 line is being created from the caller's login, or from an authenticated_id. It
1103 applies appropriate quoting rules for a local part.
1104
1105 Argument:    the local part
1106 Returns:     the local part, quoted if necessary
1107 */
1108
1109 uschar *
1110 local_part_quote(uschar *lpart)
1111 {
1112 BOOL needs_quote = FALSE;
1113 int size, ptr;
1114 uschar *yield;
1115 uschar *t;
1116
1117 for (t = lpart; !needs_quote && *t != 0; t++)
1118   {
1119   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1120     (*t != '.' || t == lpart || t[1] == 0);
1121   }
1122
1123 if (!needs_quote) return lpart;
1124
1125 size = ptr = 0;
1126 yield = string_cat(NULL, &size, &ptr, US"\"", 1);
1127
1128 for (;;)
1129   {
1130   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1131   if (nq == NULL)
1132     {
1133     yield = string_cat(yield, &size, &ptr, lpart, Ustrlen(lpart));
1134     break;
1135     }
1136   yield = string_cat(yield, &size, &ptr, lpart, nq - lpart);
1137   yield = string_cat(yield, &size, &ptr, US"\\", 1);
1138   yield = string_cat(yield, &size, &ptr, nq, 1);
1139   lpart = nq + 1;
1140   }
1141
1142 yield = string_cat(yield, &size, &ptr, US"\"", 1);
1143 yield[ptr] = 0;
1144 return yield;
1145 }
1146
1147
1148
1149 #ifdef USE_READLINE
1150 /*************************************************
1151 *         Load readline() functions              *
1152 *************************************************/
1153
1154 /* This function is called from testing executions that read data from stdin,
1155 but only when running as the calling user. Currently, only -be does this. The
1156 function loads the readline() function library and passes back the functions.
1157 On some systems, it needs the curses library, so load that too, but try without
1158 it if loading fails. All this functionality has to be requested at build time.
1159
1160 Arguments:
1161   fn_readline_ptr   pointer to where to put the readline pointer
1162   fn_addhist_ptr    pointer to where to put the addhistory function
1163
1164 Returns:            the dlopen handle or NULL on failure
1165 */
1166
1167 static void *
1168 set_readline(char * (**fn_readline_ptr)(const char *),
1169              void   (**fn_addhist_ptr)(const char *))
1170 {
1171 void *dlhandle;
1172 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1173
1174 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1175 if (dlhandle_curses != NULL) dlclose(dlhandle_curses);
1176
1177 if (dlhandle != NULL)
1178   {
1179   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1180    *   char * readline (const char *prompt);
1181    *   void add_history (const char *string);
1182    */
1183   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1184   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1185   }
1186 else
1187   {
1188   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1189   }
1190
1191 return dlhandle;
1192 }
1193 #endif
1194
1195
1196
1197 /*************************************************
1198 *    Get a line from stdin for testing things    *
1199 *************************************************/
1200
1201 /* This function is called when running tests that can take a number of lines
1202 of input (for example, -be and -bt). It handles continuations and trailing
1203 spaces. And prompting and a blank line output on eof. If readline() is in use,
1204 the arguments are non-NULL and provide the relevant functions.
1205
1206 Arguments:
1207   fn_readline   readline function or NULL
1208   fn_addhist    addhist function or NULL
1209
1210 Returns:        pointer to dynamic memory, or NULL at end of file
1211 */
1212
1213 static uschar *
1214 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1215 {
1216 int i;
1217 int size = 0;
1218 int ptr = 0;
1219 uschar *yield = NULL;
1220
1221 if (fn_readline == NULL) { printf("> "); fflush(stdout); }
1222
1223 for (i = 0;; i++)
1224   {
1225   uschar buffer[1024];
1226   uschar *p, *ss;
1227
1228   #ifdef USE_READLINE
1229   char *readline_line = NULL;
1230   if (fn_readline != NULL)
1231     {
1232     if ((readline_line = fn_readline((i > 0)? "":"> ")) == NULL) break;
1233     if (*readline_line != 0 && fn_addhist != NULL) fn_addhist(readline_line);
1234     p = US readline_line;
1235     }
1236   else
1237   #endif
1238
1239   /* readline() not in use */
1240
1241     {
1242     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1243     p = buffer;
1244     }
1245
1246   /* Handle the line */
1247
1248   ss = p + (int)Ustrlen(p);
1249   while (ss > p && isspace(ss[-1])) ss--;
1250
1251   if (i > 0)
1252     {
1253     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1254     }
1255
1256   yield = string_cat(yield, &size, &ptr, p, ss - p);
1257
1258   #ifdef USE_READLINE
1259   if (fn_readline != NULL) free(readline_line);
1260   #endif
1261
1262   if (ss == p || yield[ptr-1] != '\\')
1263     {
1264     yield[ptr] = 0;
1265     break;
1266     }
1267   yield[--ptr] = 0;
1268   }
1269
1270 if (yield == NULL) printf("\n");
1271 return yield;
1272 }
1273
1274
1275
1276 /*************************************************
1277 *    Output usage information for the program    *
1278 *************************************************/
1279
1280 /* This function is called when there are no recipients
1281    or a specific --help argument was added.
1282
1283 Arguments:
1284   progname      information on what name we were called by
1285
1286 Returns:        DOES NOT RETURN
1287 */
1288
1289 static void
1290 exim_usage(uschar *progname)
1291 {
1292
1293 /* Handle specific program invocation varients */
1294 if (Ustrcmp(progname, US"-mailq") == 0)
1295   {
1296   fprintf(stderr,
1297     "mailq - list the contents of the mail queue\n\n"
1298     "For a list of options, see the Exim documentation.\n");
1299   exit(EXIT_FAILURE);
1300   }
1301
1302 /* Generic usage - we output this whatever happens */
1303 fprintf(stderr,
1304   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1305   "not directly from a shell command line. Options and/or arguments control\n"
1306   "what it does when called. For a list of options, see the Exim documentation.\n");
1307
1308 exit(EXIT_FAILURE);
1309 }
1310
1311
1312
1313 /*************************************************
1314 *    Validate that the macros given are okay     *
1315 *************************************************/
1316
1317 /* Typically, Exim will drop privileges if macros are supplied.  In some
1318 cases, we want to not do so.
1319
1320 Arguments:    none (macros is a global)
1321 Returns:      true if trusted, false otherwise
1322 */
1323
1324 static BOOL
1325 macros_trusted(void)
1326 {
1327 #ifdef WHITELIST_D_MACROS
1328 macro_item *m;
1329 uschar *whitelisted, *end, *p, **whites, **w;
1330 int white_count, i, n;
1331 size_t len;
1332 BOOL prev_char_item, found;
1333 #endif
1334
1335 if (macros == NULL)
1336   return TRUE;
1337 #ifndef WHITELIST_D_MACROS
1338 return FALSE;
1339 #else
1340
1341 /* We only trust -D overrides for some invoking users:
1342 root, the exim run-time user, the optional config owner user.
1343 I don't know why config-owner would be needed, but since they can own the
1344 config files anyway, there's no security risk to letting them override -D. */
1345 if ( ! ((real_uid == root_uid)
1346      || (real_uid == exim_uid)
1347 #ifdef CONFIGURE_OWNER
1348      || (real_uid == config_uid)
1349 #endif
1350    ))
1351   {
1352   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1353   return FALSE;
1354   }
1355
1356 /* Get a list of macros which are whitelisted */
1357 whitelisted = string_copy_malloc(US WHITELIST_D_MACROS);
1358 prev_char_item = FALSE;
1359 white_count = 0;
1360 for (p = whitelisted; *p != '\0'; ++p)
1361   {
1362   if (*p == ':' || isspace(*p))
1363     {
1364     *p = '\0';
1365     if (prev_char_item)
1366       ++white_count;
1367     prev_char_item = FALSE;
1368     continue;
1369     }
1370   if (!prev_char_item)
1371     prev_char_item = TRUE;
1372   }
1373 end = p;
1374 if (prev_char_item)
1375   ++white_count;
1376 if (!white_count)
1377   return FALSE;
1378 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1379 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1380   {
1381   if (*p != '\0')
1382     {
1383     whites[i++] = p;
1384     if (i == white_count)
1385       break;
1386     while (*p != '\0' && p < end)
1387       ++p;
1388     }
1389   }
1390 whites[i] = NULL;
1391
1392 /* The list of macros should be very short.  Accept the N*M complexity. */
1393 for (m = macros; m != NULL; m = m->next)
1394   {
1395   found = FALSE;
1396   for (w = whites; *w; ++w)
1397     if (Ustrcmp(*w, m->name) == 0)
1398       {
1399       found = TRUE;
1400       break;
1401       }
1402   if (!found)
1403     return FALSE;
1404   if (m->replacement == NULL)
1405     continue;
1406   len = Ustrlen(m->replacement);
1407   if (len == 0)
1408     continue;
1409   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1410    0, PCRE_EOPT, NULL, 0);
1411   if (n < 0)
1412     {
1413     if (n != PCRE_ERROR_NOMATCH)
1414       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1415     return FALSE;
1416     }
1417   }
1418 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1419 return TRUE;
1420 #endif
1421 }
1422
1423
1424 /*************************************************
1425 *          Entry point and high-level code       *
1426 *************************************************/
1427
1428 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1429 the appropriate action. All the necessary functions are present in the one
1430 binary. I originally thought one should split it up, but it turns out that so
1431 much of the apparatus is needed in each chunk that one might as well just have
1432 it all available all the time, which then makes the coding easier as well.
1433
1434 Arguments:
1435   argc      count of entries in argv
1436   argv      argument strings, with argv[0] being the program name
1437
1438 Returns:    EXIT_SUCCESS if terminated successfully
1439             EXIT_FAILURE otherwise, except when a message has been sent
1440               to the sender, and -oee was given
1441 */
1442
1443 int
1444 main(int argc, char **cargv)
1445 {
1446 uschar **argv = USS cargv;
1447 int  arg_receive_timeout = -1;
1448 int  arg_smtp_receive_timeout = -1;
1449 int  arg_error_handling = error_handling;
1450 int  filter_sfd = -1;
1451 int  filter_ufd = -1;
1452 int  group_count;
1453 int  i, rv;
1454 int  list_queue_option = 0;
1455 int  msg_action = 0;
1456 int  msg_action_arg = -1;
1457 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1458 int  queue_only_reason = 0;
1459 #ifdef EXIM_PERL
1460 int  perl_start_option = 0;
1461 #endif
1462 int  recipients_arg = argc;
1463 int  sender_address_domain = 0;
1464 int  test_retry_arg = -1;
1465 int  test_rewrite_arg = -1;
1466 BOOL arg_queue_only = FALSE;
1467 BOOL bi_option = FALSE;
1468 BOOL checking = FALSE;
1469 BOOL count_queue = FALSE;
1470 BOOL expansion_test = FALSE;
1471 BOOL extract_recipients = FALSE;
1472 BOOL flag_G = FALSE;
1473 BOOL flag_n = FALSE;
1474 BOOL forced_delivery = FALSE;
1475 BOOL f_end_dot = FALSE;
1476 BOOL deliver_give_up = FALSE;
1477 BOOL list_queue = FALSE;
1478 BOOL list_options = FALSE;
1479 BOOL local_queue_only;
1480 BOOL more = TRUE;
1481 BOOL one_msg_action = FALSE;
1482 BOOL queue_only_set = FALSE;
1483 BOOL receiving_message = TRUE;
1484 BOOL sender_ident_set = FALSE;
1485 BOOL session_local_queue_only;
1486 BOOL unprivileged;
1487 BOOL removed_privilege = FALSE;
1488 BOOL usage_wanted = FALSE;
1489 BOOL verify_address_mode = FALSE;
1490 BOOL verify_as_sender = FALSE;
1491 BOOL version_printed = FALSE;
1492 uschar *alias_arg = NULL;
1493 uschar *called_as = US"";
1494 uschar *cmdline_syslog_name = NULL;
1495 uschar *start_queue_run_id = NULL;
1496 uschar *stop_queue_run_id = NULL;
1497 uschar *expansion_test_message = NULL;
1498 uschar *ftest_domain = NULL;
1499 uschar *ftest_localpart = NULL;
1500 uschar *ftest_prefix = NULL;
1501 uschar *ftest_suffix = NULL;
1502 uschar *malware_test_file = NULL;
1503 uschar *real_sender_address;
1504 uschar *originator_home = US"/";
1505 size_t sz;
1506 void *reset_point;
1507
1508 struct passwd *pw;
1509 struct stat statbuf;
1510 pid_t passed_qr_pid = (pid_t)0;
1511 int passed_qr_pipe = -1;
1512 gid_t group_list[NGROUPS_MAX];
1513
1514 /* For the -bI: flag */
1515 enum commandline_info info_flag = CMDINFO_NONE;
1516 BOOL info_stdout = FALSE;
1517
1518 /* Possible options for -R and -S */
1519
1520 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1521
1522 /* Need to define this in case we need to change the environment in order
1523 to get rid of a bogus time zone. We have to make it char rather than uschar
1524 because some OS define it in /usr/include/unistd.h. */
1525
1526 extern char **environ;
1527
1528 /* If the Exim user and/or group and/or the configuration file owner/group were
1529 defined by ref:name at build time, we must now find the actual uid/gid values.
1530 This is a feature to make the lives of binary distributors easier. */
1531
1532 #ifdef EXIM_USERNAME
1533 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1534   {
1535   if (exim_uid == 0)
1536     {
1537     fprintf(stderr, "exim: refusing to run with uid 0 for \"%s\"\n",
1538       EXIM_USERNAME);
1539     exit(EXIT_FAILURE);
1540     }
1541   /* If ref:name uses a number as the name, route_finduser() returns
1542   TRUE with exim_uid set and pw coerced to NULL. */
1543   if (pw)
1544     exim_gid = pw->pw_gid;
1545 #ifndef EXIM_GROUPNAME
1546   else
1547     {
1548     fprintf(stderr,
1549         "exim: ref:name should specify a usercode, not a group.\n"
1550         "exim: can't let you get away with it unless you also specify a group.\n");
1551     exit(EXIT_FAILURE);
1552     }
1553 #endif
1554   }
1555 else
1556   {
1557   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1558     EXIM_USERNAME);
1559   exit(EXIT_FAILURE);
1560   }
1561 #endif
1562
1563 #ifdef EXIM_GROUPNAME
1564 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1565   {
1566   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1567     EXIM_GROUPNAME);
1568   exit(EXIT_FAILURE);
1569   }
1570 #endif
1571
1572 #ifdef CONFIGURE_OWNERNAME
1573 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1574   {
1575   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1576     CONFIGURE_OWNERNAME);
1577   exit(EXIT_FAILURE);
1578   }
1579 #endif
1580
1581 /* We default the system_filter_user to be the Exim run-time user, as a
1582 sane non-root value. */
1583 system_filter_uid = exim_uid;
1584
1585 #ifdef CONFIGURE_GROUPNAME
1586 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1587   {
1588   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1589     CONFIGURE_GROUPNAME);
1590   exit(EXIT_FAILURE);
1591   }
1592 #endif
1593
1594 /* In the Cygwin environment, some initialization needs doing. It is fudged
1595 in by means of this macro. */
1596
1597 #ifdef OS_INIT
1598 OS_INIT
1599 #endif
1600
1601 /* Check a field which is patched when we are running Exim within its
1602 testing harness; do a fast initial check, and then the whole thing. */
1603
1604 running_in_test_harness =
1605   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1606
1607 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1608 at the start of a program; however, it seems that some environments do not
1609 follow this. A "strange" locale can affect the formatting of timestamps, so we
1610 make quite sure. */
1611
1612 setlocale(LC_ALL, "C");
1613
1614 /* Set up the default handler for timing using alarm(). */
1615
1616 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1617
1618 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1619 because store_malloc writes a log entry on failure. */
1620
1621 log_buffer = (uschar *)malloc(LOG_BUFFER_SIZE);
1622 if (log_buffer == NULL)
1623   {
1624   fprintf(stderr, "exim: failed to get store for log buffer\n");
1625   exit(EXIT_FAILURE);
1626   }
1627
1628 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1629 NULL when the daemon is run and the file is closed. We have to use this
1630 indirection, because some systems don't allow writing to the variable "stderr".
1631 */
1632
1633 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1634
1635 /* Arrange for the PCRE regex library to use our store functions. Note that
1636 the normal calls are actually macros that add additional arguments for
1637 debugging purposes so we have to assign specially constructed functions here.
1638 The default is to use store in the stacking pool, but this is overridden in the
1639 regex_must_compile() function. */
1640
1641 pcre_malloc = function_store_get;
1642 pcre_free = function_dummy_free;
1643
1644 /* Ensure there is a big buffer for temporary use in several places. It is put
1645 in malloc store so that it can be freed for enlargement if necessary. */
1646
1647 big_buffer = store_malloc(big_buffer_size);
1648
1649 /* Set up the handler for the data request signal, and set the initial
1650 descriptive text. */
1651
1652 set_process_info("initializing");
1653 os_restarting_signal(SIGUSR1, usr1_handler);
1654
1655 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1656 in the daemon code. For the rest of Exim's uses, we ignore it. */
1657
1658 signal(SIGHUP, SIG_IGN);
1659
1660 /* We don't want to die on pipe errors as the code is written to handle
1661 the write error instead. */
1662
1663 signal(SIGPIPE, SIG_IGN);
1664
1665 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1666 set to SIG_IGN. This causes subprocesses that complete before the parent
1667 process waits for them not to hang around, so when Exim calls wait(), nothing
1668 is there. The wait() code has been made robust against this, but let's ensure
1669 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1670 ending status. We use sigaction rather than plain signal() on those OS where
1671 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1672 problem on AIX with this.) */
1673
1674 #ifdef SA_NOCLDWAIT
1675   {
1676   struct sigaction act;
1677   act.sa_handler = SIG_DFL;
1678   sigemptyset(&(act.sa_mask));
1679   act.sa_flags = 0;
1680   sigaction(SIGCHLD, &act, NULL);
1681   }
1682 #else
1683 signal(SIGCHLD, SIG_DFL);
1684 #endif
1685
1686 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1687 SIGHUP. */
1688
1689 sighup_argv = argv;
1690
1691 /* Set up the version number. Set up the leading 'E' for the external form of
1692 message ids, set the pointer to the internal form, and initialize it to
1693 indicate no message being processed. */
1694
1695 version_init();
1696 message_id_option[0] = '-';
1697 message_id_external = message_id_option + 1;
1698 message_id_external[0] = 'E';
1699 message_id = message_id_external + 1;
1700 message_id[0] = 0;
1701
1702 /* Set the umask to zero so that any files Exim creates using open() are
1703 created with the modes that it specifies. NOTE: Files created with fopen() have
1704 a problem, which was not recognized till rather late (February 2006). With this
1705 umask, such files will be world writeable. (They are all content scanning files
1706 in the spool directory, which isn't world-accessible, so this is not a
1707 disaster, but it's untidy.) I don't want to change this overall setting,
1708 however, because it will interact badly with the open() calls. Instead, there's
1709 now a function called modefopen() that fiddles with the umask while calling
1710 fopen(). */
1711
1712 (void)umask(0);
1713
1714 /* Precompile the regular expression for matching a message id. Keep this in
1715 step with the code that generates ids in the accept.c module. We need to do
1716 this here, because the -M options check their arguments for syntactic validity
1717 using mac_ismsgid, which uses this. */
1718
1719 regex_ismsgid =
1720   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1721
1722 /* Precompile the regular expression that is used for matching an SMTP error
1723 code, possibly extended, at the start of an error message. Note that the
1724 terminating whitespace character is included. */
1725
1726 regex_smtp_code =
1727   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1728     FALSE, TRUE);
1729
1730 #ifdef WHITELIST_D_MACROS
1731 /* Precompile the regular expression used to filter the content of macros
1732 given to -D for permissibility. */
1733
1734 regex_whitelisted_macro =
1735   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1736 #endif
1737
1738
1739 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1740 this seems to be a generally accepted convention, since one finds symbolic
1741 links called "mailq" in standard OS configurations. */
1742
1743 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1744     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1745   {
1746   list_queue = TRUE;
1747   receiving_message = FALSE;
1748   called_as = US"-mailq";
1749   }
1750
1751 /* If the program is called as "rmail" treat it as equivalent to
1752 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1753 i.e. preventing a single dot on a line from terminating the message, and
1754 returning with zero return code, even in cases of error (provided an error
1755 message has been sent). */
1756
1757 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1758     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1759   {
1760   dot_ends = FALSE;
1761   called_as = US"-rmail";
1762   errors_sender_rc = EXIT_SUCCESS;
1763   }
1764
1765 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1766 this is a smail convention. */
1767
1768 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1769     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1770   {
1771   smtp_input = smtp_batched_input = TRUE;
1772   called_as = US"-rsmtp";
1773   }
1774
1775 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1776 this is a smail convention. */
1777
1778 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1779     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1780   {
1781   queue_interval = 0;
1782   receiving_message = FALSE;
1783   called_as = US"-runq";
1784   }
1785
1786 /* If the program is called as "newaliases" treat it as equivalent to
1787 "exim -bi"; this is a sendmail convention. */
1788
1789 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1790     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1791   {
1792   bi_option = TRUE;
1793   receiving_message = FALSE;
1794   called_as = US"-newaliases";
1795   }
1796
1797 /* Save the original effective uid for a couple of uses later. It should
1798 normally be root, but in some esoteric environments it may not be. */
1799
1800 original_euid = geteuid();
1801
1802 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1803 to be the same as the real ones. This makes a difference only if Exim is setuid
1804 (or setgid) to something other than root, which could be the case in some
1805 special configurations. */
1806
1807 real_uid = getuid();
1808 real_gid = getgid();
1809
1810 if (real_uid == root_uid)
1811   {
1812   rv = setgid(real_gid);
1813   if (rv)
1814     {
1815     fprintf(stderr, "exim: setgid(%ld) failed: %s\n",
1816         (long int)real_gid, strerror(errno));
1817     exit(EXIT_FAILURE);
1818     }
1819   rv = setuid(real_uid);
1820   if (rv)
1821     {
1822     fprintf(stderr, "exim: setuid(%ld) failed: %s\n",
1823         (long int)real_uid, strerror(errno));
1824     exit(EXIT_FAILURE);
1825     }
1826   }
1827
1828 /* If neither the original real uid nor the original euid was root, Exim is
1829 running in an unprivileged state. */
1830
1831 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1832
1833 /* Scan the program's arguments. Some can be dealt with right away; others are
1834 simply recorded for checking and handling afterwards. Do a high-level switch
1835 on the second character (the one after '-'), to save some effort. */
1836
1837 for (i = 1; i < argc; i++)
1838   {
1839   BOOL badarg = FALSE;
1840   uschar *arg = argv[i];
1841   uschar *argrest;
1842   int switchchar;
1843
1844   /* An argument not starting with '-' is the start of a recipients list;
1845   break out of the options-scanning loop. */
1846
1847   if (arg[0] != '-')
1848     {
1849     recipients_arg = i;
1850     break;
1851     }
1852
1853   /* An option consistion of -- terminates the options */
1854
1855   if (Ustrcmp(arg, "--") == 0)
1856     {
1857     recipients_arg = i + 1;
1858     break;
1859     }
1860
1861   /* Handle flagged options */
1862
1863   switchchar = arg[1];
1864   argrest = arg+2;
1865
1866   /* Make all -ex options synonymous with -oex arguments, since that
1867   is assumed by various callers. Also make -qR options synonymous with -R
1868   options, as that seems to be required as well. Allow for -qqR too, and
1869   the same for -S options. */
1870
1871   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
1872       Ustrncmp(arg+1, "qR", 2) == 0 ||
1873       Ustrncmp(arg+1, "qS", 2) == 0)
1874     {
1875     switchchar = arg[2];
1876     argrest++;
1877     }
1878   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
1879     {
1880     switchchar = arg[3];
1881     argrest += 2;
1882     queue_2stage = TRUE;
1883     }
1884
1885   /* Make -r synonymous with -f, since it is a documented alias */
1886
1887   else if (arg[1] == 'r') switchchar = 'f';
1888
1889   /* Make -ov synonymous with -v */
1890
1891   else if (Ustrcmp(arg, "-ov") == 0)
1892     {
1893     switchchar = 'v';
1894     argrest++;
1895     }
1896
1897   /* deal with --option_aliases */
1898   else if (switchchar == '-')
1899     {
1900     if (Ustrcmp(argrest, "help") == 0)
1901       {
1902       usage_wanted = TRUE;
1903       break;
1904       }
1905     else if (Ustrcmp(argrest, "version") == 0)
1906       {
1907       switchchar = 'b';
1908       argrest = US"V";
1909       }
1910     }
1911
1912   /* High-level switch on active initial letter */
1913
1914   switch(switchchar)
1915     {
1916
1917     /* sendmail uses -Ac and -Am to control which .cf file is used;
1918     we ignore them. */
1919     case 'A':
1920     if (*argrest == '\0') { badarg = TRUE; break; }
1921     else
1922       {
1923       BOOL ignore = FALSE;
1924       switch (*argrest)
1925         {
1926         case 'c':
1927         case 'm':
1928           if (*(argrest + 1) == '\0')
1929             ignore = TRUE;
1930           break;
1931         }
1932       if (!ignore) { badarg = TRUE; break; }
1933       }
1934     break;
1935
1936     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
1937     so has no need of it. */
1938
1939     case 'B':
1940     if (*argrest == 0) i++;       /* Skip over the type */
1941     break;
1942
1943
1944     case 'b':
1945     receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
1946
1947     /* -bd:  Run in daemon mode, awaiting SMTP connections.
1948        -bdf: Ditto, but in the foreground.
1949     */
1950
1951     if (*argrest == 'd')
1952       {
1953       daemon_listen = TRUE;
1954       if (*(++argrest) == 'f') background_daemon = FALSE;
1955         else if (*argrest != 0) { badarg = TRUE; break; }
1956       }
1957
1958     /* -be:  Run in expansion test mode
1959        -bem: Ditto, but read a message from a file first
1960     */
1961
1962     else if (*argrest == 'e')
1963       {
1964       expansion_test = checking = TRUE;
1965       if (argrest[1] == 'm')
1966         {
1967         if (++i >= argc) { badarg = TRUE; break; }
1968         expansion_test_message = argv[i];
1969         argrest++;
1970         }
1971       if (argrest[1] != 0) { badarg = TRUE; break; }
1972       }
1973
1974     /* -bF:  Run system filter test */
1975
1976     else if (*argrest == 'F')
1977       {
1978       filter_test |= FTEST_SYSTEM;
1979       if (*(++argrest) != 0) { badarg = TRUE; break; }
1980       if (++i < argc) filter_test_sfile = argv[i]; else
1981         {
1982         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
1983         exit(EXIT_FAILURE);
1984         }
1985       }
1986
1987     /* -bf:  Run user filter test
1988        -bfd: Set domain for filter testing
1989        -bfl: Set local part for filter testing
1990        -bfp: Set prefix for filter testing
1991        -bfs: Set suffix for filter testing
1992     */
1993
1994     else if (*argrest == 'f')
1995       {
1996       if (*(++argrest) == 0)
1997         {
1998         filter_test |= FTEST_USER;
1999         if (++i < argc) filter_test_ufile = argv[i]; else
2000           {
2001           fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
2002           exit(EXIT_FAILURE);
2003           }
2004         }
2005       else
2006         {
2007         if (++i >= argc)
2008           {
2009           fprintf(stderr, "exim: string expected after %s\n", arg);
2010           exit(EXIT_FAILURE);
2011           }
2012         if (Ustrcmp(argrest, "d") == 0) ftest_domain = argv[i];
2013         else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = argv[i];
2014         else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = argv[i];
2015         else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = argv[i];
2016         else { badarg = TRUE; break; }
2017         }
2018       }
2019
2020     /* -bh: Host checking - an IP address must follow. */
2021
2022     else if (Ustrcmp(argrest, "h") == 0 || Ustrcmp(argrest, "hc") == 0)
2023       {
2024       if (++i >= argc) { badarg = TRUE; break; }
2025       sender_host_address = argv[i];
2026       host_checking = checking = log_testing_mode = TRUE;
2027       host_checking_callout = argrest[1] == 'c';
2028       }
2029
2030     /* -bi: This option is used by sendmail to initialize *the* alias file,
2031     though it has the -oA option to specify a different file. Exim has no
2032     concept of *the* alias file, but since Sun's YP make script calls
2033     sendmail this way, some support must be provided. */
2034
2035     else if (Ustrcmp(argrest, "i") == 0) bi_option = TRUE;
2036
2037     /* -bI: provide information, of the type to follow after a colon.
2038     This is an Exim flag. */
2039
2040     else if (argrest[0] == 'I' && Ustrlen(argrest) >= 2 && argrest[1] == ':')
2041       {
2042       uschar *p = &argrest[2];
2043       info_flag = CMDINFO_HELP;
2044       if (Ustrlen(p))
2045         {
2046         if (strcmpic(p, CUS"sieve") == 0)
2047           {
2048           info_flag = CMDINFO_SIEVE;
2049           info_stdout = TRUE;
2050           }
2051         else if (strcmpic(p, CUS"dscp") == 0)
2052           {
2053           info_flag = CMDINFO_DSCP;
2054           info_stdout = TRUE;
2055           }
2056         else if (strcmpic(p, CUS"help") == 0)
2057           {
2058           info_stdout = TRUE;
2059           }
2060         }
2061       }
2062
2063     /* -bm: Accept and deliver message - the default option. Reinstate
2064     receiving_message, which got turned off for all -b options. */
2065
2066     else if (Ustrcmp(argrest, "m") == 0) receiving_message = TRUE;
2067
2068     /* -bmalware: test the filename given for malware */
2069
2070     else if (Ustrcmp(argrest, "malware") == 0)
2071       {
2072       if (++i >= argc) { badarg = TRUE; break; }
2073       malware_test_file = argv[i];
2074       }
2075
2076     /* -bnq: For locally originating messages, do not qualify unqualified
2077     addresses. In the envelope, this causes errors; in header lines they
2078     just get left. */
2079
2080     else if (Ustrcmp(argrest, "nq") == 0)
2081       {
2082       allow_unqualified_sender = FALSE;
2083       allow_unqualified_recipient = FALSE;
2084       }
2085
2086     /* -bpxx: List the contents of the mail queue, in various forms. If
2087     the option is -bpc, just a queue count is needed. Otherwise, if the
2088     first letter after p is r, then order is random. */
2089
2090     else if (*argrest == 'p')
2091       {
2092       if (*(++argrest) == 'c')
2093         {
2094         count_queue = TRUE;
2095         if (*(++argrest) != 0) badarg = TRUE;
2096         break;
2097         }
2098
2099       if (*argrest == 'r')
2100         {
2101         list_queue_option = 8;
2102         argrest++;
2103         }
2104       else list_queue_option = 0;
2105
2106       list_queue = TRUE;
2107
2108       /* -bp: List the contents of the mail queue, top-level only */
2109
2110       if (*argrest == 0) {}
2111
2112       /* -bpu: List the contents of the mail queue, top-level undelivered */
2113
2114       else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2115
2116       /* -bpa: List the contents of the mail queue, including all delivered */
2117
2118       else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2119
2120       /* Unknown after -bp[r] */
2121
2122       else
2123         {
2124         badarg = TRUE;
2125         break;
2126         }
2127       }
2128
2129
2130     /* -bP: List the configuration variables given as the address list.
2131     Force -v, so configuration errors get displayed. */
2132
2133     else if (Ustrcmp(argrest, "P") == 0)
2134       {
2135       list_options = TRUE;
2136       debug_selector |= D_v;
2137       debug_file = stderr;
2138       }
2139
2140     /* -brt: Test retry configuration lookup */
2141
2142     else if (Ustrcmp(argrest, "rt") == 0)
2143       {
2144       test_retry_arg = i + 1;
2145       goto END_ARG;
2146       }
2147
2148     /* -brw: Test rewrite configuration */
2149
2150     else if (Ustrcmp(argrest, "rw") == 0)
2151       {
2152       test_rewrite_arg = i + 1;
2153       goto END_ARG;
2154       }
2155
2156     /* -bS: Read SMTP commands on standard input, but produce no replies -
2157     all errors are reported by sending messages. */
2158
2159     else if (Ustrcmp(argrest, "S") == 0)
2160       smtp_input = smtp_batched_input = receiving_message = TRUE;
2161
2162     /* -bs: Read SMTP commands on standard input and produce SMTP replies
2163     on standard output. */
2164
2165     else if (Ustrcmp(argrest, "s") == 0) smtp_input = receiving_message = TRUE;
2166
2167     /* -bt: address testing mode */
2168
2169     else if (Ustrcmp(argrest, "t") == 0)
2170       address_test_mode = checking = log_testing_mode = TRUE;
2171
2172     /* -bv: verify addresses */
2173
2174     else if (Ustrcmp(argrest, "v") == 0)
2175       verify_address_mode = checking = log_testing_mode = TRUE;
2176
2177     /* -bvs: verify sender addresses */
2178
2179     else if (Ustrcmp(argrest, "vs") == 0)
2180       {
2181       verify_address_mode = checking = log_testing_mode = TRUE;
2182       verify_as_sender = TRUE;
2183       }
2184
2185     /* -bV: Print version string and support details */
2186
2187     else if (Ustrcmp(argrest, "V") == 0)
2188       {
2189       printf("Exim version %s #%s built %s\n", version_string,
2190         version_cnumber, version_date);
2191       printf("%s\n", CS version_copyright);
2192       version_printed = TRUE;
2193       show_whats_supported(stdout);
2194       }
2195
2196     /* -bw: inetd wait mode, accept a listening socket as stdin */
2197
2198     else if (*argrest == 'w')
2199       {
2200       inetd_wait_mode = TRUE;
2201       background_daemon = FALSE;
2202       daemon_listen = TRUE;
2203       if (*(++argrest) != '\0')
2204         {
2205         inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE);
2206         if (inetd_wait_timeout <= 0)
2207           {
2208           fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
2209           exit(EXIT_FAILURE);
2210           }
2211         }
2212       }
2213
2214     else badarg = TRUE;
2215     break;
2216
2217
2218     /* -C: change configuration file list; ignore if it isn't really
2219     a change! Enforce a prefix check if required. */
2220
2221     case 'C':
2222     if (*argrest == 0)
2223       {
2224       if(++i < argc) argrest = argv[i]; else
2225         { badarg = TRUE; break; }
2226       }
2227     if (Ustrcmp(config_main_filelist, argrest) != 0)
2228       {
2229       #ifdef ALT_CONFIG_PREFIX
2230       int sep = 0;
2231       int len = Ustrlen(ALT_CONFIG_PREFIX);
2232       uschar *list = argrest;
2233       uschar *filename;
2234       while((filename = string_nextinlist(&list, &sep, big_buffer,
2235              big_buffer_size)) != NULL)
2236         {
2237         if ((Ustrlen(filename) < len ||
2238              Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0 ||
2239              Ustrstr(filename, "/../") != NULL) &&
2240              (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid))
2241           {
2242           fprintf(stderr, "-C Permission denied\n");
2243           exit(EXIT_FAILURE);
2244           }
2245         }
2246       #endif
2247       if (real_uid != root_uid)
2248         {
2249         #ifdef TRUSTED_CONFIG_LIST
2250
2251         if (real_uid != exim_uid
2252             #ifdef CONFIGURE_OWNER
2253             && real_uid != config_uid
2254             #endif
2255             )
2256           trusted_config = FALSE;
2257         else
2258           {
2259           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2260           if (trust_list)
2261             {
2262             struct stat statbuf;
2263
2264             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2265                 (statbuf.st_uid != root_uid        /* owner not root */
2266                  #ifdef CONFIGURE_OWNER
2267                  && statbuf.st_uid != config_uid   /* owner not the special one */
2268                  #endif
2269                    ) ||                            /* or */
2270                 (statbuf.st_gid != root_gid        /* group not root */
2271                  #ifdef CONFIGURE_GROUP
2272                  && statbuf.st_gid != config_gid   /* group not the special one */
2273                  #endif
2274                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2275                    ) ||                            /* or */
2276                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2277               {
2278               trusted_config = FALSE;
2279               fclose(trust_list);
2280               }
2281             else
2282               {
2283               /* Well, the trust list at least is up to scratch... */
2284               void *reset_point = store_get(0);
2285               uschar *trusted_configs[32];
2286               int nr_configs = 0;
2287               int i = 0;
2288
2289               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2290                 {
2291                 uschar *start = big_buffer, *nl;
2292                 while (*start && isspace(*start))
2293                 start++;
2294                 if (*start != '/')
2295                   continue;
2296                 nl = Ustrchr(start, '\n');
2297                 if (nl)
2298                   *nl = 0;
2299                 trusted_configs[nr_configs++] = string_copy(start);
2300                 if (nr_configs == 32)
2301                   break;
2302                 }
2303               fclose(trust_list);
2304
2305               if (nr_configs)
2306                 {
2307                 int sep = 0;
2308                 uschar *list = argrest;
2309                 uschar *filename;
2310                 while (trusted_config && (filename = string_nextinlist(&list,
2311                         &sep, big_buffer, big_buffer_size)) != NULL)
2312                   {
2313                   for (i=0; i < nr_configs; i++)
2314                     {
2315                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2316                       break;
2317                     }
2318                   if (i == nr_configs)
2319                     {
2320                     trusted_config = FALSE;
2321                     break;
2322                     }
2323                   }
2324                 store_reset(reset_point);
2325                 }
2326               else
2327                 {
2328                 /* No valid prefixes found in trust_list file. */
2329                 trusted_config = FALSE;
2330                 }
2331               }
2332             }
2333           else
2334             {
2335             /* Could not open trust_list file. */
2336             trusted_config = FALSE;
2337             }
2338           }
2339       #else
2340         /* Not root; don't trust config */
2341         trusted_config = FALSE;
2342       #endif
2343         }
2344
2345       config_main_filelist = argrest;
2346       config_changed = TRUE;
2347       }
2348     break;
2349
2350
2351     /* -D: set up a macro definition */
2352
2353     case 'D':
2354     #ifdef DISABLE_D_OPTION
2355     fprintf(stderr, "exim: -D is not available in this Exim binary\n");
2356     exit(EXIT_FAILURE);
2357     #else
2358       {
2359       int ptr = 0;
2360       macro_item *mlast = NULL;
2361       macro_item *m;
2362       uschar name[24];
2363       uschar *s = argrest;
2364
2365       while (isspace(*s)) s++;
2366
2367       if (*s < 'A' || *s > 'Z')
2368         {
2369         fprintf(stderr, "exim: macro name set by -D must start with "
2370           "an upper case letter\n");
2371         exit(EXIT_FAILURE);
2372         }
2373
2374       while (isalnum(*s) || *s == '_')
2375         {
2376         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2377         s++;
2378         }
2379       name[ptr] = 0;
2380       if (ptr == 0) { badarg = TRUE; break; }
2381       while (isspace(*s)) s++;
2382       if (*s != 0)
2383         {
2384         if (*s++ != '=') { badarg = TRUE; break; }
2385         while (isspace(*s)) s++;
2386         }
2387
2388       for (m = macros; m != NULL; m = m->next)
2389         {
2390         if (Ustrcmp(m->name, name) == 0)
2391           {
2392           fprintf(stderr, "exim: duplicated -D in command line\n");
2393           exit(EXIT_FAILURE);
2394           }
2395         mlast = m;
2396         }
2397
2398       m = store_get(sizeof(macro_item) + Ustrlen(name));
2399       m->next = NULL;
2400       m->command_line = TRUE;
2401       if (mlast == NULL) macros = m; else mlast->next = m;
2402       Ustrcpy(m->name, name);
2403       m->replacement = string_copy(s);
2404
2405       if (clmacro_count >= MAX_CLMACROS)
2406         {
2407         fprintf(stderr, "exim: too many -D options on command line\n");
2408         exit(EXIT_FAILURE);
2409         }
2410       clmacros[clmacro_count++] = string_sprintf("-D%s=%s", m->name,
2411         m->replacement);
2412       }
2413     #endif
2414     break;
2415
2416     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2417     The latter is now a no-op, retained for compatibility only. If -dd is used,
2418     debugging subprocesses of the daemon is disabled. */
2419
2420     case 'd':
2421     if (Ustrcmp(argrest, "ropcr") == 0)
2422       {
2423       /* drop_cr = TRUE; */
2424       }
2425
2426     /* Use an intermediate variable so that we don't set debugging while
2427     decoding the debugging bits. */
2428
2429     else
2430       {
2431       unsigned int selector = D_default;
2432       debug_selector = 0;
2433       debug_file = NULL;
2434       if (*argrest == 'd')
2435         {
2436         debug_daemon = TRUE;
2437         argrest++;
2438         }
2439       if (*argrest != 0)
2440         decode_bits(&selector, NULL, D_memory, 0, argrest, debug_options,
2441           debug_options_count, US"debug", 0);
2442       debug_selector = selector;
2443       }
2444     break;
2445
2446
2447     /* -E: This is a local error message. This option is not intended for
2448     external use at all, but is not restricted to trusted callers because it
2449     does no harm (just suppresses certain error messages) and if Exim is run
2450     not setuid root it won't always be trusted when it generates error
2451     messages using this option. If there is a message id following -E, point
2452     message_reference at it, for logging. */
2453
2454     case 'E':
2455     local_error_message = TRUE;
2456     if (mac_ismsgid(argrest)) message_reference = argrest;
2457     break;
2458
2459
2460     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2461     option, so it looks as if historically the -oex options are also callable
2462     without the leading -o. So we have to accept them. Before the switch,
2463     anything starting -oe has been converted to -e. Exim does not support all
2464     of the sendmail error options. */
2465
2466     case 'e':
2467     if (Ustrcmp(argrest, "e") == 0)
2468       {
2469       arg_error_handling = ERRORS_SENDER;
2470       errors_sender_rc = EXIT_SUCCESS;
2471       }
2472     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2473     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2474     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2475     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2476     else badarg = TRUE;
2477     break;
2478
2479
2480     /* -F: Set sender's full name, used instead of the gecos entry from
2481     the password file. Since users can usually alter their gecos entries,
2482     there's no security involved in using this instead. The data can follow
2483     the -F or be in the next argument. */
2484
2485     case 'F':
2486     if (*argrest == 0)
2487       {
2488       if(++i < argc) argrest = argv[i]; else
2489         { badarg = TRUE; break; }
2490       }
2491     originator_name = argrest;
2492     sender_name_forced = TRUE;
2493     break;
2494
2495
2496     /* -f: Set sender's address - this value is only actually used if Exim is
2497     run by a trusted user, or if untrusted_set_sender is set and matches the
2498     address, except that the null address can always be set by any user. The
2499     test for this happens later, when the value given here is ignored when not
2500     permitted. For an untrusted user, the actual sender is still put in Sender:
2501     if it doesn't match the From: header (unless no_local_from_check is set).
2502     The data can follow the -f or be in the next argument. The -r switch is an
2503     obsolete form of -f but since there appear to be programs out there that
2504     use anything that sendmail has ever supported, better accept it - the
2505     synonymizing is done before the switch above.
2506
2507     At this stage, we must allow domain literal addresses, because we don't
2508     know what the setting of allow_domain_literals is yet. Ditto for trailing
2509     dots and strip_trailing_dot. */
2510
2511     case 'f':
2512       {
2513       int start, end;
2514       uschar *errmess;
2515       if (*argrest == 0)
2516         {
2517         if (i+1 < argc) argrest = argv[++i]; else
2518           { badarg = TRUE; break; }
2519         }
2520       if (*argrest == 0)
2521         {
2522         sender_address = string_sprintf("");  /* Ensure writeable memory */
2523         }
2524       else
2525         {
2526         uschar *temp = argrest + Ustrlen(argrest) - 1;
2527         while (temp >= argrest && isspace(*temp)) temp--;
2528         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2529         allow_domain_literals = TRUE;
2530         strip_trailing_dot = TRUE;
2531         sender_address = parse_extract_address(argrest, &errmess, &start, &end,
2532           &sender_address_domain, TRUE);
2533         allow_domain_literals = FALSE;
2534         strip_trailing_dot = FALSE;
2535         if (sender_address == NULL)
2536           {
2537           fprintf(stderr, "exim: bad -f address \"%s\": %s\n", argrest, errmess);
2538           return EXIT_FAILURE;
2539           }
2540         }
2541       sender_address_forced = TRUE;
2542       }
2543     break;
2544
2545     /* -G: sendmail invocation to specify that it's a gateway submission and
2546     sendmail may complain about problems instead of fixing them.
2547     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2548     not at this time complain about problems. */
2549
2550     case 'G':
2551     flag_G = TRUE;
2552     break;
2553
2554     /* -h: Set the hop count for an incoming message. Exim does not currently
2555     support this; it always computes it by counting the Received: headers.
2556     To put it in will require a change to the spool header file format. */
2557
2558     case 'h':
2559     if (*argrest == 0)
2560       {
2561       if(++i < argc) argrest = argv[i]; else
2562         { badarg = TRUE; break; }
2563       }
2564     if (!isdigit(*argrest)) badarg = TRUE;
2565     break;
2566
2567
2568     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2569     not to be documented for sendmail but mailx (at least) uses it) */
2570
2571     case 'i':
2572     if (*argrest == 0) dot_ends = FALSE; else badarg = TRUE;
2573     break;
2574
2575
2576     /* -L: set the identifier used for syslog; equivalent to setting
2577     syslog_processname in the config file, but needs to be an admin option. */
2578
2579     case 'L':
2580     if (*argrest == '\0')
2581       {
2582       if(++i < argc) argrest = argv[i]; else
2583         { badarg = TRUE; break; }
2584       }
2585     sz = Ustrlen(argrest);
2586     if (sz > 32)
2587       {
2588       fprintf(stderr, "exim: the -L syslog name is too long: \"%s\"\n", argrest);
2589       return EXIT_FAILURE;
2590       }
2591     if (sz < 1)
2592       {
2593       fprintf(stderr, "exim: the -L syslog name is too short\n");
2594       return EXIT_FAILURE;
2595       }
2596     cmdline_syslog_name = argrest;
2597     break;
2598
2599     case 'M':
2600     receiving_message = FALSE;
2601
2602     /* -MC:  continue delivery of another message via an existing open
2603     file descriptor. This option is used for an internal call by the
2604     smtp transport when there is a pending message waiting to go to an
2605     address to which it has got a connection. Five subsequent arguments are
2606     required: transport name, host name, IP address, sequence number, and
2607     message_id. Transports may decline to create new processes if the sequence
2608     number gets too big. The channel is stdin. This (-MC) must be the last
2609     argument. There's a subsequent check that the real-uid is privileged.
2610
2611     If we are running in the test harness. delay for a bit, to let the process
2612     that set this one up complete. This makes for repeatability of the logging,
2613     etc. output. */
2614
2615     if (Ustrcmp(argrest, "C") == 0)
2616       {
2617       union sockaddr_46 interface_sock;
2618       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2619
2620       if (argc != i + 6)
2621         {
2622         fprintf(stderr, "exim: too many or too few arguments after -MC\n");
2623         return EXIT_FAILURE;
2624         }
2625
2626       if (msg_action_arg >= 0)
2627         {
2628         fprintf(stderr, "exim: incompatible arguments\n");
2629         return EXIT_FAILURE;
2630         }
2631
2632       continue_transport = argv[++i];
2633       continue_hostname = argv[++i];
2634       continue_host_address = argv[++i];
2635       continue_sequence = Uatoi(argv[++i]);
2636       msg_action = MSG_DELIVER;
2637       msg_action_arg = ++i;
2638       forced_delivery = TRUE;
2639       queue_run_pid = passed_qr_pid;
2640       queue_run_pipe = passed_qr_pipe;
2641
2642       if (!mac_ismsgid(argv[i]))
2643         {
2644         fprintf(stderr, "exim: malformed message id %s after -MC option\n",
2645           argv[i]);
2646         return EXIT_FAILURE;
2647         }
2648
2649       /* Set up $sending_ip_address and $sending_port */
2650
2651       if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2652           &size) == 0)
2653         sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2654           &sending_port);
2655       else
2656         {
2657         fprintf(stderr, "exim: getsockname() failed after -MC option: %s\n",
2658           strerror(errno));
2659         return EXIT_FAILURE;
2660         }
2661
2662       if (running_in_test_harness) millisleep(500);
2663       break;
2664       }
2665
2666     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2667     precedes -MC (see above). The flag indicates that the host to which
2668     Exim is connected has accepted an AUTH sequence. */
2669
2670     else if (Ustrcmp(argrest, "CA") == 0)
2671       {
2672       smtp_authenticated = TRUE;
2673       break;
2674       }
2675
2676     #ifdef EXPERIMENTAL_DSN
2677     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2678        that exim is connected to supports the esmtp extension DSN */
2679     else if (strcmp(argrest, "CD") == 0)
2680       {
2681       smtp_use_dsn = TRUE;
2682       break;
2683       }
2684     #endif
2685
2686     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2687     it preceded -MC (see above) */
2688
2689     else if (Ustrcmp(argrest, "CP") == 0)
2690       {
2691       smtp_use_pipelining = TRUE;
2692       break;
2693       }
2694
2695     /* -MCQ: pass on the pid of the queue-running process that started
2696     this chain of deliveries and the fd of its synchronizing pipe; this
2697     is useful only when it precedes -MC (see above) */
2698
2699     else if (Ustrcmp(argrest, "CQ") == 0)
2700       {
2701       if(++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2702         else badarg = TRUE;
2703       if(++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2704         else badarg = TRUE;
2705       break;
2706       }
2707
2708     /* -MCS: set the smtp_use_size flag; this is useful only when it
2709     precedes -MC (see above) */
2710
2711     else if (Ustrcmp(argrest, "CS") == 0)
2712       {
2713       smtp_use_size = TRUE;
2714       break;
2715       }
2716
2717     /* -MCT: set the tls_offered flag; this is useful only when it
2718     precedes -MC (see above). The flag indicates that the host to which
2719     Exim is connected has offered TLS support. */
2720
2721     #ifdef SUPPORT_TLS
2722     else if (Ustrcmp(argrest, "CT") == 0)
2723       {
2724       tls_offered = TRUE;
2725       break;
2726       }
2727     #endif
2728
2729     /* -M[x]: various operations on the following list of message ids:
2730        -M    deliver the messages, ignoring next retry times and thawing
2731        -Mc   deliver the messages, checking next retry times, no thawing
2732        -Mf   freeze the messages
2733        -Mg   give up on the messages
2734        -Mt   thaw the messages
2735        -Mrm  remove the messages
2736     In the above cases, this must be the last option. There are also the
2737     following options which are followed by a single message id, and which
2738     act on that message. Some of them use the "recipient" addresses as well.
2739        -Mar  add recipient(s)
2740        -Mmad mark all recipients delivered
2741        -Mmd  mark recipients(s) delivered
2742        -Mes  edit sender
2743        -Mset load a message for use with -be
2744        -Mvb  show body
2745        -Mvc  show copy (of whole message, in RFC 2822 format)
2746        -Mvh  show header
2747        -Mvl  show log
2748     */
2749
2750     else if (*argrest == 0)
2751       {
2752       msg_action = MSG_DELIVER;
2753       forced_delivery = deliver_force_thaw = TRUE;
2754       }
2755     else if (Ustrcmp(argrest, "ar") == 0)
2756       {
2757       msg_action = MSG_ADD_RECIPIENT;
2758       one_msg_action = TRUE;
2759       }
2760     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2761     else if (Ustrcmp(argrest, "es") == 0)
2762       {
2763       msg_action = MSG_EDIT_SENDER;
2764       one_msg_action = TRUE;
2765       }
2766     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2767     else if (Ustrcmp(argrest, "g") == 0)
2768       {
2769       msg_action = MSG_DELIVER;
2770       deliver_give_up = TRUE;
2771       }
2772     else if (Ustrcmp(argrest, "mad") == 0)
2773       {
2774       msg_action = MSG_MARK_ALL_DELIVERED;
2775       }
2776     else if (Ustrcmp(argrest, "md") == 0)
2777       {
2778       msg_action = MSG_MARK_DELIVERED;
2779       one_msg_action = TRUE;
2780       }
2781     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2782     else if (Ustrcmp(argrest, "set") == 0)
2783       {
2784       msg_action = MSG_LOAD;
2785       one_msg_action = TRUE;
2786       }
2787     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2788     else if (Ustrcmp(argrest, "vb") == 0)
2789       {
2790       msg_action = MSG_SHOW_BODY;
2791       one_msg_action = TRUE;
2792       }
2793     else if (Ustrcmp(argrest, "vc") == 0)
2794       {
2795       msg_action = MSG_SHOW_COPY;
2796       one_msg_action = TRUE;
2797       }
2798     else if (Ustrcmp(argrest, "vh") == 0)
2799       {
2800       msg_action = MSG_SHOW_HEADER;
2801       one_msg_action = TRUE;
2802       }
2803     else if (Ustrcmp(argrest, "vl") == 0)
2804       {
2805       msg_action = MSG_SHOW_LOG;
2806       one_msg_action = TRUE;
2807       }
2808     else { badarg = TRUE; break; }
2809
2810     /* All the -Mxx options require at least one message id. */
2811
2812     msg_action_arg = i + 1;
2813     if (msg_action_arg >= argc)
2814       {
2815       fprintf(stderr, "exim: no message ids given after %s option\n", arg);
2816       return EXIT_FAILURE;
2817       }
2818
2819     /* Some require only message ids to follow */
2820
2821     if (!one_msg_action)
2822       {
2823       int j;
2824       for (j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
2825         {
2826         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2827           argv[j], arg);
2828         return EXIT_FAILURE;
2829         }
2830       goto END_ARG;   /* Remaining args are ids */
2831       }
2832
2833     /* Others require only one message id, possibly followed by addresses,
2834     which will be handled as normal arguments. */
2835
2836     else
2837       {
2838       if (!mac_ismsgid(argv[msg_action_arg]))
2839         {
2840         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2841           argv[msg_action_arg], arg);
2842         return EXIT_FAILURE;
2843         }
2844       i++;
2845       }
2846     break;
2847
2848
2849     /* Some programs seem to call the -om option without the leading o;
2850     for sendmail it askes for "me too". Exim always does this. */
2851
2852     case 'm':
2853     if (*argrest != 0) badarg = TRUE;
2854     break;
2855
2856
2857     /* -N: don't do delivery - a debugging option that stops transports doing
2858     their thing. It implies debugging at the D_v level. */
2859
2860     case 'N':
2861     if (*argrest == 0)
2862       {
2863       dont_deliver = TRUE;
2864       debug_selector |= D_v;
2865       debug_file = stderr;
2866       }
2867     else badarg = TRUE;
2868     break;
2869
2870
2871     /* -n: This means "don't alias" in sendmail, apparently.
2872     For normal invocations, it has no effect.
2873     It may affect some other options. */
2874
2875     case 'n':
2876     flag_n = TRUE;
2877     break;
2878
2879     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
2880     option to the specified value. This form uses long names. We need to handle
2881     -O option=value and -Ooption=value. */
2882
2883     case 'O':
2884     if (*argrest == 0)
2885       {
2886       if (++i >= argc)
2887         {
2888         fprintf(stderr, "exim: string expected after -O\n");
2889         exit(EXIT_FAILURE);
2890         }
2891       }
2892     break;
2893
2894     case 'o':
2895
2896     /* -oA: Set an argument for the bi command (sendmail's "alternate alias
2897     file" option). */
2898
2899     if (*argrest == 'A')
2900       {
2901       alias_arg = argrest + 1;
2902       if (alias_arg[0] == 0)
2903         {
2904         if (i+1 < argc) alias_arg = argv[++i]; else
2905           {
2906           fprintf(stderr, "exim: string expected after -oA\n");
2907           exit(EXIT_FAILURE);
2908           }
2909         }
2910       }
2911
2912     /* -oB: Set a connection message max value for remote deliveries */
2913
2914     else if (*argrest == 'B')
2915       {
2916       uschar *p = argrest + 1;
2917       if (p[0] == 0)
2918         {
2919         if (i+1 < argc && isdigit((argv[i+1][0]))) p = argv[++i]; else
2920           {
2921           connection_max_messages = 1;
2922           p = NULL;
2923           }
2924         }
2925
2926       if (p != NULL)
2927         {
2928         if (!isdigit(*p))
2929           {
2930           fprintf(stderr, "exim: number expected after -oB\n");
2931           exit(EXIT_FAILURE);
2932           }
2933         connection_max_messages = Uatoi(p);
2934         }
2935       }
2936
2937     /* -odb: background delivery */
2938
2939     else if (Ustrcmp(argrest, "db") == 0)
2940       {
2941       synchronous_delivery = FALSE;
2942       arg_queue_only = FALSE;
2943       queue_only_set = TRUE;
2944       }
2945
2946     /* -odf: foreground delivery (smail-compatible option); same effect as
2947        -odi: interactive (synchronous) delivery (sendmail-compatible option)
2948     */
2949
2950     else if (Ustrcmp(argrest, "df") == 0 || Ustrcmp(argrest, "di") == 0)
2951       {
2952       synchronous_delivery = TRUE;
2953       arg_queue_only = FALSE;
2954       queue_only_set = TRUE;
2955       }
2956
2957     /* -odq: queue only */
2958
2959     else if (Ustrcmp(argrest, "dq") == 0)
2960       {
2961       synchronous_delivery = FALSE;
2962       arg_queue_only = TRUE;
2963       queue_only_set = TRUE;
2964       }
2965
2966     /* -odqs: queue SMTP only - do local deliveries and remote routing,
2967     but no remote delivery */
2968
2969     else if (Ustrcmp(argrest, "dqs") == 0)
2970       {
2971       queue_smtp = TRUE;
2972       arg_queue_only = FALSE;
2973       queue_only_set = TRUE;
2974       }
2975
2976     /* -oex: Sendmail error flags. As these are also accepted without the
2977     leading -o prefix, for compatibility with vacation and other callers,
2978     they are handled with -e above. */
2979
2980     /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
2981        -oitrue: Another sendmail syntax for the same */
2982
2983     else if (Ustrcmp(argrest, "i") == 0 ||
2984              Ustrcmp(argrest, "itrue") == 0)
2985       dot_ends = FALSE;
2986
2987     /* -oM*: Set various characteristics for an incoming message; actually
2988     acted on for trusted callers only. */
2989
2990     else if (*argrest == 'M')
2991       {
2992       if (i+1 >= argc)
2993         {
2994         fprintf(stderr, "exim: data expected after -o%s\n", argrest);
2995         exit(EXIT_FAILURE);
2996         }
2997
2998       /* -oMa: Set sender host address */
2999
3000       if (Ustrcmp(argrest, "Ma") == 0) sender_host_address = argv[++i];
3001
3002       /* -oMaa: Set authenticator name */
3003
3004       else if (Ustrcmp(argrest, "Maa") == 0)
3005         sender_host_authenticated = argv[++i];
3006
3007       /* -oMas: setting authenticated sender */
3008
3009       else if (Ustrcmp(argrest, "Mas") == 0) authenticated_sender = argv[++i];
3010
3011       /* -oMai: setting authenticated id */
3012
3013       else if (Ustrcmp(argrest, "Mai") == 0) authenticated_id = argv[++i];
3014
3015       /* -oMi: Set incoming interface address */
3016
3017       else if (Ustrcmp(argrest, "Mi") == 0) interface_address = argv[++i];
3018
3019       /* -oMm: Message reference */
3020
3021       else if (Ustrcmp(argrest, "Mm") == 0)
3022         {
3023         if (!mac_ismsgid(argv[i+1]))
3024           {
3025             fprintf(stderr,"-oMm must be a valid message ID\n");
3026             exit(EXIT_FAILURE);
3027           }
3028         if (!trusted_config)
3029           {
3030             fprintf(stderr,"-oMm must be called by a trusted user/config\n");
3031             exit(EXIT_FAILURE);
3032           }
3033           message_reference = argv[++i];
3034         }
3035
3036       /* -oMr: Received protocol */
3037
3038       else if (Ustrcmp(argrest, "Mr") == 0) received_protocol = argv[++i];
3039
3040       /* -oMs: Set sender host name */
3041
3042       else if (Ustrcmp(argrest, "Ms") == 0) sender_host_name = argv[++i];
3043
3044       /* -oMt: Set sender ident */
3045
3046       else if (Ustrcmp(argrest, "Mt") == 0)
3047         {
3048         sender_ident_set = TRUE;
3049         sender_ident = argv[++i];
3050         }
3051
3052       /* Else a bad argument */
3053
3054       else
3055         {
3056         badarg = TRUE;
3057         break;
3058         }
3059       }
3060
3061     /* -om: Me-too flag for aliases. Exim always does this. Some programs
3062     seem to call this as -m (undocumented), so that is also accepted (see
3063     above). */
3064
3065     else if (Ustrcmp(argrest, "m") == 0) {}
3066
3067     /* -oo: An ancient flag for old-style addresses which still seems to
3068     crop up in some calls (see in SCO). */
3069
3070     else if (Ustrcmp(argrest, "o") == 0) {}
3071
3072     /* -oP <name>: set pid file path for daemon */
3073
3074     else if (Ustrcmp(argrest, "P") == 0)
3075       override_pid_file_path = argv[++i];
3076
3077     /* -or <n>: set timeout for non-SMTP acceptance
3078        -os <n>: set timeout for SMTP acceptance */
3079
3080     else if (*argrest == 'r' || *argrest == 's')
3081       {
3082       int *tp = (*argrest == 'r')?
3083         &arg_receive_timeout : &arg_smtp_receive_timeout;
3084       if (argrest[1] == 0)
3085         {
3086         if (i+1 < argc) *tp= readconf_readtime(argv[++i], 0, FALSE);
3087         }
3088       else *tp = readconf_readtime(argrest + 1, 0, FALSE);
3089       if (*tp < 0)
3090         {
3091         fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3092         exit(EXIT_FAILURE);
3093         }
3094       }
3095
3096     /* -oX <list>: Override local_interfaces and/or default daemon ports */
3097
3098     else if (Ustrcmp(argrest, "X") == 0)
3099       override_local_interfaces = argv[++i];
3100
3101     /* Unknown -o argument */
3102
3103     else badarg = TRUE;
3104     break;
3105
3106
3107     /* -ps: force Perl startup; -pd force delayed Perl startup */
3108
3109     case 'p':
3110     #ifdef EXIM_PERL
3111     if (*argrest == 's' && argrest[1] == 0)
3112       {
3113       perl_start_option = 1;
3114       break;
3115       }
3116     if (*argrest == 'd' && argrest[1] == 0)
3117       {
3118       perl_start_option = -1;
3119       break;
3120       }
3121     #endif
3122
3123     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3124     which sets the host protocol and host name */
3125
3126     if (*argrest == 0)
3127       {
3128       if (i+1 < argc) argrest = argv[++i]; else
3129         { badarg = TRUE; break; }
3130       }
3131
3132     if (*argrest != 0)
3133       {
3134       uschar *hn = Ustrchr(argrest, ':');
3135       if (hn == NULL)
3136         {
3137         received_protocol = argrest;
3138         }
3139       else
3140         {
3141         received_protocol = string_copyn(argrest, hn - argrest);
3142         sender_host_name = hn + 1;
3143         }
3144       }
3145     break;
3146
3147
3148     case 'q':
3149     receiving_message = FALSE;
3150     if (queue_interval >= 0)
3151       {
3152       fprintf(stderr, "exim: -q specified more than once\n");
3153       exit(EXIT_FAILURE);
3154       }
3155
3156     /* -qq...: Do queue runs in a 2-stage manner */
3157
3158     if (*argrest == 'q')
3159       {
3160       queue_2stage = TRUE;
3161       argrest++;
3162       }
3163
3164     /* -qi...: Do only first (initial) deliveries */
3165
3166     if (*argrest == 'i')
3167       {
3168       queue_run_first_delivery = TRUE;
3169       argrest++;
3170       }
3171
3172     /* -qf...: Run the queue, forcing deliveries
3173        -qff..: Ditto, forcing thawing as well */
3174
3175     if (*argrest == 'f')
3176       {
3177       queue_run_force = TRUE;
3178       if (*(++argrest) == 'f')
3179         {
3180         deliver_force_thaw = TRUE;
3181         argrest++;
3182         }
3183       }
3184
3185     /* -q[f][f]l...: Run the queue only on local deliveries */
3186
3187     if (*argrest == 'l')
3188       {
3189       queue_run_local = TRUE;
3190       argrest++;
3191       }
3192
3193     /* -q[f][f][l]: Run the queue, optionally forced, optionally local only,
3194     optionally starting from a given message id. */
3195
3196     if (*argrest == 0 &&
3197         (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3198       {
3199       queue_interval = 0;
3200       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3201         start_queue_run_id = argv[++i];
3202       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3203         stop_queue_run_id = argv[++i];
3204       }
3205
3206     /* -q[f][f][l]<n>: Run the queue at regular intervals, optionally forced,
3207     optionally local only. */
3208
3209     else
3210       {
3211       if (*argrest != 0)
3212         queue_interval = readconf_readtime(argrest, 0, FALSE);
3213       else
3214         queue_interval = readconf_readtime(argv[++i], 0, FALSE);
3215       if (queue_interval <= 0)
3216         {
3217         fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3218         exit(EXIT_FAILURE);
3219         }
3220       }
3221     break;
3222
3223
3224     case 'R':   /* Synonymous with -qR... */
3225     receiving_message = FALSE;
3226
3227     /* -Rf:   As -R (below) but force all deliveries,
3228        -Rff:  Ditto, but also thaw all frozen messages,
3229        -Rr:   String is regex
3230        -Rrf:  Regex and force
3231        -Rrff: Regex and force and thaw
3232
3233     in all cases provided there are no further characters in this
3234     argument. */
3235
3236     if (*argrest != 0)
3237       {
3238       int i;
3239       for (i = 0; i < sizeof(rsopts)/sizeof(uschar *); i++)
3240         {
3241         if (Ustrcmp(argrest, rsopts[i]) == 0)
3242           {
3243           if (i != 2) queue_run_force = TRUE;
3244           if (i >= 2) deliver_selectstring_regex = TRUE;
3245           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3246           argrest += Ustrlen(rsopts[i]);
3247           }
3248         }
3249       }
3250
3251     /* -R: Set string to match in addresses for forced queue run to
3252     pick out particular messages. */
3253
3254     if (*argrest == 0)
3255       {
3256       if (i+1 < argc) deliver_selectstring = argv[++i]; else
3257         {
3258         fprintf(stderr, "exim: string expected after -R\n");
3259         exit(EXIT_FAILURE);
3260         }
3261       }
3262     else deliver_selectstring = argrest;
3263     break;
3264
3265
3266     /* -r: an obsolete synonym for -f (see above) */
3267
3268
3269     /* -S: Like -R but works on sender. */
3270
3271     case 'S':   /* Synonymous with -qS... */
3272     receiving_message = FALSE;
3273
3274     /* -Sf:   As -S (below) but force all deliveries,
3275        -Sff:  Ditto, but also thaw all frozen messages,
3276        -Sr:   String is regex
3277        -Srf:  Regex and force
3278        -Srff: Regex and force and thaw
3279
3280     in all cases provided there are no further characters in this
3281     argument. */
3282
3283     if (*argrest != 0)
3284       {
3285       int i;
3286       for (i = 0; i < sizeof(rsopts)/sizeof(uschar *); i++)
3287         {
3288         if (Ustrcmp(argrest, rsopts[i]) == 0)
3289           {
3290           if (i != 2) queue_run_force = TRUE;
3291           if (i >= 2) deliver_selectstring_sender_regex = TRUE;
3292           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3293           argrest += Ustrlen(rsopts[i]);
3294           }
3295         }
3296       }
3297
3298     /* -S: Set string to match in addresses for forced queue run to
3299     pick out particular messages. */
3300
3301     if (*argrest == 0)
3302       {
3303       if (i+1 < argc) deliver_selectstring_sender = argv[++i]; else
3304         {
3305         fprintf(stderr, "exim: string expected after -S\n");
3306         exit(EXIT_FAILURE);
3307         }
3308       }
3309     else deliver_selectstring_sender = argrest;
3310     break;
3311
3312     /* -Tqt is an option that is exclusively for use by the testing suite.
3313     It is not recognized in other circumstances. It allows for the setting up
3314     of explicit "queue times" so that various warning/retry things can be
3315     tested. Otherwise variability of clock ticks etc. cause problems. */
3316
3317     case 'T':
3318     if (running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3319       fudged_queue_times = argv[++i];
3320     else badarg = TRUE;
3321     break;
3322
3323
3324     /* -t: Set flag to extract recipients from body of message. */
3325
3326     case 't':
3327     if (*argrest == 0) extract_recipients = TRUE;
3328
3329     /* -ti: Set flag to extract recipients from body of message, and also
3330     specify that dot does not end the message. */
3331
3332     else if (Ustrcmp(argrest, "i") == 0)
3333       {
3334       extract_recipients = TRUE;
3335       dot_ends = FALSE;
3336       }
3337
3338     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3339
3340     #ifdef SUPPORT_TLS
3341     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3342     #endif
3343
3344     else badarg = TRUE;
3345     break;
3346
3347
3348     /* -U: This means "initial user submission" in sendmail, apparently. The
3349     doc claims that in future sendmail may refuse syntactically invalid
3350     messages instead of fixing them. For the moment, we just ignore it. */
3351
3352     case 'U':
3353     break;
3354
3355
3356     /* -v: verify things - this is a very low-level debugging */
3357
3358     case 'v':
3359     if (*argrest == 0)
3360       {
3361       debug_selector |= D_v;
3362       debug_file = stderr;
3363       }
3364     else badarg = TRUE;
3365     break;
3366
3367
3368     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3369
3370       The -x flag tells the sendmail command that mail from a local
3371       mail program has National Language Support (NLS) extended characters
3372       in the body of the mail item. The sendmail command can send mail with
3373       extended NLS characters across networks that normally corrupts these
3374       8-bit characters.
3375
3376     As Exim is 8-bit clean, it just ignores this flag. */
3377
3378     case 'x':
3379     if (*argrest != 0) badarg = TRUE;
3380     break;
3381
3382     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3383     logs to that file.  We swallow the parameter and otherwise ignore it. */
3384
3385     case 'X':
3386     if (*argrest == '\0')
3387       {
3388       if (++i >= argc)
3389         {
3390         fprintf(stderr, "exim: string expected after -X\n");
3391         exit(EXIT_FAILURE);
3392         }
3393       }
3394     break;
3395
3396     /* All other initial characters are errors */
3397
3398     default:
3399     badarg = TRUE;
3400     break;
3401     }         /* End of high-level switch statement */
3402
3403   /* Failed to recognize the option, or syntax error */
3404
3405   if (badarg)
3406     {
3407     fprintf(stderr, "exim abandoned: unknown, malformed, or incomplete "
3408       "option %s\n", arg);
3409     exit(EXIT_FAILURE);
3410     }
3411   }
3412
3413
3414 /* If -R or -S have been specified without -q, assume a single queue run. */
3415
3416 if ((deliver_selectstring != NULL || deliver_selectstring_sender != NULL) &&
3417   queue_interval < 0) queue_interval = 0;
3418
3419
3420 END_ARG:
3421 /* If usage_wanted is set we call the usage function - which never returns */
3422 if (usage_wanted) exim_usage(called_as);
3423
3424 /* Arguments have been processed. Check for incompatibilities. */
3425 if ((
3426     (smtp_input || extract_recipients || recipients_arg < argc) &&
3427     (daemon_listen || queue_interval >= 0 || bi_option ||
3428       test_retry_arg >= 0 || test_rewrite_arg >= 0 ||
3429       filter_test != FTEST_NONE || (msg_action_arg > 0 && !one_msg_action))
3430     ) ||
3431     (
3432     msg_action_arg > 0 &&
3433     (daemon_listen || queue_interval >= 0 || list_options ||
3434       (checking && msg_action != MSG_LOAD) ||
3435       bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0)
3436     ) ||
3437     (
3438     (daemon_listen || queue_interval >= 0) &&
3439     (sender_address != NULL || list_options || list_queue || checking ||
3440       bi_option)
3441     ) ||
3442     (
3443     daemon_listen && queue_interval == 0
3444     ) ||
3445     (
3446     inetd_wait_mode && queue_interval >= 0
3447     ) ||
3448     (
3449     list_options &&
3450     (checking || smtp_input || extract_recipients ||
3451       filter_test != FTEST_NONE || bi_option)
3452     ) ||
3453     (
3454     verify_address_mode &&
3455     (address_test_mode || smtp_input || extract_recipients ||
3456       filter_test != FTEST_NONE || bi_option)
3457     ) ||
3458     (
3459     address_test_mode && (smtp_input || extract_recipients ||
3460       filter_test != FTEST_NONE || bi_option)
3461     ) ||
3462     (
3463     smtp_input && (sender_address != NULL || filter_test != FTEST_NONE ||
3464       extract_recipients)
3465     ) ||
3466     (
3467     deliver_selectstring != NULL && queue_interval < 0
3468     ) ||
3469     (
3470     msg_action == MSG_LOAD &&
3471       (!expansion_test || expansion_test_message != NULL)
3472     )
3473    )
3474   {
3475   fprintf(stderr, "exim: incompatible command-line options or arguments\n");
3476   exit(EXIT_FAILURE);
3477   }
3478
3479 /* If debugging is set up, set the file and the file descriptor to pass on to
3480 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3481 to run in the foreground. */
3482
3483 if (debug_selector != 0)
3484   {
3485   debug_file = stderr;
3486   debug_fd = fileno(debug_file);
3487   background_daemon = FALSE;
3488   if (running_in_test_harness) millisleep(100);   /* lets caller finish */
3489   if (debug_selector != D_v)    /* -v only doesn't show this */
3490     {
3491     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3492       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3493       debug_selector);
3494     if (!version_printed)
3495       show_whats_supported(stderr);
3496     }
3497   }
3498
3499 /* When started with root privilege, ensure that the limits on the number of
3500 open files and the number of processes (where that is accessible) are
3501 sufficiently large, or are unset, in case Exim has been called from an
3502 environment where the limits are screwed down. Not all OS have the ability to
3503 change some of these limits. */
3504
3505 if (unprivileged)
3506   {
3507   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3508   }
3509 else
3510   {
3511   struct rlimit rlp;
3512
3513   #ifdef RLIMIT_NOFILE
3514   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3515     {
3516     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3517       strerror(errno));
3518     rlp.rlim_cur = rlp.rlim_max = 0;
3519     }
3520
3521   /* I originally chose 1000 as a nice big number that was unlikely to
3522   be exceeded. It turns out that some older OS have a fixed upper limit of
3523   256. */
3524
3525   if (rlp.rlim_cur < 1000)
3526     {
3527     rlp.rlim_cur = rlp.rlim_max = 1000;
3528     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3529       {
3530       rlp.rlim_cur = rlp.rlim_max = 256;
3531       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3532         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3533           strerror(errno));
3534       }
3535     }
3536   #endif
3537
3538   #ifdef RLIMIT_NPROC
3539   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3540     {
3541     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3542       strerror(errno));
3543     rlp.rlim_cur = rlp.rlim_max = 0;
3544     }
3545
3546   #ifdef RLIM_INFINITY
3547   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3548     {
3549     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3550   #else
3551   if (rlp.rlim_cur < 1000)
3552     {
3553     rlp.rlim_cur = rlp.rlim_max = 1000;
3554   #endif
3555     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3556       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3557         strerror(errno));
3558     }
3559   #endif
3560   }
3561
3562 /* Exim is normally entered as root (but some special configurations are
3563 possible that don't do this). However, it always spins off sub-processes that
3564 set their uid and gid as required for local delivery. We don't want to pass on
3565 any extra groups that root may belong to, so we want to get rid of them all at
3566 this point.
3567
3568 We need to obey setgroups() at this stage, before possibly giving up root
3569 privilege for a changed configuration file, but later on we might need to
3570 check on the additional groups for the admin user privilege - can't do that
3571 till after reading the config, which might specify the exim gid. Therefore,
3572 save the group list here first. */
3573
3574 group_count = getgroups(NGROUPS_MAX, group_list);
3575 if (group_count < 0)
3576   {
3577   fprintf(stderr, "exim: getgroups() failed: %s\n", strerror(errno));
3578   exit(EXIT_FAILURE);
3579   }
3580
3581 /* There is a fundamental difference in some BSD systems in the matter of
3582 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3583 known not to be different. On the "different" systems there is a single group
3584 list, and the first entry in it is the current group. On all other versions of
3585 Unix there is a supplementary group list, which is in *addition* to the current
3586 group. Consequently, to get rid of all extraneous groups on a "standard" system
3587 you pass over 0 groups to setgroups(), while on a "different" system you pass
3588 over a single group - the current group, which is always the first group in the
3589 list. Calling setgroups() with zero groups on a "different" system results in
3590 an error return. The following code should cope with both types of system.
3591
3592 However, if this process isn't running as root, setgroups() can't be used
3593 since you have to be root to run it, even if throwing away groups. Not being
3594 root here happens only in some unusual configurations. We just ignore the
3595 error. */
3596
3597 if (setgroups(0, NULL) != 0)
3598   {
3599   if (setgroups(1, group_list) != 0 && !unprivileged)
3600     {
3601     fprintf(stderr, "exim: setgroups() failed: %s\n", strerror(errno));
3602     exit(EXIT_FAILURE);
3603     }
3604   }
3605
3606 /* If the configuration file name has been altered by an argument on the
3607 command line (either a new file name or a macro definition) and the caller is
3608 not root, or if this is a filter testing run, remove any setuid privilege the
3609 program has and run as the underlying user.
3610
3611 The exim user is locked out of this, which severely restricts the use of -C
3612 for some purposes.
3613
3614 Otherwise, set the real ids to the effective values (should be root unless run
3615 from inetd, which it can either be root or the exim uid, if one is configured).
3616
3617 There is a private mechanism for bypassing some of this, in order to make it
3618 possible to test lots of configurations automatically, without having either to
3619 recompile each time, or to patch in an actual configuration file name and other
3620 values (such as the path name). If running in the test harness, pretend that
3621 configuration file changes and macro definitions haven't happened. */
3622
3623 if ((                                            /* EITHER */
3624     (!trusted_config ||                          /* Config changed, or */
3625      !macros_trusted()) &&                       /*  impermissible macros and */
3626     real_uid != root_uid &&                      /* Not root, and */
3627     !running_in_test_harness                     /* Not fudged */
3628     ) ||                                         /*   OR   */
3629     expansion_test                               /* expansion testing */
3630     ||                                           /*   OR   */
3631     filter_test != FTEST_NONE)                   /* Filter testing */
3632   {
3633   setgroups(group_count, group_list);
3634   exim_setugid(real_uid, real_gid, FALSE,
3635     US"-C, -D, -be or -bf forces real uid");
3636   removed_privilege = TRUE;
3637
3638   /* In the normal case when Exim is called like this, stderr is available
3639   and should be used for any logging information because attempts to write
3640   to the log will usually fail. To arrange this, we unset really_exim. However,
3641   if no stderr is available there is no point - we might as well have a go
3642   at the log (if it fails, syslog will be written).
3643
3644   Note that if the invoker is Exim, the logs remain available. Messing with
3645   this causes unlogged successful deliveries.  */
3646
3647   if ((log_stderr != NULL) && (real_uid != exim_uid))
3648     really_exim = FALSE;
3649   }
3650
3651 /* Privilege is to be retained for the moment. It may be dropped later,
3652 depending on the job that this Exim process has been asked to do. For now, set
3653 the real uid to the effective so that subsequent re-execs of Exim are done by a
3654 privileged user. */
3655
3656 else exim_setugid(geteuid(), getegid(), FALSE, US"forcing real = effective");
3657
3658 /* If testing a filter, open the file(s) now, before wasting time doing other
3659 setups and reading the message. */
3660
3661 if ((filter_test & FTEST_SYSTEM) != 0)
3662   {
3663   filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0);
3664   if (filter_sfd < 0)
3665     {
3666     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_sfile,
3667       strerror(errno));
3668     return EXIT_FAILURE;
3669     }
3670   }
3671
3672 if ((filter_test & FTEST_USER) != 0)
3673   {
3674   filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0);
3675   if (filter_ufd < 0)
3676     {
3677     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_ufile,
3678       strerror(errno));
3679     return EXIT_FAILURE;
3680     }
3681   }
3682
3683 /* Initialise lookup_list
3684 If debugging, already called above via version reporting.
3685 In either case, we initialise the list of available lookups while running
3686 as root.  All dynamically modules are loaded from a directory which is
3687 hard-coded into the binary and is code which, if not a module, would be
3688 part of Exim already.  Ability to modify the content of the directory
3689 is equivalent to the ability to modify a setuid binary!
3690
3691 This needs to happen before we read the main configuration. */
3692 init_lookup_list();
3693
3694 /* Read the main runtime configuration data; this gives up if there
3695 is a failure. It leaves the configuration file open so that the subsequent
3696 configuration data for delivery can be read if needed. */
3697
3698 readconf_main();
3699
3700 /* If an action on specific messages is requested, or if a daemon or queue
3701 runner is being started, we need to know if Exim was called by an admin user.
3702 This is the case if the real user is root or exim, or if the real group is
3703 exim, or if one of the supplementary groups is exim or a group listed in
3704 admin_groups. We don't fail all message actions immediately if not admin_user,
3705 since some actions can be performed by non-admin users. Instead, set admin_user
3706 for later interrogation. */
3707
3708 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3709   admin_user = TRUE;
3710 else
3711   {
3712   int i, j;
3713   for (i = 0; i < group_count; i++)
3714     {
3715     if (group_list[i] == exim_gid) admin_user = TRUE;
3716     else if (admin_groups != NULL)
3717       {
3718       for (j = 1; j <= (int)(admin_groups[0]); j++)
3719         if (admin_groups[j] == group_list[i])
3720           { admin_user = TRUE; break; }
3721       }
3722     if (admin_user) break;
3723     }
3724   }
3725
3726 /* Another group of privileged users are the trusted users. These are root,
3727 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3728 are permitted to specify sender_addresses with -f on the command line, and
3729 other message parameters as well. */
3730
3731 if (real_uid == root_uid || real_uid == exim_uid)
3732   trusted_caller = TRUE;
3733 else
3734   {
3735   int i, j;
3736
3737   if (trusted_users != NULL)
3738     {
3739     for (i = 1; i <= (int)(trusted_users[0]); i++)
3740       if (trusted_users[i] == real_uid)
3741         { trusted_caller = TRUE; break; }
3742     }
3743
3744   if (!trusted_caller && trusted_groups != NULL)
3745     {
3746     for (i = 1; i <= (int)(trusted_groups[0]); i++)
3747       {
3748       if (trusted_groups[i] == real_gid)
3749         trusted_caller = TRUE;
3750       else for (j = 0; j < group_count; j++)
3751         {
3752         if (trusted_groups[i] == group_list[j])
3753           { trusted_caller = TRUE; break; }
3754         }
3755       if (trusted_caller) break;
3756       }
3757     }
3758   }
3759
3760 /* Handle the decoding of logging options. */
3761
3762 decode_bits(&log_write_selector, &log_extra_selector, 0, 0,
3763   log_selector_string, log_options, log_options_count, US"log", 0);
3764
3765 DEBUG(D_any)
3766   {
3767   debug_printf("configuration file is %s\n", config_main_filename);
3768   debug_printf("log selectors = %08x %08x\n", log_write_selector,
3769     log_extra_selector);
3770   }
3771
3772 /* If domain literals are not allowed, check the sender address that was
3773 supplied with -f. Ditto for a stripped trailing dot. */
3774
3775 if (sender_address != NULL)
3776   {
3777   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3778     {
3779     fprintf(stderr, "exim: bad -f address \"%s\": domain literals not "
3780       "allowed\n", sender_address);
3781     return EXIT_FAILURE;
3782     }
3783   if (f_end_dot && !strip_trailing_dot)
3784     {
3785     fprintf(stderr, "exim: bad -f address \"%s.\": domain is malformed "
3786       "(trailing dot not allowed)\n", sender_address);
3787     return EXIT_FAILURE;
3788     }
3789   }
3790
3791 /* See if an admin user overrode our logging. */
3792
3793 if (cmdline_syslog_name != NULL)
3794   {
3795   if (admin_user)
3796     {
3797     syslog_processname = cmdline_syslog_name;
3798     log_file_path = string_copy(CUS"syslog");
3799     }
3800   else
3801     {
3802     /* not a panic, non-privileged users should not be able to spam paniclog */
3803     fprintf(stderr,
3804         "exim: you lack sufficient privilege to specify syslog process name\n");
3805     return EXIT_FAILURE;
3806     }
3807   }
3808
3809 /* Paranoia check of maximum lengths of certain strings. There is a check
3810 on the length of the log file path in log.c, which will come into effect
3811 if there are any calls to write the log earlier than this. However, if we
3812 get this far but the string is very long, it is better to stop now than to
3813 carry on and (e.g.) receive a message and then have to collapse. The call to
3814 log_write() from here will cause the ultimate panic collapse if the complete
3815 file name exceeds the buffer length. */
3816
3817 if (Ustrlen(log_file_path) > 200)
3818   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3819     "log_file_path is longer than 200 chars: aborting");
3820
3821 if (Ustrlen(pid_file_path) > 200)
3822   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3823     "pid_file_path is longer than 200 chars: aborting");
3824
3825 if (Ustrlen(spool_directory) > 200)
3826   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3827     "spool_directory is longer than 200 chars: aborting");
3828
3829 /* Length check on the process name given to syslog for its TAG field,
3830 which is only permitted to be 32 characters or less. See RFC 3164. */
3831
3832 if (Ustrlen(syslog_processname) > 32)
3833   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3834     "syslog_processname is longer than 32 chars: aborting");
3835
3836 /* In some operating systems, the environment variable TMPDIR controls where
3837 temporary files are created; Exim doesn't use these (apart from when delivering
3838 to MBX mailboxes), but called libraries such as DBM libraries may require them.
3839 If TMPDIR is found in the environment, reset it to the value defined in the
3840 TMPDIR macro, if this macro is defined. */
3841
3842 #ifdef TMPDIR
3843   {
3844   uschar **p;
3845   for (p = USS environ; *p != NULL; p++)
3846     {
3847     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 &&
3848         Ustrcmp(*p+7, TMPDIR) != 0)
3849       {
3850       uschar *newp = malloc(Ustrlen(TMPDIR) + 8);
3851       sprintf(CS newp, "TMPDIR=%s", TMPDIR);
3852       *p = newp;
3853       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", TMPDIR);
3854       }
3855     }
3856   }
3857 #endif
3858
3859 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
3860 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
3861 we may need to get rid of a bogus timezone setting. This can arise when Exim is
3862 called by a user who has set the TZ variable. This then affects the timestamps
3863 in log files and in Received: headers, and any created Date: header lines. The
3864 required timezone is settable in the configuration file, so nothing can be done
3865 about this earlier - but hopefully nothing will normally be logged earlier than
3866 this. We have to make a new environment if TZ is wrong, but don't bother if
3867 timestamps_utc is set, because then all times are in UTC anyway. */
3868
3869 if (timezone_string != NULL && strcmpic(timezone_string, US"UTC") == 0)
3870   {
3871   timestamps_utc = TRUE;
3872   }
3873 else
3874   {
3875   uschar *envtz = US getenv("TZ");
3876   if ((envtz == NULL && timezone_string != NULL) ||
3877       (envtz != NULL &&
3878         (timezone_string == NULL ||
3879          Ustrcmp(timezone_string, envtz) != 0)))
3880     {
3881     uschar **p = USS environ;
3882     uschar **new;
3883     uschar **newp;
3884     int count = 0;
3885     while (*p++ != NULL) count++;
3886     if (envtz == NULL) count++;
3887     newp = new = malloc(sizeof(uschar *) * (count + 1));
3888     for (p = USS environ; *p != NULL; p++)
3889       {
3890       if (Ustrncmp(*p, "TZ=", 3) == 0) continue;
3891       *newp++ = *p;
3892       }
3893     if (timezone_string != NULL)
3894       {
3895       *newp = malloc(Ustrlen(timezone_string) + 4);
3896       sprintf(CS *newp++, "TZ=%s", timezone_string);
3897       }
3898     *newp = NULL;
3899     environ = CSS new;
3900     tzset();
3901     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
3902       tod_stamp(tod_log));
3903     }
3904   }
3905
3906 /* Handle the case when we have removed the setuid privilege because of -C or
3907 -D. This means that the caller of Exim was not root.
3908
3909 There is a problem if we were running as the Exim user. The sysadmin may
3910 expect this case to retain privilege because "the binary was called by the
3911 Exim user", but it hasn't, because either the -D option set macros, or the
3912 -C option set a non-trusted configuration file. There are two possibilities:
3913
3914   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
3915       to do message deliveries. Thus, the fact that it is running as a
3916       non-privileged user is plausible, and might be wanted in some special
3917       configurations. However, really_exim will have been set false when
3918       privilege was dropped, to stop Exim trying to write to its normal log
3919       files. Therefore, re-enable normal log processing, assuming the sysadmin
3920       has set up the log directory correctly.
3921
3922   (2) If deliver_drop_privilege is not set, the configuration won't work as
3923       apparently intended, and so we log a panic message. In order to retain
3924       root for -C or -D, the caller must either be root or be invoking a
3925       trusted configuration file (when deliver_drop_privilege is false). */
3926
3927 if (removed_privilege && (!trusted_config || macros != NULL) &&
3928     real_uid == exim_uid)
3929   {
3930   if (deliver_drop_privilege)
3931     really_exim = TRUE; /* let logging work normally */
3932   else
3933     log_write(0, LOG_MAIN|LOG_PANIC,
3934       "exim user lost privilege for using %s option",
3935       trusted_config? "-D" : "-C");
3936   }
3937
3938 /* Start up Perl interpreter if Perl support is configured and there is a
3939 perl_startup option, and the configuration or the command line specifies
3940 initializing starting. Note that the global variables are actually called
3941 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
3942
3943 #ifdef EXIM_PERL
3944 if (perl_start_option != 0)
3945   opt_perl_at_start = (perl_start_option > 0);
3946 if (opt_perl_at_start && opt_perl_startup != NULL)
3947   {
3948   uschar *errstr;
3949   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
3950   errstr = init_perl(opt_perl_startup);
3951   if (errstr != NULL)
3952     {
3953     fprintf(stderr, "exim: error in perl_startup code: %s\n", errstr);
3954     return EXIT_FAILURE;
3955     }
3956   opt_perl_started = TRUE;
3957   }
3958 #endif /* EXIM_PERL */
3959
3960 /* Log the arguments of the call if the configuration file said so. This is
3961 a debugging feature for finding out what arguments certain MUAs actually use.
3962 Don't attempt it if logging is disabled, or if listing variables or if
3963 verifying/testing addresses or expansions. */
3964
3965 if (((debug_selector & D_any) != 0 || (log_extra_selector & LX_arguments) != 0)
3966       && really_exim && !list_options && !checking)
3967   {
3968   int i;
3969   uschar *p = big_buffer;
3970   char * dummy;
3971   Ustrcpy(p, "cwd= (failed)");
3972   dummy = /* quieten compiler */ getcwd(CS p+4, big_buffer_size - 4);
3973   while (*p) p++;
3974   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
3975   while (*p) p++;
3976   for (i = 0; i < argc; i++)
3977     {
3978     int len = Ustrlen(argv[i]);
3979     uschar *printing;
3980     uschar *quote;
3981     if (p + len + 8 >= big_buffer + big_buffer_size)
3982       {
3983       Ustrcpy(p, " ...");
3984       log_write(0, LOG_MAIN, "%s", big_buffer);
3985       Ustrcpy(big_buffer, "...");
3986       p = big_buffer + 3;
3987       }
3988     printing = string_printing(argv[i]);
3989     if (printing[0] == 0) quote = US"\""; else
3990       {
3991       uschar *pp = printing;
3992       quote = US"";
3993       while (*pp != 0) if (isspace(*pp++)) { quote = US"\""; break; }
3994       }
3995     sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
3996       (p - big_buffer) - 4), printing, quote);
3997     while (*p) p++;
3998     }
3999
4000   if ((log_extra_selector & LX_arguments) != 0)
4001     log_write(0, LOG_MAIN, "%s", big_buffer);
4002   else
4003     debug_printf("%s\n", big_buffer);
4004   }
4005
4006 /* Set the working directory to be the top-level spool directory. We don't rely
4007 on this in the code, which always uses fully qualified names, but it's useful
4008 for core dumps etc. Don't complain if it fails - the spool directory might not
4009 be generally accessible and calls with the -C option (and others) have lost
4010 privilege by now. Before the chdir, we try to ensure that the directory exists.
4011 */
4012
4013 if (Uchdir(spool_directory) != 0)
4014   {
4015   int dummy;
4016   (void)directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4017   dummy = /* quieten compiler */ Uchdir(spool_directory);
4018   }
4019
4020 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4021 alias file. Exim doesn't have such a concept, but this call is screwed into
4022 Sun's YP makefiles. Handle this by calling a configured script, as the real
4023 user who called Exim. The -oA option can be used to pass an argument to the
4024 script. */
4025
4026 if (bi_option)
4027   {
4028   (void)fclose(config_file);
4029   if (bi_command != NULL)
4030     {
4031     int i = 0;
4032     uschar *argv[3];
4033     argv[i++] = bi_command;
4034     if (alias_arg != NULL) argv[i++] = alias_arg;
4035     argv[i++] = NULL;
4036
4037     setgroups(group_count, group_list);
4038     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4039
4040     DEBUG(D_exec) debug_printf("exec %.256s %.256s\n", argv[0],
4041       (argv[1] == NULL)? US"" : argv[1]);
4042
4043     execv(CS argv[0], (char *const *)argv);
4044     fprintf(stderr, "exim: exec failed: %s\n", strerror(errno));
4045     exit(EXIT_FAILURE);
4046     }
4047   else
4048     {
4049     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4050     exit(EXIT_SUCCESS);
4051     }
4052   }
4053
4054 /* We moved the admin/trusted check to be immediately after reading the
4055 configuration file.  We leave these prints here to ensure that syslog setup,
4056 logfile setup, and so on has already happened. */
4057
4058 if (trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4059 if (admin_user) DEBUG(D_any) debug_printf("admin user\n");
4060
4061 /* Only an admin user may start the daemon or force a queue run in the default
4062 configuration, but the queue run restriction can be relaxed. Only an admin
4063 user may request that a message be returned to its sender forthwith. Only an
4064 admin user may specify a debug level greater than D_v (because it might show
4065 passwords, etc. in lookup queries). Only an admin user may request a queue
4066 count. Only an admin user can use the test interface to scan for email
4067 (because Exim will be in the spool dir and able to look at mails). */
4068
4069 if (!admin_user)
4070   {
4071   BOOL debugset = (debug_selector & ~D_v) != 0;
4072   if (deliver_give_up || daemon_listen || malware_test_file ||
4073      (count_queue && queue_list_requires_admin) ||
4074      (list_queue && queue_list_requires_admin) ||
4075      (queue_interval >= 0 && prod_requires_admin) ||
4076      (debugset && !running_in_test_harness))
4077     {
4078     fprintf(stderr, "exim:%s permission denied\n", debugset? " debugging" : "");
4079     exit(EXIT_FAILURE);
4080     }
4081   }
4082
4083 /* If the real user is not root or the exim uid, the argument for passing
4084 in an open TCP/IP connection for another message is not permitted, nor is
4085 running with the -N option for any delivery action, unless this call to exim is
4086 one that supplied an input message, or we are using a patched exim for
4087 regression testing. */
4088
4089 if (real_uid != root_uid && real_uid != exim_uid &&
4090      (continue_hostname != NULL ||
4091        (dont_deliver &&
4092          (queue_interval >= 0 || daemon_listen || msg_action_arg > 0)
4093        )) && !running_in_test_harness)
4094   {
4095   fprintf(stderr, "exim: Permission denied\n");
4096   return EXIT_FAILURE;
4097   }
4098
4099 /* If the caller is not trusted, certain arguments are ignored when running for
4100 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4101 Note that authority for performing certain actions on messages is tested in the
4102 queue_action() function. */
4103
4104 if (!trusted_caller && !checking && filter_test == FTEST_NONE)
4105   {
4106   sender_host_name = sender_host_address = interface_address =
4107     sender_ident = received_protocol = NULL;
4108   sender_host_port = interface_port = 0;
4109   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4110   }
4111
4112 /* If a sender host address is set, extract the optional port number off the
4113 end of it and check its syntax. Do the same thing for the interface address.
4114 Exim exits if the syntax is bad. */
4115
4116 else
4117   {
4118   if (sender_host_address != NULL)
4119     sender_host_port = check_port(sender_host_address);
4120   if (interface_address != NULL)
4121     interface_port = check_port(interface_address);
4122   }
4123
4124 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4125 if (flag_G)
4126   {
4127   if (trusted_caller)
4128     {
4129     suppress_local_fixups = suppress_local_fixups_default = TRUE;
4130     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4131     }
4132   else
4133     {
4134     fprintf(stderr, "exim: permission denied (-G requires a trusted user)\n");
4135     return EXIT_FAILURE;
4136     }
4137   }
4138
4139 /* If an SMTP message is being received check to see if the standard input is a
4140 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4141 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4142 barf. */
4143
4144 if (smtp_input)
4145   {
4146   union sockaddr_46 inetd_sock;
4147   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4148   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4149     {
4150     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4151     if (family == AF_INET || family == AF_INET6)
4152       {
4153       union sockaddr_46 interface_sock;
4154       size = sizeof(interface_sock);
4155
4156       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4157         interface_address = host_ntoa(-1, &interface_sock, NULL,
4158           &interface_port);
4159
4160       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4161
4162       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4163         {
4164         is_inetd = TRUE;
4165         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4166           NULL, &sender_host_port);
4167         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4168           "inetd is not supported when mua_wrapper is set");
4169         }
4170       else
4171         {
4172         fprintf(stderr,
4173           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4174         return EXIT_FAILURE;
4175         }
4176       }
4177     }
4178   }
4179
4180 /* If the load average is going to be needed while receiving a message, get it
4181 now for those OS that require the first call to os_getloadavg() to be done as
4182 root. There will be further calls later for each message received. */
4183
4184 #ifdef LOAD_AVG_NEEDS_ROOT
4185 if (receiving_message &&
4186       (queue_only_load >= 0 ||
4187         (is_inetd && smtp_load_reserve >= 0)
4188       ))
4189   {
4190   load_average = OS_GETLOADAVG();
4191   }
4192 #endif
4193
4194 /* The queue_only configuration option can be overridden by -odx on the command
4195 line, except that if queue_only_override is false, queue_only cannot be unset
4196 from the command line. */
4197
4198 if (queue_only_set && (queue_only_override || arg_queue_only))
4199   queue_only = arg_queue_only;
4200
4201 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4202 -or and -os. */
4203
4204 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4205 if (arg_smtp_receive_timeout >= 0)
4206   smtp_receive_timeout = arg_smtp_receive_timeout;
4207
4208 /* If Exim was started with root privilege, unless we have already removed the
4209 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4210 except when starting the daemon or doing some kind of delivery or address
4211 testing (-bt). These are the only cases when root need to be retained. We run
4212 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4213 retained only for starting the daemon. We always do the initgroups() in this
4214 situation (controlled by the TRUE below), in order to be as close as possible
4215 to the state Exim usually runs in. */
4216
4217 if (!unprivileged &&                      /* originally had root AND */
4218     !removed_privilege &&                 /* still got root AND      */
4219     !daemon_listen &&                     /* not starting the daemon */
4220     queue_interval <= 0 &&                /* (either kind of daemon) */
4221       (                                   /*    AND EITHER           */
4222       deliver_drop_privilege ||           /* requested unprivileged  */
4223         (                                 /*       OR                */
4224         queue_interval < 0 &&             /* not running the queue   */
4225         (msg_action_arg < 0 ||            /*       and               */
4226           msg_action != MSG_DELIVER) &&   /* not delivering and      */
4227         (!checking || !address_test_mode) /* not address checking    */
4228         )
4229       ))
4230   {
4231   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4232   }
4233
4234 /* When we are retaining a privileged uid, we still change to the exim gid. */
4235
4236 else
4237   {
4238   int rv;
4239   rv = setgid(exim_gid);
4240   /* Impact of failure is that some stuff might end up with an incorrect group.
4241   We track this for failures from root, since any attempt to change privilege
4242   by root should succeed and failures should be examined.  For non-root,
4243   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4244   no need to complain then. */
4245   if (rv == -1)
4246     {
4247     if (!(unprivileged || removed_privilege))
4248       {
4249       fprintf(stderr,
4250           "exim: changing group failed: %s\n", strerror(errno));
4251       exit(EXIT_FAILURE);
4252       }
4253     else
4254       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4255           (long int)exim_gid, strerror(errno));
4256     }
4257   }
4258
4259 /* Handle a request to scan a file for malware */
4260 if (malware_test_file)
4261   {
4262 #ifdef WITH_CONTENT_SCAN
4263   int result;
4264   set_process_info("scanning file for malware");
4265   result = malware_in_file(malware_test_file);
4266   if (result == FAIL)
4267     {
4268     printf("No malware found.\n");
4269     exit(EXIT_SUCCESS);
4270     }
4271   if (result != OK)
4272     {
4273     printf("Malware lookup returned non-okay/fail: %d\n", result);
4274     exit(EXIT_FAILURE);
4275     }
4276   if (malware_name)
4277     printf("Malware found: %s\n", malware_name);
4278   else
4279     printf("Malware scan detected malware of unknown name.\n");
4280 #else
4281   printf("Malware scanning not enabled at compile time.\n");
4282 #endif
4283   exit(EXIT_FAILURE);
4284   }
4285
4286 /* Handle a request to list the delivery queue */
4287
4288 if (list_queue)
4289   {
4290   set_process_info("listing the queue");
4291   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4292   exit(EXIT_SUCCESS);
4293   }
4294
4295 /* Handle a request to count the delivery queue */
4296
4297 if (count_queue)
4298   {
4299   set_process_info("counting the queue");
4300   queue_count();
4301   exit(EXIT_SUCCESS);
4302   }
4303
4304 /* Handle actions on specific messages, except for the force delivery and
4305 message load actions, which are done below. Some actions take a whole list of
4306 message ids, which are known to continue up to the end of the arguments. Others
4307 take a single message id and then operate on the recipients list. */
4308
4309 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4310   {
4311   int yield = EXIT_SUCCESS;
4312   set_process_info("acting on specified messages");
4313
4314   if (!one_msg_action)
4315     {
4316     for (i = msg_action_arg; i < argc; i++)
4317       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4318         yield = EXIT_FAILURE;
4319     }
4320
4321   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4322     recipients_arg)) yield = EXIT_FAILURE;
4323   exit(yield);
4324   }
4325
4326 /* We used to set up here to skip reading the ACL section, on
4327  (msg_action_arg > 0 || (queue_interval == 0 && !daemon_listen)
4328 Now, since the intro of the ${acl } expansion, ACL definitions may be
4329 needed in transports so we lost the optimisation. */
4330
4331 readconf_rest();
4332
4333 /* The configuration data will have been read into POOL_PERM because we won't
4334 ever want to reset back past it. Change the current pool to POOL_MAIN. In fact,
4335 this is just a bit of pedantic tidiness. It wouldn't really matter if the
4336 configuration were read into POOL_MAIN, because we don't do any resets till
4337 later on. However, it seems right, and it does ensure that both pools get used.
4338 */
4339
4340 store_pool = POOL_MAIN;
4341
4342 /* Handle the -brt option. This is for checking out retry configurations.
4343 The next three arguments are a domain name or a complete address, and
4344 optionally two error numbers. All it does is to call the function that
4345 scans the retry configuration data. */
4346
4347 if (test_retry_arg >= 0)
4348   {
4349   retry_config *yield;
4350   int basic_errno = 0;
4351   int more_errno = 0;
4352   uschar *s1, *s2;
4353
4354   if (test_retry_arg >= argc)
4355     {
4356     printf("-brt needs a domain or address argument\n");
4357     exim_exit(EXIT_FAILURE);
4358     }
4359   s1 = argv[test_retry_arg++];
4360   s2 = NULL;
4361
4362   /* If the first argument contains no @ and no . it might be a local user
4363   or it might be a single-component name. Treat as a domain. */
4364
4365   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4366     {
4367     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4368       "being \ntreated as a one-component domain, not as a local part.\n\n",
4369       s1);
4370     }
4371
4372   /* There may be an optional second domain arg. */
4373
4374   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4375     s2 = argv[test_retry_arg++];
4376
4377   /* The final arg is an error name */
4378
4379   if (test_retry_arg < argc)
4380     {
4381     uschar *ss = argv[test_retry_arg];
4382     uschar *error =
4383       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4384     if (error != NULL)
4385       {
4386       printf("%s\n", CS error);
4387       return EXIT_FAILURE;
4388       }
4389
4390     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4391     code > 100 as an error is for matching codes to the decade. Turn them into
4392     a real error code, off the decade. */
4393
4394     if (basic_errno == ERRNO_MAIL4XX ||
4395         basic_errno == ERRNO_RCPT4XX ||
4396         basic_errno == ERRNO_DATA4XX)
4397       {
4398       int code = (more_errno >> 8) & 255;
4399       if (code == 255)
4400         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4401       else if (code > 100)
4402         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4403       }
4404     }
4405
4406   yield = retry_find_config(s1, s2, basic_errno, more_errno);
4407   if (yield == NULL) printf("No retry information found\n"); else
4408     {
4409     retry_rule *r;
4410     more_errno = yield->more_errno;
4411     printf("Retry rule: %s  ", yield->pattern);
4412
4413     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4414       {
4415       printf("quota%s%s  ",
4416         (more_errno > 0)? "_" : "",
4417         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4418       }
4419     else if (yield->basic_errno == ECONNREFUSED)
4420       {
4421       printf("refused%s%s  ",
4422         (more_errno > 0)? "_" : "",
4423         (more_errno == 'M')? "MX" :
4424         (more_errno == 'A')? "A" : "");
4425       }
4426     else if (yield->basic_errno == ETIMEDOUT)
4427       {
4428       printf("timeout");
4429       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4430       more_errno &= 255;
4431       if (more_errno != 0) printf("_%s",
4432         (more_errno == 'M')? "MX" : "A");
4433       printf("  ");
4434       }
4435     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4436       printf("auth_failed  ");
4437     else printf("*  ");
4438
4439     for (r = yield->rules; r != NULL; r = r->next)
4440       {
4441       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4442       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4443       if (r->rule == 'G')
4444         {
4445         int x = r->p2;
4446         int f = x % 1000;
4447         int d = 100;
4448         printf(",%d.", x/1000);
4449         do
4450           {
4451           printf("%d", f/d);
4452           f %= d;
4453           d /= 10;
4454           }
4455         while (f != 0);
4456         }
4457       printf("; ");
4458       }
4459
4460     printf("\n");
4461     }
4462   exim_exit(EXIT_SUCCESS);
4463   }
4464
4465 /* Handle a request to list one or more configuration options */
4466 /* If -n was set, we suppress some information */
4467
4468 if (list_options)
4469   {
4470   set_process_info("listing variables");
4471   if (recipients_arg >= argc) readconf_print(US"all", NULL, flag_n);
4472     else for (i = recipients_arg; i < argc; i++)
4473       {
4474       if (i < argc - 1 &&
4475           (Ustrcmp(argv[i], "router") == 0 ||
4476            Ustrcmp(argv[i], "transport") == 0 ||
4477            Ustrcmp(argv[i], "authenticator") == 0 ||
4478            Ustrcmp(argv[i], "macro") == 0))
4479         {
4480         readconf_print(argv[i+1], argv[i], flag_n);
4481         i++;
4482         }
4483       else readconf_print(argv[i], NULL, flag_n);
4484       }
4485   exim_exit(EXIT_SUCCESS);
4486   }
4487
4488
4489 /* Handle a request to deliver one or more messages that are already on the
4490 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4491 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4492
4493 Delivery of specific messages is typically used for a small number when
4494 prodding by hand (when the option forced_delivery will be set) or when
4495 re-execing to regain root privilege. Each message delivery must happen in a
4496 separate process, so we fork a process for each one, and run them sequentially
4497 so that debugging output doesn't get intertwined, and to avoid spawning too
4498 many processes if a long list is given. However, don't fork for the last one;
4499 this saves a process in the common case when Exim is called to deliver just one
4500 message. */
4501
4502 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4503   {
4504   if (prod_requires_admin && !admin_user)
4505     {
4506     fprintf(stderr, "exim: Permission denied\n");
4507     exim_exit(EXIT_FAILURE);
4508     }
4509   set_process_info("delivering specified messages");
4510   if (deliver_give_up) forced_delivery = deliver_force_thaw = TRUE;
4511   for (i = msg_action_arg; i < argc; i++)
4512     {
4513     int status;
4514     pid_t pid;
4515     if (i == argc - 1)
4516       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4517     else if ((pid = fork()) == 0)
4518       {
4519       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4520       _exit(EXIT_SUCCESS);
4521       }
4522     else if (pid < 0)
4523       {
4524       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4525         strerror(errno));
4526       exim_exit(EXIT_FAILURE);
4527       }
4528     else wait(&status);
4529     }
4530   exim_exit(EXIT_SUCCESS);
4531   }
4532
4533
4534 /* If only a single queue run is requested, without SMTP listening, we can just
4535 turn into a queue runner, with an optional starting message id. */
4536
4537 if (queue_interval == 0 && !daemon_listen)
4538   {
4539   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4540     (start_queue_run_id == NULL)? US"" : US" starting at ",
4541     (start_queue_run_id == NULL)? US"" : start_queue_run_id,
4542     (stop_queue_run_id == NULL)?  US"" : US" stopping at ",
4543     (stop_queue_run_id == NULL)?  US"" : stop_queue_run_id);
4544   set_process_info("running the queue (single queue run)");
4545   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4546   exim_exit(EXIT_SUCCESS);
4547   }
4548
4549
4550 /* Find the login name of the real user running this process. This is always
4551 needed when receiving a message, because it is written into the spool file. It
4552 may also be used to construct a from: or a sender: header, and in this case we
4553 need the user's full name as well, so save a copy of it, checked for RFC822
4554 syntax and munged if necessary, if it hasn't previously been set by the -F
4555 argument. We may try to get the passwd entry more than once, in case NIS or
4556 other delays are in evidence. Save the home directory for use in filter testing
4557 (only). */
4558
4559 for (i = 0;;)
4560   {
4561   if ((pw = getpwuid(real_uid)) != NULL)
4562     {
4563     originator_login = string_copy(US pw->pw_name);
4564     originator_home = string_copy(US pw->pw_dir);
4565
4566     /* If user name has not been set by -F, set it from the passwd entry
4567     unless -f has been used to set the sender address by a trusted user. */
4568
4569     if (originator_name == NULL)
4570       {
4571       if (sender_address == NULL ||
4572            (!trusted_caller && filter_test == FTEST_NONE))
4573         {
4574         uschar *name = US pw->pw_gecos;
4575         uschar *amp = Ustrchr(name, '&');
4576         uschar buffer[256];
4577
4578         /* Most Unix specify that a '&' character in the gecos field is
4579         replaced by a copy of the login name, and some even specify that
4580         the first character should be upper cased, so that's what we do. */
4581
4582         if (amp != NULL)
4583           {
4584           int loffset;
4585           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4586             amp - name, name, &loffset, originator_login, amp + 1);
4587           buffer[loffset] = toupper(buffer[loffset]);
4588           name = buffer;
4589           }
4590
4591         /* If a pattern for matching the gecos field was supplied, apply
4592         it and then expand the name string. */
4593
4594         if (gecos_pattern != NULL && gecos_name != NULL)
4595           {
4596           const pcre *re;
4597           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4598
4599           if (regex_match_and_setup(re, name, 0, -1))
4600             {
4601             uschar *new_name = expand_string(gecos_name);
4602             expand_nmax = -1;
4603             if (new_name != NULL)
4604               {
4605               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4606                 "gecos field \"%s\"\n", new_name, name);
4607               name = new_name;
4608               }
4609             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4610               "\"%s\": %s\n", gecos_name, expand_string_message);
4611             }
4612           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4613             "gecos field \"%s\"\n", gecos_pattern, name);
4614           store_free((void *)re);
4615           }
4616         originator_name = string_copy(name);
4617         }
4618
4619       /* A trusted caller has used -f but not -F */
4620
4621       else originator_name = US"";
4622       }
4623
4624     /* Break the retry loop */
4625
4626     break;
4627     }
4628
4629   if (++i > finduser_retries) break;
4630   sleep(1);
4631   }
4632
4633 /* If we cannot get a user login, log the incident and give up, unless the
4634 configuration specifies something to use. When running in the test harness,
4635 any setting of unknown_login overrides the actual name. */
4636
4637 if (originator_login == NULL || running_in_test_harness)
4638   {
4639   if (unknown_login != NULL)
4640     {
4641     originator_login = expand_string(unknown_login);
4642     if (originator_name == NULL && unknown_username != NULL)
4643       originator_name = expand_string(unknown_username);
4644     if (originator_name == NULL) originator_name = US"";
4645     }
4646   if (originator_login == NULL)
4647     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4648       (int)real_uid);
4649   }
4650
4651 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4652 RFC822 address.*/
4653
4654 originator_name = string_copy(parse_fix_phrase(originator_name,
4655   Ustrlen(originator_name), big_buffer, big_buffer_size));
4656
4657 /* If a message is created by this call of Exim, the uid/gid of its originator
4658 are those of the caller. These values are overridden if an existing message is
4659 read in from the spool. */
4660
4661 originator_uid = real_uid;
4662 originator_gid = real_gid;
4663
4664 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4665   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4666
4667 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4668 returns. We leave this till here so that the originator_ fields are available
4669 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4670 mode. */
4671
4672 if (daemon_listen || inetd_wait_mode || queue_interval > 0)
4673   {
4674   if (mua_wrapper)
4675     {
4676     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4677     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4678       "mua_wrapper is set");
4679     }
4680   daemon_go();
4681   }
4682
4683 /* If the sender ident has not been set (by a trusted caller) set it to
4684 the caller. This will get overwritten below for an inetd call. If a trusted
4685 caller has set it empty, unset it. */
4686
4687 if (sender_ident == NULL) sender_ident = originator_login;
4688   else if (sender_ident[0] == 0) sender_ident = NULL;
4689
4690 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4691 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4692 originator_* variables set. */
4693
4694 if (test_rewrite_arg >= 0)
4695   {
4696   really_exim = FALSE;
4697   if (test_rewrite_arg >= argc)
4698     {
4699     printf("-brw needs an address argument\n");
4700     exim_exit(EXIT_FAILURE);
4701     }
4702   rewrite_test(argv[test_rewrite_arg]);
4703   exim_exit(EXIT_SUCCESS);
4704   }
4705
4706 /* A locally-supplied message is considered to be coming from a local user
4707 unless a trusted caller supplies a sender address with -f, or is passing in the
4708 message via SMTP (inetd invocation or otherwise). */
4709
4710 if ((sender_address == NULL && !smtp_input) ||
4711     (!trusted_caller && filter_test == FTEST_NONE))
4712   {
4713   sender_local = TRUE;
4714
4715   /* A trusted caller can supply authenticated_sender and authenticated_id
4716   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4717   defaults except when host checking. */
4718
4719   if (authenticated_sender == NULL && !host_checking)
4720     authenticated_sender = string_sprintf("%s@%s", originator_login,
4721       qualify_domain_sender);
4722   if (authenticated_id == NULL && !host_checking)
4723     authenticated_id = originator_login;
4724   }
4725
4726 /* Trusted callers are always permitted to specify the sender address.
4727 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4728 is specified is the empty address. However, if a trusted caller does not
4729 specify a sender address for SMTP input, we leave sender_address unset. This
4730 causes the MAIL commands to be honoured. */
4731
4732 if ((!smtp_input && sender_address == NULL) ||
4733     !receive_check_set_sender(sender_address))
4734   {
4735   /* Either the caller is not permitted to set a general sender, or this is
4736   non-SMTP input and the trusted caller has not set a sender. If there is no
4737   sender, or if a sender other than <> is set, override with the originator's
4738   login (which will get qualified below), except when checking things. */
4739
4740   if (sender_address == NULL             /* No sender_address set */
4741        ||                                /*         OR            */
4742        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4743        !checking &&                      /* Not running tests, AND */
4744        filter_test == FTEST_NONE))       /* Not testing a filter */
4745     {
4746     sender_address = originator_login;
4747     sender_address_forced = FALSE;
4748     sender_address_domain = 0;
4749     }
4750   }
4751
4752 /* Remember whether an untrusted caller set the sender address */
4753
4754 sender_set_untrusted = sender_address != originator_login && !trusted_caller;
4755
4756 /* Ensure that the sender address is fully qualified unless it is the empty
4757 address, which indicates an error message, or doesn't exist (root caller, smtp
4758 interface, no -f argument). */
4759
4760 if (sender_address != NULL && sender_address[0] != 0 &&
4761     sender_address_domain == 0)
4762   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
4763     qualify_domain_sender);
4764
4765 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
4766
4767 /* Handle a request to verify a list of addresses, or test them for delivery.
4768 This must follow the setting of the sender address, since routers can be
4769 predicated upon the sender. If no arguments are given, read addresses from
4770 stdin. Set debug_level to at least D_v to get full output for address testing.
4771 */
4772
4773 if (verify_address_mode || address_test_mode)
4774   {
4775   int exit_value = 0;
4776   int flags = vopt_qualify;
4777
4778   if (verify_address_mode)
4779     {
4780     if (!verify_as_sender) flags |= vopt_is_recipient;
4781     DEBUG(D_verify) debug_print_ids(US"Verifying:");
4782     }
4783
4784   else
4785     {
4786     flags |= vopt_is_recipient;
4787     debug_selector |= D_v;
4788     debug_file = stderr;
4789     debug_fd = fileno(debug_file);
4790     DEBUG(D_verify) debug_print_ids(US"Address testing:");
4791     }
4792
4793   if (recipients_arg < argc)
4794     {
4795     while (recipients_arg < argc)
4796       {
4797       uschar *s = argv[recipients_arg++];
4798       while (*s != 0)
4799         {
4800         BOOL finished = FALSE;
4801         uschar *ss = parse_find_address_end(s, FALSE);
4802         if (*ss == ',') *ss = 0; else finished = TRUE;
4803         test_address(s, flags, &exit_value);
4804         s = ss;
4805         if (!finished)
4806           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
4807         }
4808       }
4809     }
4810
4811   else for (;;)
4812     {
4813     uschar *s = get_stdinput(NULL, NULL);
4814     if (s == NULL) break;
4815     test_address(s, flags, &exit_value);
4816     }
4817
4818   route_tidyup();
4819   exim_exit(exit_value);
4820   }
4821
4822 /* Handle expansion checking. Either expand items on the command line, or read
4823 from stdin if there aren't any. If -Mset was specified, load the message so
4824 that its variables can be used, but restrict this facility to admin users.
4825 Otherwise, if -bem was used, read a message from stdin. */
4826
4827 if (expansion_test)
4828   {
4829   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
4830     {
4831     uschar spoolname[256];  /* Not big_buffer; used in spool_read_header() */
4832     if (!admin_user)
4833       {
4834       fprintf(stderr, "exim: permission denied\n");
4835       exit(EXIT_FAILURE);
4836       }
4837     message_id = argv[msg_action_arg];
4838     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
4839     if (!spool_open_datafile(message_id))
4840       printf ("Failed to load message datafile %s\n", message_id);
4841     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
4842       printf ("Failed to load message %s\n", message_id);
4843     }
4844
4845   /* Read a test message from a file. We fudge it up to be on stdin, saving
4846   stdin itself for later reading of expansion strings. */
4847
4848   else if (expansion_test_message != NULL)
4849     {
4850     int save_stdin = dup(0);
4851     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
4852     if (fd < 0)
4853       {
4854       fprintf(stderr, "exim: failed to open %s: %s\n", expansion_test_message,
4855         strerror(errno));
4856       return EXIT_FAILURE;
4857       }
4858     (void) dup2(fd, 0);
4859     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
4860     message_ended = END_NOTENDED;
4861     read_message_body(receive_msg(extract_recipients));
4862     message_linecount += body_linecount;
4863     (void)dup2(save_stdin, 0);
4864     (void)close(save_stdin);
4865     clearerr(stdin);               /* Required by Darwin */
4866     }
4867
4868   /* Allow $recipients for this testing */
4869
4870   enable_dollar_recipients = TRUE;
4871
4872   /* Expand command line items */
4873
4874   if (recipients_arg < argc)
4875     {
4876     while (recipients_arg < argc)
4877       {
4878       uschar *s = argv[recipients_arg++];
4879       uschar *ss = expand_string(s);
4880       if (ss == NULL) printf ("Failed: %s\n", expand_string_message);
4881       else printf("%s\n", CS ss);
4882       }
4883     }
4884
4885   /* Read stdin */
4886
4887   else
4888     {
4889     char *(*fn_readline)(const char *) = NULL;
4890     void (*fn_addhist)(const char *) = NULL;
4891
4892     #ifdef USE_READLINE
4893     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
4894     #endif
4895
4896     for (;;)
4897       {
4898       uschar *ss;
4899       uschar *source = get_stdinput(fn_readline, fn_addhist);
4900       if (source == NULL) break;
4901       ss = expand_string(source);
4902       if (ss == NULL)
4903         printf ("Failed: %s\n", expand_string_message);
4904       else printf("%s\n", CS ss);
4905       }
4906
4907     #ifdef USE_READLINE
4908     if (dlhandle != NULL) dlclose(dlhandle);
4909     #endif
4910     }
4911
4912   /* The data file will be open after -Mset */
4913
4914   if (deliver_datafile >= 0)
4915     {
4916     (void)close(deliver_datafile);
4917     deliver_datafile = -1;
4918     }
4919
4920   exim_exit(EXIT_SUCCESS);
4921   }
4922
4923
4924 /* The active host name is normally the primary host name, but it can be varied
4925 for hosts that want to play several parts at once. We need to ensure that it is
4926 set for host checking, and for receiving messages. */
4927
4928 smtp_active_hostname = primary_hostname;
4929 if (raw_active_hostname != NULL)
4930   {
4931   uschar *nah = expand_string(raw_active_hostname);
4932   if (nah == NULL)
4933     {
4934     if (!expand_string_forcedfail)
4935       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
4936         "(smtp_active_hostname): %s", raw_active_hostname,
4937         expand_string_message);
4938     }
4939   else if (nah[0] != 0) smtp_active_hostname = nah;
4940   }
4941
4942 /* Handle host checking: this facility mocks up an incoming SMTP call from a
4943 given IP address so that the blocking and relay configuration can be tested.
4944 Unless a sender_ident was set by -oMt, we discard it (the default is the
4945 caller's login name). An RFC 1413 call is made only if we are running in the
4946 test harness and an incoming interface and both ports are specified, because
4947 there is no TCP/IP call to find the ident for. */
4948
4949 if (host_checking)
4950   {
4951   int x[4];
4952   int size;
4953
4954   if (!sender_ident_set)
4955     {
4956     sender_ident = NULL;
4957     if (running_in_test_harness && sender_host_port != 0 &&
4958         interface_address != NULL && interface_port != 0)
4959       verify_get_ident(1413);
4960     }
4961
4962   /* In case the given address is a non-canonical IPv6 address, canonicize
4963   it. The code works for both IPv4 and IPv6, as it happens. */
4964
4965   size = host_aton(sender_host_address, x);
4966   sender_host_address = store_get(48);  /* large enough for full IPv6 */
4967   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
4968
4969   /* Now set up for testing */
4970
4971   host_build_sender_fullhost();
4972   smtp_input = TRUE;
4973   smtp_in = stdin;
4974   smtp_out = stdout;
4975   sender_local = FALSE;
4976   sender_host_notsocket = TRUE;
4977   debug_file = stderr;
4978   debug_fd = fileno(debug_file);
4979   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
4980     "**** but without any ident (RFC 1413) callback.\n"
4981     "**** This is not for real!\n\n",
4982       sender_host_address);
4983
4984   if (verify_check_host(&hosts_connection_nolog) == OK)
4985     log_write_selector &= ~L_smtp_connection;
4986   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
4987
4988   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
4989   because a log line has already been written for all its failure exists
4990   (usually "connection refused: <reason>") and writing another one is
4991   unnecessary clutter. */
4992
4993   if (smtp_start_session())
4994     {
4995     reset_point = store_get(0);
4996     for (;;)
4997       {
4998       store_reset(reset_point);
4999       if (smtp_setup_msg() <= 0) break;
5000       if (!receive_msg(FALSE)) break;
5001       }
5002     smtp_log_no_mail();
5003     }
5004   exim_exit(EXIT_SUCCESS);
5005   }
5006
5007
5008 /* Arrange for message reception if recipients or SMTP were specified;
5009 otherwise complain unless a version print (-bV) happened or this is a filter
5010 verification test or info dump.
5011 In the former case, show the configuration file name. */
5012
5013 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5014   {
5015   if (version_printed)
5016     {
5017     printf("Configuration file is %s\n", config_main_filename);
5018     return EXIT_SUCCESS;
5019     }
5020
5021   if (info_flag != CMDINFO_NONE)
5022     {
5023     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5024     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5025     }
5026
5027   if (filter_test == FTEST_NONE)
5028     exim_usage(called_as);
5029   }
5030
5031
5032 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5033 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5034 that we are not called from inetd, because that is rejected above. The
5035 following configuration settings are forced here:
5036
5037   (1) Synchronous delivery (-odi)
5038   (2) Errors to stderr (-oep == -oeq)
5039   (3) No parallel remote delivery
5040   (4) Unprivileged delivery
5041
5042 We don't force overall queueing options because there are several of them;
5043 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5044 to override any SMTP queueing. */
5045
5046 if (mua_wrapper)
5047   {
5048   synchronous_delivery = TRUE;
5049   arg_error_handling = ERRORS_STDERR;
5050   remote_max_parallel = 1;
5051   deliver_drop_privilege = TRUE;
5052   queue_smtp = FALSE;
5053   queue_smtp_domains = NULL;
5054   }
5055
5056
5057 /* Prepare to accept one or more new messages on the standard input. When a
5058 message has been read, its id is returned in message_id[]. If doing immediate
5059 delivery, we fork a delivery process for each received message, except for the
5060 last one, where we can save a process switch.
5061
5062 It is only in non-smtp mode that error_handling is allowed to be changed from
5063 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5064 sendmail error modes other than -oem ever actually used? Later: yes.) */
5065
5066 if (!smtp_input) error_handling = arg_error_handling;
5067
5068 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5069 logging being sent down the socket and make an identd call to get the
5070 sender_ident. */
5071
5072 else if (is_inetd)
5073   {
5074   (void)fclose(stderr);
5075   exim_nullstd();                       /* Re-open to /dev/null */
5076   verify_get_ident(IDENT_PORT);
5077   host_build_sender_fullhost();
5078   set_process_info("handling incoming connection from %s via inetd",
5079     sender_fullhost);
5080   }
5081
5082 /* If the sender host address has been set, build sender_fullhost if it hasn't
5083 already been done (which it will have been for inetd). This caters for the
5084 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5085 so that the test for IP options is skipped for -bs input. */
5086
5087 if (sender_host_address != NULL && sender_fullhost == NULL)
5088   {
5089   host_build_sender_fullhost();
5090   set_process_info("handling incoming connection from %s via -oMa",
5091     sender_fullhost);
5092   sender_host_notsocket = TRUE;
5093   }
5094
5095 /* Otherwise, set the sender host as unknown except for inetd calls. This
5096 prevents host checking in the case of -bs not from inetd and also for -bS. */
5097
5098 else if (!is_inetd) sender_host_unknown = TRUE;
5099
5100 /* If stdout does not exist, then dup stdin to stdout. This can happen
5101 if exim is started from inetd. In this case fd 0 will be set to the socket,
5102 but fd 1 will not be set. This also happens for passed SMTP channels. */
5103
5104 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5105
5106 /* Set up the incoming protocol name and the state of the program. Root is
5107 allowed to force received protocol via the -oMr option above. If we have come
5108 via inetd, the process info has already been set up. We don't set
5109 received_protocol here for smtp input, as it varies according to
5110 batch/HELO/EHLO/AUTH/TLS. */
5111
5112 if (smtp_input)
5113   {
5114   if (!is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5115     smtp_batched_input? "batched " : "",
5116     (sender_address!= NULL)? sender_address : originator_login);
5117   }
5118 else
5119   {
5120   if (received_protocol == NULL)
5121     received_protocol = string_sprintf("local%s", called_as);
5122   set_process_info("accepting a local non-SMTP message from <%s>",
5123     sender_address);
5124   }
5125
5126 /* Initialize the session_local_queue-only flag (this will be ignored if
5127 mua_wrapper is set) */
5128
5129 queue_check_only();
5130 session_local_queue_only = queue_only;
5131
5132 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5133 the spool if so configured. On failure, we must not attempt to send an error
5134 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5135 error code is given.) */
5136
5137 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5138   {
5139   fprintf(stderr, "exim: insufficient disk space\n");
5140   return EXIT_FAILURE;
5141   }
5142
5143 /* If this is smtp input of any kind, real or batched, handle the start of the
5144 SMTP session.
5145
5146 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5147 because a log line has already been written for all its failure exists
5148 (usually "connection refused: <reason>") and writing another one is
5149 unnecessary clutter. */
5150
5151 if (smtp_input)
5152   {
5153   smtp_in = stdin;
5154   smtp_out = stdout;
5155   if (verify_check_host(&hosts_connection_nolog) == OK)
5156     log_write_selector &= ~L_smtp_connection;
5157   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5158   if (!smtp_start_session())
5159     {
5160     mac_smtp_fflush();
5161     exim_exit(EXIT_SUCCESS);
5162     }
5163   }
5164
5165 /* Otherwise, set up the input size limit here. */
5166
5167 else
5168   {
5169   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5170   if (expand_string_message != NULL)
5171     {
5172     if (thismessage_size_limit == -1)
5173       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5174         "message_size_limit: %s", expand_string_message);
5175     else
5176       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5177         "message_size_limit: %s", expand_string_message);
5178     }
5179   }
5180
5181 /* Loop for several messages when reading SMTP input. If we fork any child
5182 processes, we don't want to wait for them unless synchronous delivery is
5183 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5184 same as SIG_DFL, despite the fact that documentation often lists the default as
5185 "ignore". This is a confusing area. This is what I know:
5186
5187 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5188 processes that complete simply to go away without ever becoming defunct. You
5189 can't then wait for them - but we don't want to wait for them in the
5190 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5191 happen for all OS (e.g. *BSD is different).
5192
5193 But that's not the end of the story. Some (many? all?) systems have the
5194 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5195 has by default, so it seems that the difference is merely one of default
5196 (compare restarting vs non-restarting signals).
5197
5198 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5199 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5200 of the loop below. Paranoia rules.
5201
5202 February 2003: That's *still* not the end of the story. There are now versions
5203 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5204 process then calls waitpid(), a grumble is written to the system log, because
5205 this is logically inconsistent. In other words, it doesn't like the paranoia.
5206 As a consequenc of this, the waitpid() below is now excluded if we are sure
5207 that SIG_IGN works. */
5208
5209 if (!synchronous_delivery)
5210   {
5211   #ifdef SA_NOCLDWAIT
5212   struct sigaction act;
5213   act.sa_handler = SIG_IGN;
5214   sigemptyset(&(act.sa_mask));
5215   act.sa_flags = SA_NOCLDWAIT;
5216   sigaction(SIGCHLD, &act, NULL);
5217   #else
5218   signal(SIGCHLD, SIG_IGN);
5219   #endif
5220   }
5221
5222 /* Save the current store pool point, for resetting at the start of
5223 each message, and save the real sender address, if any. */
5224
5225 reset_point = store_get(0);
5226 real_sender_address = sender_address;
5227
5228 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5229 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5230 collapsed). */
5231
5232 while (more)
5233   {
5234   store_reset(reset_point);
5235   message_id[0] = 0;
5236
5237   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5238   input and build the recipients list, before calling receive_msg() to read the
5239   message proper. Whatever sender address is given in the SMTP transaction is
5240   often ignored for local senders - we use the actual sender, which is normally
5241   either the underlying user running this process or a -f argument provided by
5242   a trusted caller. It is saved in real_sender_address. The test for whether to
5243   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5244
5245   if (smtp_input)
5246     {
5247     int rc;
5248     if ((rc = smtp_setup_msg()) > 0)
5249       {
5250       if (real_sender_address != NULL &&
5251           !receive_check_set_sender(sender_address))
5252         {
5253         sender_address = raw_sender = real_sender_address;
5254         sender_address_unrewritten = NULL;
5255         }
5256
5257       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5258       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5259       the very end. The result of the ACL is ignored (as for other non-SMTP
5260       messages). It is run for its potential side effects. */
5261
5262       if (smtp_batched_input && acl_not_smtp_start != NULL)
5263         {
5264         uschar *user_msg, *log_msg;
5265         enable_dollar_recipients = TRUE;
5266         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5267           &user_msg, &log_msg);
5268         enable_dollar_recipients = FALSE;
5269         }
5270
5271       /* Now get the data for the message */
5272
5273       more = receive_msg(extract_recipients);
5274       if (message_id[0] == 0)
5275         {
5276         if (more) continue;
5277         smtp_log_no_mail();               /* Log no mail if configured */
5278         exim_exit(EXIT_FAILURE);
5279         }
5280       }
5281     else
5282       {
5283       smtp_log_no_mail();               /* Log no mail if configured */
5284       exim_exit((rc == 0)? EXIT_SUCCESS : EXIT_FAILURE);
5285       }
5286     }
5287
5288   /* In the non-SMTP case, we have all the information from the command
5289   line, but must process it in case it is in the more general RFC822
5290   format, and in any case, to detect syntax errors. Also, it appears that
5291   the use of comma-separated lists as single arguments is common, so we
5292   had better support them. */
5293
5294   else
5295     {
5296     int i;
5297     int rcount = 0;
5298     int count = argc - recipients_arg;
5299     uschar **list = argv + recipients_arg;
5300
5301     /* These options cannot be changed dynamically for non-SMTP messages */
5302
5303     active_local_sender_retain = local_sender_retain;
5304     active_local_from_check = local_from_check;
5305
5306     /* Save before any rewriting */
5307
5308     raw_sender = string_copy(sender_address);
5309
5310     /* Loop for each argument */
5311
5312     for (i = 0; i < count; i++)
5313       {
5314       int start, end, domain;
5315       uschar *errmess;
5316       uschar *s = list[i];
5317
5318       /* Loop for each comma-separated address */
5319
5320       while (*s != 0)
5321         {
5322         BOOL finished = FALSE;
5323         uschar *recipient;
5324         uschar *ss = parse_find_address_end(s, FALSE);
5325
5326         if (*ss == ',') *ss = 0; else finished = TRUE;
5327
5328         /* Check max recipients - if -t was used, these aren't recipients */
5329
5330         if (recipients_max > 0 && ++rcount > recipients_max &&
5331             !extract_recipients)
5332           {
5333           if (error_handling == ERRORS_STDERR)
5334             {
5335             fprintf(stderr, "exim: too many recipients\n");
5336             exim_exit(EXIT_FAILURE);
5337             }
5338           else
5339             {
5340             return
5341               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5342                 errors_sender_rc : EXIT_FAILURE;
5343             }
5344           }
5345
5346         recipient =
5347           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5348
5349         if (domain == 0 && !allow_unqualified_recipient)
5350           {
5351           recipient = NULL;
5352           errmess = US"unqualified recipient address not allowed";
5353           }
5354
5355         if (recipient == NULL)
5356           {
5357           if (error_handling == ERRORS_STDERR)
5358             {
5359             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5360               string_printing(list[i]), errmess);
5361             exim_exit(EXIT_FAILURE);
5362             }
5363           else
5364             {
5365             error_block eblock;
5366             eblock.next = NULL;
5367             eblock.text1 = string_printing(list[i]);
5368             eblock.text2 = errmess;
5369             return
5370               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5371                 errors_sender_rc : EXIT_FAILURE;
5372             }
5373           }
5374
5375         receive_add_recipient(recipient, -1);
5376         s = ss;
5377         if (!finished)
5378           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5379         }
5380       }
5381
5382     /* Show the recipients when debugging */
5383
5384     DEBUG(D_receive)
5385       {
5386       int i;
5387       if (sender_address != NULL) debug_printf("Sender: %s\n", sender_address);
5388       if (recipients_list != NULL)
5389         {
5390         debug_printf("Recipients:\n");
5391         for (i = 0; i < recipients_count; i++)
5392           debug_printf("  %s\n", recipients_list[i].address);
5393         }
5394       }
5395
5396     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5397     ignored; rejecting here would just add complication, and it can just as
5398     well be done later. Allow $recipients to be visible in the ACL. */
5399
5400     if (acl_not_smtp_start != NULL)
5401       {
5402       uschar *user_msg, *log_msg;
5403       enable_dollar_recipients = TRUE;
5404       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5405         &user_msg, &log_msg);
5406       enable_dollar_recipients = FALSE;
5407       }
5408
5409     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5410     will just read the headers for the message, and not write anything onto the
5411     spool. */
5412
5413     message_ended = END_NOTENDED;
5414     more = receive_msg(extract_recipients);
5415
5416     /* more is always FALSE here (not SMTP message) when reading a message
5417     for real; when reading the headers of a message for filter testing,
5418     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5419
5420     if (message_id[0] == 0) exim_exit(EXIT_FAILURE);
5421     }  /* Non-SMTP message reception */
5422
5423   /* If this is a filter testing run, there are headers in store, but
5424   no message on the spool. Run the filtering code in testing mode, setting
5425   the domain to the qualify domain and the local part to the current user,
5426   unless they have been set by options. The prefix and suffix are left unset
5427   unless specified. The the return path is set to to the sender unless it has
5428   already been set from a return-path header in the message. */
5429
5430   if (filter_test != FTEST_NONE)
5431     {
5432     deliver_domain = (ftest_domain != NULL)?
5433       ftest_domain : qualify_domain_recipient;
5434     deliver_domain_orig = deliver_domain;
5435     deliver_localpart = (ftest_localpart != NULL)?
5436       ftest_localpart : originator_login;
5437     deliver_localpart_orig = deliver_localpart;
5438     deliver_localpart_prefix = ftest_prefix;
5439     deliver_localpart_suffix = ftest_suffix;
5440     deliver_home = originator_home;
5441
5442     if (return_path == NULL)
5443       {
5444       printf("Return-path copied from sender\n");
5445       return_path = string_copy(sender_address);
5446       }
5447     else
5448       {
5449       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5450       }
5451     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5452
5453     receive_add_recipient(
5454       string_sprintf("%s%s%s@%s",
5455         (ftest_prefix == NULL)? US"" : ftest_prefix,
5456         deliver_localpart,
5457         (ftest_suffix == NULL)? US"" : ftest_suffix,
5458         deliver_domain), -1);
5459
5460     printf("Recipient   = %s\n", recipients_list[0].address);
5461     if (ftest_prefix != NULL) printf("Prefix    = %s\n", ftest_prefix);
5462     if (ftest_suffix != NULL) printf("Suffix    = %s\n", ftest_suffix);
5463
5464     if (chdir("/"))   /* Get away from wherever the user is running this from */
5465       {
5466       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5467       exim_exit(EXIT_FAILURE);
5468       }
5469
5470     /* Now we run either a system filter test, or a user filter test, or both.
5471     In the latter case, headers added by the system filter will persist and be
5472     available to the user filter. We need to copy the filter variables
5473     explicitly. */
5474
5475     if ((filter_test & FTEST_SYSTEM) != 0)
5476       {
5477       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5478         exim_exit(EXIT_FAILURE);
5479       }
5480
5481     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5482
5483     if ((filter_test & FTEST_USER) != 0)
5484       {
5485       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5486         exim_exit(EXIT_FAILURE);
5487       }
5488
5489     exim_exit(EXIT_SUCCESS);
5490     }
5491
5492   /* Else act on the result of message reception. We should not get here unless
5493   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5494   will be TRUE. If it is not, check on the number of messages received in this
5495   connection. */
5496
5497   if (!session_local_queue_only &&
5498       smtp_accept_queue_per_connection > 0 &&
5499       receive_messagecount > smtp_accept_queue_per_connection)
5500     {
5501     session_local_queue_only = TRUE;
5502     queue_only_reason = 2;
5503     }
5504
5505   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5506   and queue_only_load is set, check that the load average is below it. If it is
5507   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5508   default), we put the whole session into queue_only mode. It then remains this
5509   way for any subsequent messages on the same SMTP connection. This is a
5510   deliberate choice; even though the load average may fall, it doesn't seem
5511   right to deliver later messages on the same call when not delivering earlier
5512   ones. However, there are odd cases where this is not wanted, so this can be
5513   changed by setting queue_only_load_latch false. */
5514
5515   local_queue_only = session_local_queue_only;
5516   if (!local_queue_only && queue_only_load >= 0)
5517     {
5518     local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load;
5519     if (local_queue_only)
5520       {
5521       queue_only_reason = 3;
5522       if (queue_only_load_latch) session_local_queue_only = TRUE;
5523       }
5524     }
5525
5526   /* If running as an MUA wrapper, all queueing options and freezing options
5527   are ignored. */
5528
5529   if (mua_wrapper)
5530     local_queue_only = queue_only_policy = deliver_freeze = FALSE;
5531
5532   /* Log the queueing here, when it will get a message id attached, but
5533   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5534   connections). */
5535
5536   if (local_queue_only) switch(queue_only_reason)
5537     {
5538     case 2:
5539     log_write(L_delay_delivery,
5540               LOG_MAIN, "no immediate delivery: more than %d messages "
5541       "received in one connection", smtp_accept_queue_per_connection);
5542     break;
5543
5544     case 3:
5545     log_write(L_delay_delivery,
5546               LOG_MAIN, "no immediate delivery: load average %.2f",
5547               (double)load_average/1000.0);
5548     break;
5549     }
5550
5551   /* Else do the delivery unless the ACL or local_scan() called for queue only
5552   or froze the message. Always deliver in a separate process. A fork failure is
5553   not a disaster, as the delivery will eventually happen on a subsequent queue
5554   run. The search cache must be tidied before the fork, as the parent will
5555   do it before exiting. The child will trigger a lookup failure and
5556   thereby defer the delivery if it tries to use (for example) a cached ldap
5557   connection that the parent has called unbind on. */
5558
5559   else if (!queue_only_policy && !deliver_freeze)
5560     {
5561     pid_t pid;
5562     search_tidyup();
5563
5564     if ((pid = fork()) == 0)
5565       {
5566       int rc;
5567       close_unwanted();      /* Close unwanted file descriptors and TLS */
5568       exim_nullstd();        /* Ensure std{in,out,err} exist */
5569
5570       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5571       mode, deliver_drop_privilege is forced TRUE). */
5572
5573       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5574         {
5575         (void)child_exec_exim(CEE_EXEC_EXIT, FALSE, NULL, FALSE, 2, US"-Mc",
5576           message_id);
5577         /* Control does not return here. */
5578         }
5579
5580       /* No need to re-exec */
5581
5582       rc = deliver_message(message_id, FALSE, FALSE);
5583       search_tidyup();
5584       _exit((!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED)?
5585         EXIT_SUCCESS : EXIT_FAILURE);
5586       }
5587
5588     if (pid < 0)
5589       {
5590       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5591         "process: %s", strerror(errno));
5592       }
5593
5594     /* In the parent, wait if synchronous delivery is required. This will
5595     always be the case in MUA wrapper mode. */
5596
5597     else if (synchronous_delivery)
5598       {
5599       int status;
5600       while (wait(&status) != pid);
5601       if ((status & 0x00ff) != 0)
5602         log_write(0, LOG_MAIN|LOG_PANIC,
5603           "process %d crashed with signal %d while delivering %s",
5604           (int)pid, status & 0x00ff, message_id);
5605       if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE);
5606       }
5607     }
5608
5609   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5610   automatically reaps children (see comments above the loop), clear away any
5611   finished subprocesses here, in case there are lots of messages coming in
5612   from the same source. */
5613
5614   #ifndef SIG_IGN_WORKS
5615   while (waitpid(-1, NULL, WNOHANG) > 0);
5616   #endif
5617   }
5618
5619 exim_exit(EXIT_SUCCESS);   /* Never returns */
5620 return 0;                  /* To stop compiler warning */
5621 }
5622
5623 /* End of exim.c */