112fa4f3d5f3856dc329977372c7424dc266e121
[exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* Copyright (c) The Exim Maintainers 2020 */
7 /* See the file NOTICE for conditions of use and distribution. */
8
9
10 /* The main function: entry point, initialization, and high-level control.
11 Also a few functions that don't naturally fit elsewhere. */
12
13
14 #include "exim.h"
15
16 #if defined(__GLIBC__) && !defined(__UCLIBC__)
17 # include <gnu/libc-version.h>
18 #endif
19
20 #ifdef USE_GNUTLS
21 # include <gnutls/gnutls.h>
22 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
23 #  define DISABLE_OCSP
24 # endif
25 #endif
26
27 #ifndef _TIME_H
28 # include <time.h>
29 #endif
30
31 extern void init_lookup_list(void);
32
33
34
35 /*************************************************
36 *      Function interface to store functions     *
37 *************************************************/
38
39 /* We need some real functions to pass to the PCRE regular expression library
40 for store allocation via Exim's store manager. The normal calls are actually
41 macros that pass over location information to make tracing easier. These
42 functions just interface to the standard macro calls. A good compiler will
43 optimize out the tail recursion and so not make them too expensive. There
44 are two sets of functions; one for use when we want to retain the compiled
45 regular expression for a long time; the other for short-term use. */
46
47 static void *
48 function_store_get(size_t size)
49 {
50 /* For now, regard all RE results as potentially tainted.  We might need
51 more intelligence on this point. */
52 return store_get((int)size, TRUE);
53 }
54
55 static void
56 function_dummy_free(void * block) {}
57
58 static void *
59 function_store_malloc(size_t size)
60 {
61 return store_malloc((int)size);
62 }
63
64 static void
65 function_store_free(void * block)
66 {
67 store_free(block);
68 }
69
70
71
72
73 /*************************************************
74 *         Enums for cmdline interface            *
75 *************************************************/
76
77 enum commandline_info { CMDINFO_NONE=0,
78   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
79
80
81
82
83 /*************************************************
84 *  Compile regular expression and panic on fail  *
85 *************************************************/
86
87 /* This function is called when failure to compile a regular expression leads
88 to a panic exit. In other cases, pcre_compile() is called directly. In many
89 cases where this function is used, the results of the compilation are to be
90 placed in long-lived store, so we temporarily reset the store management
91 functions that PCRE uses if the use_malloc flag is set.
92
93 Argument:
94   pattern     the pattern to compile
95   caseless    TRUE if caseless matching is required
96   use_malloc  TRUE if compile into malloc store
97
98 Returns:      pointer to the compiled pattern
99 */
100
101 const pcre *
102 regex_must_compile(const uschar *pattern, BOOL caseless, BOOL use_malloc)
103 {
104 int offset;
105 int options = PCRE_COPT;
106 const pcre *yield;
107 const uschar *error;
108 if (use_malloc)
109   {
110   pcre_malloc = function_store_malloc;
111   pcre_free = function_store_free;
112   }
113 if (caseless) options |= PCRE_CASELESS;
114 yield = pcre_compile(CCS pattern, options, CCSS &error, &offset, NULL);
115 pcre_malloc = function_store_get;
116 pcre_free = function_dummy_free;
117 if (yield == NULL)
118   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
119     "%s at offset %d while compiling %s", error, offset, pattern);
120 return yield;
121 }
122
123
124
125
126 /*************************************************
127 *   Execute regular expression and set strings   *
128 *************************************************/
129
130 /* This function runs a regular expression match, and sets up the pointers to
131 the matched substrings.
132
133 Arguments:
134   re          the compiled expression
135   subject     the subject string
136   options     additional PCRE options
137   setup       if < 0 do full setup
138               if >= 0 setup from setup+1 onwards,
139                 excluding the full matched string
140
141 Returns:      TRUE or FALSE
142 */
143
144 BOOL
145 regex_match_and_setup(const pcre *re, const uschar *subject, int options, int setup)
146 {
147 int ovector[3*(EXPAND_MAXN+1)];
148 uschar * s = string_copy(subject);      /* de-constifying */
149 int n = pcre_exec(re, NULL, CS s, Ustrlen(s), 0,
150   PCRE_EOPT | options, ovector, nelem(ovector));
151 BOOL yield = n >= 0;
152 if (n == 0) n = EXPAND_MAXN + 1;
153 if (yield)
154   {
155   expand_nmax = setup < 0 ? 0 : setup + 1;
156   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
157     {
158     expand_nstring[expand_nmax] = s + ovector[nn];
159     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
160     }
161   expand_nmax--;
162   }
163 return yield;
164 }
165
166
167
168
169 /*************************************************
170 *            Set up processing details           *
171 *************************************************/
172
173 /* Save a text string for dumping when SIGUSR1 is received.
174 Do checks for overruns.
175
176 Arguments: format and arguments, as for printf()
177 Returns:   nothing
178 */
179
180 void
181 set_process_info(const char *format, ...)
182 {
183 gstring gs = { .size = PROCESS_INFO_SIZE - 2, .ptr = 0, .s = process_info };
184 gstring * g;
185 int len;
186 va_list ap;
187
188 g = string_fmt_append(&gs, "%5d ", (int)getpid());
189 len = g->ptr;
190 va_start(ap, format);
191 if (!string_vformat(g, 0, format, ap))
192   {
193   gs.ptr = len;
194   g = string_cat(&gs, US"**** string overflowed buffer ****");
195   }
196 g = string_catn(g, US"\n", 1);
197 string_from_gstring(g);
198 process_info_len = g->ptr;
199 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
200 va_end(ap);
201 }
202
203 /***********************************************
204 *            Handler for SIGTERM               *
205 ***********************************************/
206
207 static void
208 term_handler(int sig)
209 {
210 exit(1);
211 }
212
213
214 /*************************************************
215 *             Handler for SIGUSR1                *
216 *************************************************/
217
218 /* SIGUSR1 causes any exim process to write to the process log details of
219 what it is currently doing. It will only be used if the OS is capable of
220 setting up a handler that causes automatic restarting of any system call
221 that is in progress at the time.
222
223 This function takes care to be signal-safe.
224
225 Argument: the signal number (SIGUSR1)
226 Returns:  nothing
227 */
228
229 static void
230 usr1_handler(int sig)
231 {
232 int fd;
233
234 os_restarting_signal(sig, usr1_handler);
235
236 if ((fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE)) < 0)
237   {
238   /* If we are already running as the Exim user, try to create it in the
239   current process (assuming spool_directory exists). Otherwise, if we are
240   root, do the creation in an exim:exim subprocess. */
241
242   int euid = geteuid();
243   if (euid == exim_uid)
244     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
245   else if (euid == root_uid)
246     fd = log_create_as_exim(process_log_path);
247   }
248
249 /* If we are neither exim nor root, or if we failed to create the log file,
250 give up. There is not much useful we can do with errors, since we don't want
251 to disrupt whatever is going on outside the signal handler. */
252
253 if (fd < 0) return;
254
255 (void)write(fd, process_info, process_info_len);
256 (void)close(fd);
257 }
258
259
260
261 /*************************************************
262 *             Timeout handler                    *
263 *************************************************/
264
265 /* This handler is enabled most of the time that Exim is running. The handler
266 doesn't actually get used unless alarm() has been called to set a timer, to
267 place a time limit on a system call of some kind. When the handler is run, it
268 re-enables itself.
269
270 There are some other SIGALRM handlers that are used in special cases when more
271 than just a flag setting is required; for example, when reading a message's
272 input. These are normally set up in the code module that uses them, and the
273 SIGALRM handler is reset to this one afterwards.
274
275 Argument: the signal value (SIGALRM)
276 Returns:  nothing
277 */
278
279 void
280 sigalrm_handler(int sig)
281 {
282 sigalrm_seen = TRUE;
283 os_non_restarting_signal(SIGALRM, sigalrm_handler);
284 }
285
286
287
288 /*************************************************
289 *      Sleep for a fractional time interval      *
290 *************************************************/
291
292 /* This function is called by millisleep() and exim_wait_tick() to wait for a
293 period of time that may include a fraction of a second. The coding is somewhat
294 tedious. We do not expect setitimer() ever to fail, but if it does, the process
295 will wait for ever, so we panic in this instance. (There was a case of this
296 when a bug in a function that calls milliwait() caused it to pass invalid data.
297 That's when I added the check. :-)
298
299 We assume it to be not worth sleeping for under 50us; this value will
300 require revisiting as hardware advances.  This avoids the issue of
301 a zero-valued timer setting meaning "never fire".
302
303 Argument:  an itimerval structure containing the interval
304 Returns:   nothing
305 */
306
307 static void
308 milliwait(struct itimerval *itval)
309 {
310 sigset_t sigmask;
311 sigset_t old_sigmask;
312 int save_errno = errno;
313
314 if (itval->it_value.tv_usec < 50 && itval->it_value.tv_sec == 0)
315   return;
316 (void)sigemptyset(&sigmask);                           /* Empty mask */
317 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
318 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
319 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
320   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
321     "setitimer() failed: %s", strerror(errno));
322 (void)sigfillset(&sigmask);                            /* All signals */
323 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
324 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
325 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
326 errno = save_errno;
327 sigalrm_seen = FALSE;
328 }
329
330
331
332
333 /*************************************************
334 *         Millisecond sleep function             *
335 *************************************************/
336
337 /* The basic sleep() function has a granularity of 1 second, which is too rough
338 in some cases - for example, when using an increasing delay to slow down
339 spammers.
340
341 Argument:    number of millseconds
342 Returns:     nothing
343 */
344
345 void
346 millisleep(int msec)
347 {
348 struct itimerval itval = {.it_interval = {.tv_sec = 0, .tv_usec = 0},
349                           .it_value = {.tv_sec = msec/1000,
350                                        .tv_usec = (msec % 1000) * 1000}};
351 milliwait(&itval);
352 }
353
354
355
356 /*************************************************
357 *         Compare microsecond times              *
358 *************************************************/
359
360 /*
361 Arguments:
362   tv1         the first time
363   tv2         the second time
364
365 Returns:      -1, 0, or +1
366 */
367
368 static int
369 exim_tvcmp(struct timeval *t1, struct timeval *t2)
370 {
371 if (t1->tv_sec > t2->tv_sec) return +1;
372 if (t1->tv_sec < t2->tv_sec) return -1;
373 if (t1->tv_usec > t2->tv_usec) return +1;
374 if (t1->tv_usec < t2->tv_usec) return -1;
375 return 0;
376 }
377
378
379
380
381 /*************************************************
382 *          Clock tick wait function              *
383 *************************************************/
384
385 #ifdef _POSIX_MONOTONIC_CLOCK
386 # ifdef CLOCK_BOOTTIME
387 #  define EXIM_CLOCKTYPE CLOCK_BOOTTIME
388 # else
389 #  define EXIM_CLOCKTYPE CLOCK_MONOTONIC
390 # endif
391
392 /* Amount EXIM_CLOCK is behind realtime, at startup. */
393 static struct timespec offset_ts;
394
395 static void
396 exim_clock_init(void)
397 {
398 struct timeval tv;
399 if (clock_gettime(EXIM_CLOCKTYPE, &offset_ts) != 0) return;
400 (void)gettimeofday(&tv, NULL);
401 offset_ts.tv_sec = tv.tv_sec - offset_ts.tv_sec;
402 offset_ts.tv_nsec = tv.tv_usec * 1000 - offset_ts.tv_nsec;
403 if (offset_ts.tv_nsec >= 0) return;
404 offset_ts.tv_sec--;
405 offset_ts.tv_nsec += 1000*1000*1000;
406 }
407 #endif
408
409
410 void
411 exim_gettime(struct timeval * tv)
412 {
413 #ifdef _POSIX_MONOTONIC_CLOCK
414 struct timespec now_ts;
415
416 if (clock_gettime(EXIM_CLOCKTYPE, &now_ts) == 0)
417   {
418   now_ts.tv_sec += offset_ts.tv_sec;
419   if ((now_ts.tv_nsec += offset_ts.tv_nsec) >= 1000*1000*1000)
420     {
421     now_ts.tv_sec++;
422     now_ts.tv_nsec -= 1000*1000*1000;
423     }
424   tv->tv_sec = now_ts.tv_sec;
425   tv->tv_usec = now_ts.tv_nsec / 1000;
426   }
427 else
428 #endif
429   (void)gettimeofday(tv, NULL);
430 }
431
432
433 /* Exim uses a time + a pid to generate a unique identifier in two places: its
434 message IDs, and in file names for maildir deliveries. Because some OS now
435 re-use pids within the same second, sub-second times are now being used.
436 However, for absolute certainty, we must ensure the clock has ticked before
437 allowing the relevant process to complete. At the time of implementation of
438 this code (February 2003), the speed of processors is such that the clock will
439 invariably have ticked already by the time a process has done its job. This
440 function prepares for the time when things are faster - and it also copes with
441 clocks that go backwards.
442
443 Arguments:
444   tgt_tv       A timeval which was used to create uniqueness; its usec field
445                  has been rounded down to the value of the resolution.
446                  We want to be sure the current time is greater than this.
447   resolution   The resolution that was used to divide the microseconds
448                  (1 for maildir, larger for message ids)
449
450 Returns:       nothing
451 */
452
453 void
454 exim_wait_tick(struct timeval * tgt_tv, int resolution)
455 {
456 struct timeval now_tv;
457 long int now_true_usec;
458
459 exim_gettime(&now_tv);
460 now_true_usec = now_tv.tv_usec;
461 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
462
463 while (exim_tvcmp(&now_tv, tgt_tv) <= 0)
464   {
465   struct itimerval itval;
466   itval.it_interval.tv_sec = 0;
467   itval.it_interval.tv_usec = 0;
468   itval.it_value.tv_sec = tgt_tv->tv_sec - now_tv.tv_sec;
469   itval.it_value.tv_usec = tgt_tv->tv_usec + resolution - now_true_usec;
470
471   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
472   negative value for the microseconds is possible only in the case when "now"
473   is more than a second less than "tgt". That means that itval.it_value.tv_sec
474   is greater than zero. The following correction is therefore safe. */
475
476   if (itval.it_value.tv_usec < 0)
477     {
478     itval.it_value.tv_usec += 1000000;
479     itval.it_value.tv_sec -= 1;
480     }
481
482   DEBUG(D_transport|D_receive)
483     {
484     if (!f.running_in_test_harness)
485       {
486       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
487         tgt_tv->tv_sec, (long) tgt_tv->tv_usec,
488         now_tv.tv_sec, (long) now_tv.tv_usec);
489       debug_printf("waiting " TIME_T_FMT ".%06lu sec\n",
490         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
491       }
492     }
493
494   milliwait(&itval);
495
496   /* Be prapared to go around if the kernel does not implement subtick
497   granularity (GNU Hurd) */
498
499   exim_gettime(&now_tv);
500   now_true_usec = now_tv.tv_usec;
501   now_tv.tv_usec = (now_true_usec/resolution) * resolution;
502   }
503 }
504
505
506
507
508 /*************************************************
509 *   Call fopen() with umask 777 and adjust mode  *
510 *************************************************/
511
512 /* Exim runs with umask(0) so that files created with open() have the mode that
513 is specified in the open() call. However, there are some files, typically in
514 the spool directory, that are created with fopen(). They end up world-writeable
515 if no precautions are taken. Although the spool directory is not accessible to
516 the world, this is an untidiness. So this is a wrapper function for fopen()
517 that sorts out the mode of the created file.
518
519 Arguments:
520    filename       the file name
521    options        the fopen() options
522    mode           the required mode
523
524 Returns:          the fopened FILE or NULL
525 */
526
527 FILE *
528 modefopen(const uschar *filename, const char *options, mode_t mode)
529 {
530 mode_t saved_umask = umask(0777);
531 FILE *f = Ufopen(filename, options);
532 (void)umask(saved_umask);
533 if (f != NULL) (void)fchmod(fileno(f), mode);
534 return f;
535 }
536
537
538 /*************************************************
539 *   Ensure stdin, stdout, and stderr exist       *
540 *************************************************/
541
542 /* Some operating systems grumble if an exec() happens without a standard
543 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
544 file will be opened and will use these fd values, and then some other bit of
545 code will assume, for example, that it can write error messages to stderr.
546 This function ensures that fds 0, 1, and 2 are open if they do not already
547 exist, by connecting them to /dev/null.
548
549 This function is also used to ensure that std{in,out,err} exist at all times,
550 so that if any library that Exim calls tries to use them, it doesn't crash.
551
552 Arguments:  None
553 Returns:    Nothing
554 */
555
556 void
557 exim_nullstd(void)
558 {
559 int devnull = -1;
560 struct stat statbuf;
561 for (int i = 0; i <= 2; i++)
562   {
563   if (fstat(i, &statbuf) < 0 && errno == EBADF)
564     {
565     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
566     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
567       string_open_failed("/dev/null", NULL));
568     if (devnull != i) (void)dup2(devnull, i);
569     }
570   }
571 if (devnull > 2) (void)close(devnull);
572 }
573
574
575
576
577 /*************************************************
578 *   Close unwanted file descriptors for delivery *
579 *************************************************/
580
581 /* This function is called from a new process that has been forked to deliver
582 an incoming message, either directly, or using exec.
583
584 We want any smtp input streams to be closed in this new process. However, it
585 has been observed that using fclose() here causes trouble. When reading in -bS
586 input, duplicate copies of messages have been seen. The files will be sharing a
587 file pointer with the parent process, and it seems that fclose() (at least on
588 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
589 least sometimes. Hence we go for closing the underlying file descriptors.
590
591 If TLS is active, we want to shut down the TLS library, but without molesting
592 the parent's SSL connection.
593
594 For delivery of a non-SMTP message, we want to close stdin and stdout (and
595 stderr unless debugging) because the calling process might have set them up as
596 pipes and be waiting for them to close before it waits for the submission
597 process to terminate. If they aren't closed, they hold up the calling process
598 until the initial delivery process finishes, which is not what we want.
599
600 Exception: We do want it for synchronous delivery!
601
602 And notwithstanding all the above, if D_resolver is set, implying resolver
603 debugging, leave stdout open, because that's where the resolver writes its
604 debugging output.
605
606 When we close stderr (which implies we've also closed stdout), we also get rid
607 of any controlling terminal.
608
609 Arguments:   None
610 Returns:     Nothing
611 */
612
613 static void
614 close_unwanted(void)
615 {
616 if (smtp_input)
617   {
618 #ifndef DISABLE_TLS
619   tls_close(NULL, TLS_NO_SHUTDOWN);      /* Shut down the TLS library */
620 #endif
621   (void)close(fileno(smtp_in));
622   (void)close(fileno(smtp_out));
623   smtp_in = NULL;
624   }
625 else
626   {
627   (void)close(0);                                          /* stdin */
628   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
629   if (debug_selector == 0)                                 /* stderr */
630     {
631     if (!f.synchronous_delivery)
632       {
633       (void)close(2);
634       log_stderr = NULL;
635       }
636     (void)setsid();
637     }
638   }
639 }
640
641
642
643
644 /*************************************************
645 *          Set uid and gid                       *
646 *************************************************/
647
648 /* This function sets a new uid and gid permanently, optionally calling
649 initgroups() to set auxiliary groups. There are some special cases when running
650 Exim in unprivileged modes. In these situations the effective uid will not be
651 root; if we already have the right effective uid/gid, and don't need to
652 initialize any groups, leave things as they are.
653
654 Arguments:
655   uid        the uid
656   gid        the gid
657   igflag     TRUE if initgroups() wanted
658   msg        text to use in debugging output and failure log
659
660 Returns:     nothing; bombs out on failure
661 */
662
663 void
664 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
665 {
666 uid_t euid = geteuid();
667 gid_t egid = getegid();
668
669 if (euid == root_uid || euid != uid || egid != gid || igflag)
670   {
671   /* At least one OS returns +1 for initgroups failure, so just check for
672   non-zero. */
673
674   if (igflag)
675     {
676     struct passwd *pw = getpwuid(uid);
677     if (!pw)
678       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
679         "no passwd entry for uid=%ld", (long int)uid);
680
681     if (initgroups(pw->pw_name, gid) != 0)
682       log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
683         (long int)uid, strerror(errno));
684     }
685
686   if (setgid(gid) < 0 || setuid(uid) < 0)
687     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
688       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
689   }
690
691 /* Debugging output included uid/gid and all groups */
692
693 DEBUG(D_uid)
694   {
695   int group_count, save_errno;
696   gid_t group_list[EXIM_GROUPLIST_SIZE];
697   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
698     (long int)geteuid(), (long int)getegid(), (long int)getpid());
699   group_count = getgroups(nelem(group_list), group_list);
700   save_errno = errno;
701   debug_printf("  auxiliary group list:");
702   if (group_count > 0)
703     for (int i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
704   else if (group_count < 0)
705     debug_printf(" <error: %s>", strerror(save_errno));
706   else debug_printf(" <none>");
707   debug_printf("\n");
708   }
709 }
710
711
712
713
714 /*************************************************
715 *               Exit point                       *
716 *************************************************/
717
718 /* Exim exits via this function so that it always clears up any open
719 databases.
720
721 Arguments:
722   rc         return code
723
724 Returns:     does not return
725 */
726
727 void
728 exim_exit(int rc)
729 {
730 search_tidyup();
731 store_exit();
732 DEBUG(D_any)
733   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
734     ">>>>>>>>>>>>>>>>\n",
735     (int)getpid(), process_purpose, rc);
736 exit(rc);
737 }
738
739
740 void
741 exim_underbar_exit(int rc)
742 {
743 store_exit();
744 DEBUG(D_any)
745   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
746     ">>>>>>>>>>>>>>>>\n",
747     (int)getpid(), process_purpose, rc);
748 _exit(rc);
749 }
750
751
752
753 /* Print error string, then die */
754 static void
755 exim_fail(const char * fmt, ...)
756 {
757 va_list ap;
758 va_start(ap, fmt);
759 vfprintf(stderr, fmt, ap);
760 exit(EXIT_FAILURE);
761 }
762
763 /* fail if a length is too long */
764 static void
765 exim_len_fail_toolong(int itemlen, int maxlen, const char *description)
766 {
767 if (itemlen <= maxlen)
768   return;
769 fprintf(stderr, "exim: length limit exceeded (%d > %d) for: %s\n",
770         len, maxlen, description)
771 exit(EXIT_FAILURE);
772 }
773
774 /* only pass through the string item back to the caller if it's short enough */
775 static const uschar *
776 exim_str_fail_toolong(const uschar *item, int maxlen, const char *description)
777 {
778 exim_len_fail_toolong(Ustrlen(item), maxlen, description);
779 return item;
780 }
781
782 /* exim_chown_failure() called from exim_chown()/exim_fchown() on failure
783 of chown()/fchown().  See src/functions.h for more explanation */
784 int
785 exim_chown_failure(int fd, const uschar *name, uid_t owner, gid_t group)
786 {
787 int saved_errno = errno;  /* from the preceeding chown call */
788 #if 1
789 log_write(0, LOG_MAIN|LOG_PANIC,
790   __FILE__ ":%d: chown(%s, %d:%d) failed (%s)."
791   " Please contact the authors and refer to https://bugs.exim.org/show_bug.cgi?id=2391",
792   __LINE__, name?name:US"<unknown>", owner, group, strerror(errno));
793 #else
794 /* I leave this here, commented, in case the "bug"(?) comes up again.
795    It is not an Exim bug, but we can provide a workaround.
796    See Bug 2391
797    HS 2019-04-18 */
798
799 struct stat buf;
800
801 if (0 == (fd < 0 ? stat(name, &buf) : fstat(fd, &buf)))
802 {
803   if (buf.st_uid == owner && buf.st_gid == group) return 0;
804   log_write(0, LOG_MAIN|LOG_PANIC, "Wrong ownership on %s", name);
805 }
806 else log_write(0, LOG_MAIN|LOG_PANIC, "Stat failed on %s: %s", name, strerror(errno));
807
808 #endif
809 errno = saved_errno;
810 return -1;
811 }
812
813
814 /*************************************************
815 *         Extract port from host address         *
816 *************************************************/
817
818 /* Called to extract the port from the values given to -oMa and -oMi.
819 It also checks the syntax of the address, and terminates it before the
820 port data when a port is extracted.
821
822 Argument:
823   address   the address, with possible port on the end
824
825 Returns:    the port, or zero if there isn't one
826             bombs out on a syntax error
827 */
828
829 static int
830 check_port(uschar *address)
831 {
832 int port = host_address_extract_port(address);
833 if (string_is_ip_address(address, NULL) == 0)
834   exim_fail("exim abandoned: \"%s\" is not an IP address\n", address);
835 return port;
836 }
837
838
839
840 /*************************************************
841 *              Test/verify an address            *
842 *************************************************/
843
844 /* This function is called by the -bv and -bt code. It extracts a working
845 address from a full RFC 822 address. This isn't really necessary per se, but it
846 has the effect of collapsing source routes.
847
848 Arguments:
849   s            the address string
850   flags        flag bits for verify_address()
851   exit_value   to be set for failures
852
853 Returns:       nothing
854 */
855
856 static void
857 test_address(uschar *s, int flags, int *exit_value)
858 {
859 int start, end, domain;
860 uschar *parse_error = NULL;
861 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
862   FALSE);
863 if (!address)
864   {
865   fprintf(stdout, "syntax error: %s\n", parse_error);
866   *exit_value = 2;
867   }
868 else
869   {
870   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
871     -1, -1, NULL, NULL, NULL);
872   if (rc == FAIL) *exit_value = 2;
873     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
874   }
875 }
876
877
878
879 /*************************************************
880 *          Show supported features               *
881 *************************************************/
882
883 static void
884 show_db_version(FILE * f)
885 {
886 #ifdef DB_VERSION_STRING
887 DEBUG(D_any)
888   {
889   fprintf(f, "Library version: BDB: Compile: %s\n", DB_VERSION_STRING);
890   fprintf(f, "                      Runtime: %s\n",
891     db_version(NULL, NULL, NULL));
892   }
893 else
894   fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
895
896 #elif defined(BTREEVERSION) && defined(HASHVERSION)
897   #ifdef USE_DB
898   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
899   #else
900   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
901   #endif
902
903 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
904 fprintf(f, "Probably ndbm\n");
905 #elif defined(USE_TDB)
906 fprintf(f, "Using tdb\n");
907 #else
908   #ifdef USE_GDBM
909   fprintf(f, "Probably GDBM (native mode)\n");
910   #else
911   fprintf(f, "Probably GDBM (compatibility mode)\n");
912   #endif
913 #endif
914 }
915
916
917 /* This function is called for -bV/--version and for -d to output the optional
918 features of the current Exim binary.
919
920 Arguments:  a FILE for printing
921 Returns:    nothing
922 */
923
924 static void
925 show_whats_supported(FILE * fp)
926 {
927 rmark reset_point = store_mark();
928 gstring * g;
929 DEBUG(D_any) {} else show_db_version(fp);
930
931 g = string_cat(NULL, US"Support for:");
932 #ifdef SUPPORT_CRYPTEQ
933   g = string_cat(g, US" crypteq");
934 #endif
935 #if HAVE_ICONV
936   g = string_cat(g, US" iconv()");
937 #endif
938 #if HAVE_IPV6
939   g = string_cat(g, US" IPv6");
940 #endif
941 #ifdef HAVE_SETCLASSRESOURCES
942   g = string_cat(g, US" use_setclassresources");
943 #endif
944 #ifdef SUPPORT_PAM
945   g = string_cat(g, US" PAM");
946 #endif
947 #ifdef EXIM_PERL
948   g = string_cat(g, US" Perl");
949 #endif
950 #ifdef EXPAND_DLFUNC
951   g = string_cat(g, US" Expand_dlfunc");
952 #endif
953 #ifdef USE_TCP_WRAPPERS
954   g = string_cat(g, US" TCPwrappers");
955 #endif
956 #ifdef USE_GNUTLS
957   g = string_cat(g, US" GnuTLS");
958 #endif
959 #ifdef USE_OPENSSL
960   g = string_cat(g, US" OpenSSL");
961 #endif
962 #ifndef DISABLE_TLS_RESUME
963   g = string_cat(g, US" TLS_resume");
964 #endif
965 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
966   g = string_cat(g, US" translate_ip_address");
967 #endif
968 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
969   g = string_cat(g, US" move_frozen_messages");
970 #endif
971 #ifdef WITH_CONTENT_SCAN
972   g = string_cat(g, US" Content_Scanning");
973 #endif
974 #ifdef SUPPORT_DANE
975   g = string_cat(g, US" DANE");
976 #endif
977 #ifndef DISABLE_DKIM
978   g = string_cat(g, US" DKIM");
979 #endif
980 #ifdef SUPPORT_DMARC
981   g = string_cat(g, US" DMARC");
982 #endif
983 #ifndef DISABLE_DNSSEC
984   g = string_cat(g, US" DNSSEC");
985 #endif
986 #ifndef DISABLE_EVENT
987   g = string_cat(g, US" Event");
988 #endif
989 #ifdef SUPPORT_I18N
990   g = string_cat(g, US" I18N");
991 #endif
992 #ifndef DISABLE_OCSP
993   g = string_cat(g, US" OCSP");
994 #endif
995 #ifndef DISABLE_PIPE_CONNECT
996   g = string_cat(g, US" PIPE_CONNECT");
997 #endif
998 #ifndef DISABLE_PRDR
999   g = string_cat(g, US" PRDR");
1000 #endif
1001 #ifdef SUPPORT_PROXY
1002   g = string_cat(g, US" PROXY");
1003 #endif
1004 #ifndef DISABLE_QUEUE_RAMP
1005   g = string_cat(g, US" Experimental_Queue_Ramp");
1006 #endif
1007 #ifdef SUPPORT_SOCKS
1008   g = string_cat(g, US" SOCKS");
1009 #endif
1010 #ifdef SUPPORT_SPF
1011   g = string_cat(g, US" SPF");
1012 #endif
1013 #if defined(SUPPORT_SRS)
1014   g = string_cat(g, US" SRS");
1015 #endif
1016 #ifdef TCP_FASTOPEN
1017   tcp_init();
1018   if (f.tcp_fastopen_ok) g = string_cat(g, US" TCP_Fast_Open");
1019 #endif
1020 #ifdef EXPERIMENTAL_ARC
1021   g = string_cat(g, US" Experimental_ARC");
1022 #endif
1023 #ifdef EXPERIMENTAL_BRIGHTMAIL
1024   g = string_cat(g, US" Experimental_Brightmail");
1025 #endif
1026 #ifdef EXPERIMENTAL_DCC
1027   g = string_cat(g, US" Experimental_DCC");
1028 #endif
1029 #ifdef EXPERIMENTAL_DSN_INFO
1030   g = string_cat(g, US" Experimental_DSN_info");
1031 #endif
1032 #ifdef EXPERIMENTAL_ESMTP_LIMITS
1033   g = string_cat(g, US" Experimental_ESMTP_Limits");
1034 #endif
1035 #ifdef EXPERIMENTAL_QUEUEFILE
1036   g = string_cat(g, US" Experimental_QUEUEFILE");
1037 #endif
1038 #if defined(EXPERIMENTAL_SRS_ALT)
1039   g = string_cat(g, US" Experimental_SRS");
1040 #endif
1041 g = string_cat(g, US"\n");
1042
1043 g = string_cat(g, US"Lookups (built-in):");
1044 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
1045   g = string_cat(g, US" lsearch wildlsearch nwildlsearch iplsearch");
1046 #endif
1047 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
1048   g = string_cat(g, US" cdb");
1049 #endif
1050 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
1051   g = string_cat(g, US" dbm dbmjz dbmnz");
1052 #endif
1053 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
1054   g = string_cat(g, US" dnsdb");
1055 #endif
1056 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
1057   g = string_cat(g, US" dsearch");
1058 #endif
1059 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
1060   g = string_cat(g, US" ibase");
1061 #endif
1062 #if defined(LOOKUP_JSON) && LOOKUP_JSON!=2
1063   g = string_cat(g, US" json");
1064 #endif
1065 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
1066   g = string_cat(g, US" ldap ldapdn ldapm");
1067 #endif
1068 #ifdef LOOKUP_LMDB
1069   g = string_cat(g, US" lmdb");
1070 #endif
1071 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
1072   g = string_cat(g, US" mysql");
1073 #endif
1074 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
1075   g = string_cat(g, US" nis nis0");
1076 #endif
1077 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
1078   g = string_cat(g, US" nisplus");
1079 #endif
1080 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
1081   g = string_cat(g, US" oracle");
1082 #endif
1083 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
1084   g = string_cat(g, US" passwd");
1085 #endif
1086 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
1087   g = string_cat(g, US" pgsql");
1088 #endif
1089 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
1090   g = string_cat(g, US" redis");
1091 #endif
1092 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
1093   g = string_cat(g, US" sqlite");
1094 #endif
1095 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
1096   g = string_cat(g, US" testdb");
1097 #endif
1098 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
1099   g = string_cat(g, US" whoson");
1100 #endif
1101 g = string_cat(g, US"\n");
1102
1103 g = auth_show_supported(g);
1104 g = route_show_supported(g);
1105 g = transport_show_supported(g);
1106
1107 #ifdef WITH_CONTENT_SCAN
1108 g = malware_show_supported(g);
1109 #endif
1110
1111 if (fixed_never_users[0] > 0)
1112   {
1113   int i;
1114   g = string_cat(g, US"Fixed never_users: ");
1115   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
1116     string_fmt_append(g, "%u:", (unsigned)fixed_never_users[i]);
1117   g = string_fmt_append(g, "%u\n", (unsigned)fixed_never_users[i]);
1118   }
1119
1120 g = string_fmt_append(g, "Configure owner: %d:%d\n", config_uid, config_gid);
1121 fputs(CS string_from_gstring(g), fp);
1122
1123 fprintf(fp, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
1124
1125 /* Everything else is details which are only worth reporting when debugging.
1126 Perhaps the tls_version_report should move into this too. */
1127 DEBUG(D_any) do {
1128
1129 /* clang defines __GNUC__ (at least, for me) so test for it first */
1130 #if defined(__clang__)
1131   fprintf(fp, "Compiler: CLang [%s]\n", __clang_version__);
1132 #elif defined(__GNUC__)
1133   fprintf(fp, "Compiler: GCC [%s]\n",
1134 # ifdef __VERSION__
1135       __VERSION__
1136 # else
1137       "? unknown version ?"
1138 # endif
1139       );
1140 #else
1141   fprintf(fp, "Compiler: <unknown>\n");
1142 #endif
1143
1144 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1145   fprintf(fp, "Library version: Glibc: Compile: %d.%d\n",
1146                 __GLIBC__, __GLIBC_MINOR__);
1147   if (__GLIBC_PREREQ(2, 1))
1148     fprintf(fp, "                        Runtime: %s\n",
1149                 gnu_get_libc_version());
1150 #endif
1151
1152 show_db_version(fp);
1153
1154 #ifndef DISABLE_TLS
1155   tls_version_report(fp);
1156 #endif
1157 #ifdef SUPPORT_I18N
1158   utf8_version_report(fp);
1159 #endif
1160 #ifdef SUPPORT_DMARC
1161   dmarc_version_report(fp);
1162 #endif
1163 #ifdef SUPPORT_SPF
1164   spf_lib_version_report(fp);
1165 #endif
1166
1167   for (auth_info * authi = auths_available; *authi->driver_name != '\0'; ++authi)
1168     if (authi->version_report)
1169       (*authi->version_report)(fp);
1170
1171   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1172   characters; unless it's an ancient version of PCRE in which case it
1173   is not defined. */
1174 #ifndef PCRE_PRERELEASE
1175 # define PCRE_PRERELEASE
1176 #endif
1177 #define QUOTE(X) #X
1178 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1179   fprintf(fp, "Library version: PCRE: Compile: %d.%d%s\n"
1180              "                       Runtime: %s\n",
1181           PCRE_MAJOR, PCRE_MINOR,
1182           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1183           pcre_version());
1184 #undef QUOTE
1185 #undef EXPAND_AND_QUOTE
1186
1187   init_lookup_list();
1188   for (int i = 0; i < lookup_list_count; i++)
1189     if (lookup_list[i]->version_report)
1190       lookup_list[i]->version_report(fp);
1191
1192 #ifdef WHITELIST_D_MACROS
1193   fprintf(fp, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1194 #else
1195   fprintf(fp, "WHITELIST_D_MACROS unset\n");
1196 #endif
1197 #ifdef TRUSTED_CONFIG_LIST
1198   fprintf(fp, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1199 #else
1200   fprintf(fp, "TRUSTED_CONFIG_LIST unset\n");
1201 #endif
1202
1203 } while (0);
1204 store_reset(reset_point);
1205 }
1206
1207
1208 /*************************************************
1209 *     Show auxiliary information about Exim      *
1210 *************************************************/
1211
1212 static void
1213 show_exim_information(enum commandline_info request, FILE *stream)
1214 {
1215 switch(request)
1216   {
1217   case CMDINFO_NONE:
1218     fprintf(stream, "Oops, something went wrong.\n");
1219     return;
1220   case CMDINFO_HELP:
1221     fprintf(stream,
1222 "The -bI: flag takes a string indicating which information to provide.\n"
1223 "If the string is not recognised, you'll get this help (on stderr).\n"
1224 "\n"
1225 "  exim -bI:help    this information\n"
1226 "  exim -bI:dscp    list of known dscp value keywords\n"
1227 "  exim -bI:sieve   list of supported sieve extensions\n"
1228 );
1229     return;
1230   case CMDINFO_SIEVE:
1231     for (const uschar ** pp = exim_sieve_extension_list; *pp; ++pp)
1232       fprintf(stream, "%s\n", *pp);
1233     return;
1234   case CMDINFO_DSCP:
1235     dscp_list_to_stream(stream);
1236     return;
1237   }
1238 }
1239
1240
1241 /*************************************************
1242 *               Quote a local part               *
1243 *************************************************/
1244
1245 /* This function is used when a sender address or a From: or Sender: header
1246 line is being created from the caller's login, or from an authenticated_id. It
1247 applies appropriate quoting rules for a local part.
1248
1249 Argument:    the local part
1250 Returns:     the local part, quoted if necessary
1251 */
1252
1253 uschar *
1254 local_part_quote(uschar *lpart)
1255 {
1256 BOOL needs_quote = FALSE;
1257 gstring * g;
1258
1259 for (uschar * t = lpart; !needs_quote && *t != 0; t++)
1260   {
1261   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1262     (*t != '.' || t == lpart || t[1] == 0);
1263   }
1264
1265 if (!needs_quote) return lpart;
1266
1267 g = string_catn(NULL, US"\"", 1);
1268
1269 for (;;)
1270   {
1271   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1272   if (nq == NULL)
1273     {
1274     g = string_cat(g, lpart);
1275     break;
1276     }
1277   g = string_catn(g, lpart, nq - lpart);
1278   g = string_catn(g, US"\\", 1);
1279   g = string_catn(g, nq, 1);
1280   lpart = nq + 1;
1281   }
1282
1283 g = string_catn(g, US"\"", 1);
1284 return string_from_gstring(g);
1285 }
1286
1287
1288
1289 #ifdef USE_READLINE
1290 /*************************************************
1291 *         Load readline() functions              *
1292 *************************************************/
1293
1294 /* This function is called from testing executions that read data from stdin,
1295 but only when running as the calling user. Currently, only -be does this. The
1296 function loads the readline() function library and passes back the functions.
1297 On some systems, it needs the curses library, so load that too, but try without
1298 it if loading fails. All this functionality has to be requested at build time.
1299
1300 Arguments:
1301   fn_readline_ptr   pointer to where to put the readline pointer
1302   fn_addhist_ptr    pointer to where to put the addhistory function
1303
1304 Returns:            the dlopen handle or NULL on failure
1305 */
1306
1307 static void *
1308 set_readline(char * (**fn_readline_ptr)(const char *),
1309              void   (**fn_addhist_ptr)(const char *))
1310 {
1311 void *dlhandle;
1312 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1313
1314 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1315 if (dlhandle_curses) dlclose(dlhandle_curses);
1316
1317 if (dlhandle)
1318   {
1319   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1320    *   char * readline (const char *prompt);
1321    *   void add_history (const char *string);
1322    */
1323   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1324   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1325   }
1326 else
1327   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1328
1329 return dlhandle;
1330 }
1331 #endif
1332
1333
1334
1335 /*************************************************
1336 *    Get a line from stdin for testing things    *
1337 *************************************************/
1338
1339 /* This function is called when running tests that can take a number of lines
1340 of input (for example, -be and -bt). It handles continuations and trailing
1341 spaces. And prompting and a blank line output on eof. If readline() is in use,
1342 the arguments are non-NULL and provide the relevant functions.
1343
1344 Arguments:
1345   fn_readline   readline function or NULL
1346   fn_addhist    addhist function or NULL
1347
1348 Returns:        pointer to dynamic memory, or NULL at end of file
1349 */
1350
1351 static uschar *
1352 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1353 {
1354 gstring * g = NULL;
1355
1356 if (!fn_readline) { printf("> "); fflush(stdout); }
1357
1358 for (int i = 0;; i++)
1359   {
1360   uschar buffer[1024];
1361   uschar *p, *ss;
1362
1363   #ifdef USE_READLINE
1364   char *readline_line = NULL;
1365   if (fn_readline)
1366     {
1367     if (!(readline_line = fn_readline((i > 0)? "":"> "))) break;
1368     if (*readline_line != 0 && fn_addhist) fn_addhist(readline_line);
1369     p = US readline_line;
1370     }
1371   else
1372   #endif
1373
1374   /* readline() not in use */
1375
1376     {
1377     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1378     p = buffer;
1379     }
1380
1381   /* Handle the line */
1382
1383   ss = p + (int)Ustrlen(p);
1384   while (ss > p && isspace(ss[-1])) ss--;
1385
1386   if (i > 0)
1387     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1388
1389   g = string_catn(g, p, ss - p);
1390
1391   #ifdef USE_READLINE
1392   if (fn_readline) free(readline_line);
1393   #endif
1394
1395   /* g can only be NULL if ss==p */
1396   if (ss == p || g->s[g->ptr-1] != '\\')
1397     break;
1398
1399   --g->ptr;
1400   (void) string_from_gstring(g);
1401   }
1402
1403 if (!g) printf("\n");
1404 return string_from_gstring(g);
1405 }
1406
1407
1408
1409 /*************************************************
1410 *    Output usage information for the program    *
1411 *************************************************/
1412
1413 /* This function is called when there are no recipients
1414    or a specific --help argument was added.
1415
1416 Arguments:
1417   progname      information on what name we were called by
1418
1419 Returns:        DOES NOT RETURN
1420 */
1421
1422 static void
1423 exim_usage(uschar *progname)
1424 {
1425
1426 /* Handle specific program invocation variants */
1427 if (Ustrcmp(progname, US"-mailq") == 0)
1428   exim_fail(
1429     "mailq - list the contents of the mail queue\n\n"
1430     "For a list of options, see the Exim documentation.\n");
1431
1432 /* Generic usage - we output this whatever happens */
1433 exim_fail(
1434   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1435   "not directly from a shell command line. Options and/or arguments control\n"
1436   "what it does when called. For a list of options, see the Exim documentation.\n");
1437 }
1438
1439
1440
1441 /*************************************************
1442 *    Validate that the macros given are okay     *
1443 *************************************************/
1444
1445 /* Typically, Exim will drop privileges if macros are supplied.  In some
1446 cases, we want to not do so.
1447
1448 Arguments:    opt_D_used - true if the commandline had a "-D" option
1449 Returns:      true if trusted, false otherwise
1450 */
1451
1452 static BOOL
1453 macros_trusted(BOOL opt_D_used)
1454 {
1455 #ifdef WHITELIST_D_MACROS
1456 uschar *whitelisted, *end, *p, **whites;
1457 int white_count, i, n;
1458 size_t len;
1459 BOOL prev_char_item, found;
1460 #endif
1461
1462 if (!opt_D_used)
1463   return TRUE;
1464 #ifndef WHITELIST_D_MACROS
1465 return FALSE;
1466 #else
1467
1468 /* We only trust -D overrides for some invoking users:
1469 root, the exim run-time user, the optional config owner user.
1470 I don't know why config-owner would be needed, but since they can own the
1471 config files anyway, there's no security risk to letting them override -D. */
1472 if ( ! ((real_uid == root_uid)
1473      || (real_uid == exim_uid)
1474 #ifdef CONFIGURE_OWNER
1475      || (real_uid == config_uid)
1476 #endif
1477    ))
1478   {
1479   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1480   return FALSE;
1481   }
1482
1483 /* Get a list of macros which are whitelisted */
1484 whitelisted = string_copy_perm(US WHITELIST_D_MACROS, FALSE);
1485 prev_char_item = FALSE;
1486 white_count = 0;
1487 for (p = whitelisted; *p != '\0'; ++p)
1488   {
1489   if (*p == ':' || isspace(*p))
1490     {
1491     *p = '\0';
1492     if (prev_char_item)
1493       ++white_count;
1494     prev_char_item = FALSE;
1495     continue;
1496     }
1497   if (!prev_char_item)
1498     prev_char_item = TRUE;
1499   }
1500 end = p;
1501 if (prev_char_item)
1502   ++white_count;
1503 if (!white_count)
1504   return FALSE;
1505 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1506 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1507   {
1508   if (*p != '\0')
1509     {
1510     whites[i++] = p;
1511     if (i == white_count)
1512       break;
1513     while (*p != '\0' && p < end)
1514       ++p;
1515     }
1516   }
1517 whites[i] = NULL;
1518
1519 /* The list of commandline macros should be very short.
1520 Accept the N*M complexity. */
1521 for (macro_item * m = macros_user; m; m = m->next) if (m->command_line)
1522   {
1523   found = FALSE;
1524   for (uschar ** w = whites; *w; ++w)
1525     if (Ustrcmp(*w, m->name) == 0)
1526       {
1527       found = TRUE;
1528       break;
1529       }
1530   if (!found)
1531     return FALSE;
1532   if (!m->replacement)
1533     continue;
1534   if ((len = m->replen) == 0)
1535     continue;
1536   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1537    0, PCRE_EOPT, NULL, 0);
1538   if (n < 0)
1539     {
1540     if (n != PCRE_ERROR_NOMATCH)
1541       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1542     return FALSE;
1543     }
1544   }
1545 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1546 return TRUE;
1547 #endif
1548 }
1549
1550
1551 /*************************************************
1552 *          Expansion testing                     *
1553 *************************************************/
1554
1555 /* Expand and print one item, doing macro-processing.
1556
1557 Arguments:
1558   item          line for expansion
1559 */
1560
1561 static void
1562 expansion_test_line(uschar * line)
1563 {
1564 int len;
1565 BOOL dummy_macexp;
1566
1567 Ustrncpy(big_buffer, line, big_buffer_size);
1568 big_buffer[big_buffer_size-1] = '\0';
1569 len = Ustrlen(big_buffer);
1570
1571 (void) macros_expand(0, &len, &dummy_macexp);
1572
1573 if (isupper(big_buffer[0]))
1574   {
1575   if (macro_read_assignment(big_buffer))
1576     printf("Defined macro '%s'\n", mlast->name);
1577   }
1578 else
1579   if ((line = expand_string(big_buffer))) printf("%s\n", CS line);
1580   else printf("Failed: %s\n", expand_string_message);
1581 }
1582
1583
1584
1585 /*************************************************
1586 *          Entry point and high-level code       *
1587 *************************************************/
1588
1589 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1590 the appropriate action. All the necessary functions are present in the one
1591 binary. I originally thought one should split it up, but it turns out that so
1592 much of the apparatus is needed in each chunk that one might as well just have
1593 it all available all the time, which then makes the coding easier as well.
1594
1595 Arguments:
1596   argc      count of entries in argv
1597   argv      argument strings, with argv[0] being the program name
1598
1599 Returns:    EXIT_SUCCESS if terminated successfully
1600             EXIT_FAILURE otherwise, except when a message has been sent
1601               to the sender, and -oee was given
1602 */
1603
1604 int
1605 main(int argc, char **cargv)
1606 {
1607 uschar **argv = USS cargv;
1608 int  arg_receive_timeout = -1;
1609 int  arg_smtp_receive_timeout = -1;
1610 int  arg_error_handling = error_handling;
1611 int  filter_sfd = -1;
1612 int  filter_ufd = -1;
1613 int  group_count;
1614 int  i, rv;
1615 int  list_queue_option = 0;
1616 int  msg_action = 0;
1617 int  msg_action_arg = -1;
1618 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1619 int  queue_only_reason = 0;
1620 #ifdef EXIM_PERL
1621 int  perl_start_option = 0;
1622 #endif
1623 int  recipients_arg = argc;
1624 int  sender_address_domain = 0;
1625 int  test_retry_arg = -1;
1626 int  test_rewrite_arg = -1;
1627 gid_t original_egid;
1628 BOOL arg_queue_only = FALSE;
1629 BOOL bi_option = FALSE;
1630 BOOL checking = FALSE;
1631 BOOL count_queue = FALSE;
1632 BOOL expansion_test = FALSE;
1633 BOOL extract_recipients = FALSE;
1634 BOOL flag_G = FALSE;
1635 BOOL flag_n = FALSE;
1636 BOOL forced_delivery = FALSE;
1637 BOOL f_end_dot = FALSE;
1638 BOOL deliver_give_up = FALSE;
1639 BOOL list_queue = FALSE;
1640 BOOL list_options = FALSE;
1641 BOOL list_config = FALSE;
1642 BOOL local_queue_only;
1643 BOOL more = TRUE;
1644 BOOL one_msg_action = FALSE;
1645 BOOL opt_D_used = FALSE;
1646 BOOL queue_only_set = FALSE;
1647 BOOL receiving_message = TRUE;
1648 BOOL sender_ident_set = FALSE;
1649 BOOL session_local_queue_only;
1650 BOOL unprivileged;
1651 BOOL removed_privilege = FALSE;
1652 BOOL usage_wanted = FALSE;
1653 BOOL verify_address_mode = FALSE;
1654 BOOL verify_as_sender = FALSE;
1655 BOOL rcpt_verify_quota = FALSE;
1656 BOOL version_printed = FALSE;
1657 uschar *alias_arg = NULL;
1658 uschar *called_as = US"";
1659 uschar *cmdline_syslog_name = NULL;
1660 uschar *start_queue_run_id = NULL;
1661 uschar *stop_queue_run_id = NULL;
1662 uschar *expansion_test_message = NULL;
1663 uschar *ftest_domain = NULL;
1664 uschar *ftest_localpart = NULL;
1665 uschar *ftest_prefix = NULL;
1666 uschar *ftest_suffix = NULL;
1667 uschar *log_oneline = NULL;
1668 uschar *malware_test_file = NULL;
1669 uschar *real_sender_address;
1670 uschar *originator_home = US"/";
1671 size_t sz;
1672
1673 struct passwd *pw;
1674 struct stat statbuf;
1675 pid_t passed_qr_pid = (pid_t)0;
1676 int passed_qr_pipe = -1;
1677 gid_t group_list[EXIM_GROUPLIST_SIZE];
1678
1679 /* For the -bI: flag */
1680 enum commandline_info info_flag = CMDINFO_NONE;
1681 BOOL info_stdout = FALSE;
1682
1683 /* Possible options for -R and -S */
1684
1685 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1686
1687 /* Need to define this in case we need to change the environment in order
1688 to get rid of a bogus time zone. We have to make it char rather than uschar
1689 because some OS define it in /usr/include/unistd.h. */
1690
1691 extern char **environ;
1692
1693 #ifdef MEASURE_TIMING
1694 (void)gettimeofday(&timestamp_startup, NULL);
1695 #endif
1696
1697 store_init();   /* Initialise the memory allocation susbsystem */
1698
1699 /* If the Exim user and/or group and/or the configuration file owner/group were
1700 defined by ref:name at build time, we must now find the actual uid/gid values.
1701 This is a feature to make the lives of binary distributors easier. */
1702
1703 #ifdef EXIM_USERNAME
1704 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1705   {
1706   if (exim_uid == 0)
1707     exim_fail("exim: refusing to run with uid 0 for \"%s\"\n", EXIM_USERNAME);
1708
1709   /* If ref:name uses a number as the name, route_finduser() returns
1710   TRUE with exim_uid set and pw coerced to NULL. */
1711   if (pw)
1712     exim_gid = pw->pw_gid;
1713 #ifndef EXIM_GROUPNAME
1714   else
1715     exim_fail(
1716         "exim: ref:name should specify a usercode, not a group.\n"
1717         "exim: can't let you get away with it unless you also specify a group.\n");
1718 #endif
1719   }
1720 else
1721   exim_fail("exim: failed to find uid for user name \"%s\"\n", EXIM_USERNAME);
1722 #endif
1723
1724 #ifdef EXIM_GROUPNAME
1725 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1726   exim_fail("exim: failed to find gid for group name \"%s\"\n", EXIM_GROUPNAME);
1727 #endif
1728
1729 #ifdef CONFIGURE_OWNERNAME
1730 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1731   exim_fail("exim: failed to find uid for user name \"%s\"\n",
1732     CONFIGURE_OWNERNAME);
1733 #endif
1734
1735 /* We default the system_filter_user to be the Exim run-time user, as a
1736 sane non-root value. */
1737 system_filter_uid = exim_uid;
1738
1739 #ifdef CONFIGURE_GROUPNAME
1740 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1741   exim_fail("exim: failed to find gid for group name \"%s\"\n",
1742     CONFIGURE_GROUPNAME);
1743 #endif
1744
1745 /* In the Cygwin environment, some initialization used to need doing.
1746 It was fudged in by means of this macro; now no longer but we'll leave
1747 it in case of others. */
1748
1749 #ifdef OS_INIT
1750 OS_INIT
1751 #endif
1752
1753 /* Check a field which is patched when we are running Exim within its
1754 testing harness; do a fast initial check, and then the whole thing. */
1755
1756 f.running_in_test_harness =
1757   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1758 if (f.running_in_test_harness)
1759   debug_store = TRUE;
1760
1761 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1762 at the start of a program; however, it seems that some environments do not
1763 follow this. A "strange" locale can affect the formatting of timestamps, so we
1764 make quite sure. */
1765
1766 setlocale(LC_ALL, "C");
1767
1768 /* Get the offset between CLOCK_MONOTONIC/CLOCK_BOOTTIME and wallclock */
1769
1770 #ifdef _POSIX_MONOTONIC_CLOCK
1771 exim_clock_init();
1772 #endif
1773
1774 /* Set up the default handler for timing using alarm(). */
1775
1776 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1777
1778 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1779 because store_malloc writes a log entry on failure. */
1780
1781 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1782   exim_fail("exim: failed to get store for log buffer\n");
1783
1784 /* Initialize the default log options. */
1785
1786 bits_set(log_selector, log_selector_size, log_default);
1787
1788 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1789 NULL when the daemon is run and the file is closed. We have to use this
1790 indirection, because some systems don't allow writing to the variable "stderr".
1791 */
1792
1793 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1794
1795 /* Arrange for the PCRE regex library to use our store functions. Note that
1796 the normal calls are actually macros that add additional arguments for
1797 debugging purposes so we have to assign specially constructed functions here.
1798 The default is to use store in the stacking pool, but this is overridden in the
1799 regex_must_compile() function. */
1800
1801 pcre_malloc = function_store_get;
1802 pcre_free = function_dummy_free;
1803
1804 /* Ensure there is a big buffer for temporary use in several places. It is put
1805 in malloc store so that it can be freed for enlargement if necessary. */
1806
1807 big_buffer = store_malloc(big_buffer_size);
1808
1809 /* Set up the handler for the data request signal, and set the initial
1810 descriptive text. */
1811
1812 process_info = store_get(PROCESS_INFO_SIZE, TRUE);      /* tainted */
1813 set_process_info("initializing");
1814 os_restarting_signal(SIGUSR1, usr1_handler);
1815
1816 /* If running in a dockerized environment, the TERM signal is only
1817 delegated to the PID 1 if we request it by setting an signal handler */
1818 if (getpid() == 1) signal(SIGTERM, term_handler);
1819
1820 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1821 in the daemon code. For the rest of Exim's uses, we ignore it. */
1822
1823 signal(SIGHUP, SIG_IGN);
1824
1825 /* We don't want to die on pipe errors as the code is written to handle
1826 the write error instead. */
1827
1828 signal(SIGPIPE, SIG_IGN);
1829
1830 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1831 set to SIG_IGN. This causes subprocesses that complete before the parent
1832 process waits for them not to hang around, so when Exim calls wait(), nothing
1833 is there. The wait() code has been made robust against this, but let's ensure
1834 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1835 ending status. We use sigaction rather than plain signal() on those OS where
1836 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1837 problem on AIX with this.) */
1838
1839 #ifdef SA_NOCLDWAIT
1840   {
1841   struct sigaction act;
1842   act.sa_handler = SIG_DFL;
1843   sigemptyset(&(act.sa_mask));
1844   act.sa_flags = 0;
1845   sigaction(SIGCHLD, &act, NULL);
1846   }
1847 #else
1848 signal(SIGCHLD, SIG_DFL);
1849 #endif
1850
1851 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1852 SIGHUP. */
1853
1854 sighup_argv = argv;
1855
1856 /* Set up the version number. Set up the leading 'E' for the external form of
1857 message ids, set the pointer to the internal form, and initialize it to
1858 indicate no message being processed. */
1859
1860 version_init();
1861 message_id_option[0] = '-';
1862 message_id_external = message_id_option + 1;
1863 message_id_external[0] = 'E';
1864 message_id = message_id_external + 1;
1865 message_id[0] = 0;
1866
1867 /* Set the umask to zero so that any files Exim creates using open() are
1868 created with the modes that it specifies. NOTE: Files created with fopen() have
1869 a problem, which was not recognized till rather late (February 2006). With this
1870 umask, such files will be world writeable. (They are all content scanning files
1871 in the spool directory, which isn't world-accessible, so this is not a
1872 disaster, but it's untidy.) I don't want to change this overall setting,
1873 however, because it will interact badly with the open() calls. Instead, there's
1874 now a function called modefopen() that fiddles with the umask while calling
1875 fopen(). */
1876
1877 (void)umask(0);
1878
1879 /* Precompile the regular expression for matching a message id. Keep this in
1880 step with the code that generates ids in the accept.c module. We need to do
1881 this here, because the -M options check their arguments for syntactic validity
1882 using mac_ismsgid, which uses this. */
1883
1884 regex_ismsgid =
1885   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1886
1887 /* Precompile the regular expression that is used for matching an SMTP error
1888 code, possibly extended, at the start of an error message. Note that the
1889 terminating whitespace character is included. */
1890
1891 regex_smtp_code =
1892   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1893     FALSE, TRUE);
1894
1895 #ifdef WHITELIST_D_MACROS
1896 /* Precompile the regular expression used to filter the content of macros
1897 given to -D for permissibility. */
1898
1899 regex_whitelisted_macro =
1900   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1901 #endif
1902
1903 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
1904
1905 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1906 this seems to be a generally accepted convention, since one finds symbolic
1907 links called "mailq" in standard OS configurations. */
1908
1909 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1910     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1911   {
1912   list_queue = TRUE;
1913   receiving_message = FALSE;
1914   called_as = US"-mailq";
1915   }
1916
1917 /* If the program is called as "rmail" treat it as equivalent to
1918 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1919 i.e. preventing a single dot on a line from terminating the message, and
1920 returning with zero return code, even in cases of error (provided an error
1921 message has been sent). */
1922
1923 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1924     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1925   {
1926   f.dot_ends = FALSE;
1927   called_as = US"-rmail";
1928   errors_sender_rc = EXIT_SUCCESS;
1929   }
1930
1931 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1932 this is a smail convention. */
1933
1934 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1935     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1936   {
1937   smtp_input = smtp_batched_input = TRUE;
1938   called_as = US"-rsmtp";
1939   }
1940
1941 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1942 this is a smail convention. */
1943
1944 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1945     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1946   {
1947   queue_interval = 0;
1948   receiving_message = FALSE;
1949   called_as = US"-runq";
1950   }
1951
1952 /* If the program is called as "newaliases" treat it as equivalent to
1953 "exim -bi"; this is a sendmail convention. */
1954
1955 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1956     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1957   {
1958   bi_option = TRUE;
1959   receiving_message = FALSE;
1960   called_as = US"-newaliases";
1961   }
1962
1963 /* Save the original effective uid for a couple of uses later. It should
1964 normally be root, but in some esoteric environments it may not be. */
1965
1966 original_euid = geteuid();
1967 original_egid = getegid();
1968
1969 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1970 to be the same as the real ones. This makes a difference only if Exim is setuid
1971 (or setgid) to something other than root, which could be the case in some
1972 special configurations. */
1973
1974 real_uid = getuid();
1975 real_gid = getgid();
1976
1977 if (real_uid == root_uid)
1978   {
1979   if ((rv = setgid(real_gid)))
1980     exim_fail("exim: setgid(%ld) failed: %s\n",
1981         (long int)real_gid, strerror(errno));
1982   if ((rv = setuid(real_uid)))
1983     exim_fail("exim: setuid(%ld) failed: %s\n",
1984         (long int)real_uid, strerror(errno));
1985   }
1986
1987 /* If neither the original real uid nor the original euid was root, Exim is
1988 running in an unprivileged state. */
1989
1990 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1991
1992 /* For most of the args-parsing we need to use permanent pool memory */
1993  {
1994  int old_pool = store_pool;
1995  store_pool = POOL_PERM;
1996
1997 /* Scan the program's arguments. Some can be dealt with right away; others are
1998 simply recorded for checking and handling afterwards. Do a high-level switch
1999 on the second character (the one after '-'), to save some effort. */
2000
2001  for (i = 1; i < argc; i++)
2002   {
2003   BOOL badarg = FALSE;
2004   uschar * arg = argv[i];
2005   uschar * argrest;
2006   int switchchar;
2007
2008   /* An argument not starting with '-' is the start of a recipients list;
2009   break out of the options-scanning loop. */
2010
2011   if (arg[0] != '-')
2012     {
2013     recipients_arg = i;
2014     break;
2015     }
2016
2017   /* An option consisting of -- terminates the options */
2018
2019   if (Ustrcmp(arg, "--") == 0)
2020     {
2021     recipients_arg = i + 1;
2022     break;
2023     }
2024
2025   /* Handle flagged options */
2026
2027   switchchar = arg[1];
2028   argrest = arg+2;
2029
2030   /* Make all -ex options synonymous with -oex arguments, since that
2031   is assumed by various callers. Also make -qR options synonymous with -R
2032   options, as that seems to be required as well. Allow for -qqR too, and
2033   the same for -S options. */
2034
2035   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
2036       Ustrncmp(arg+1, "qR", 2) == 0 ||
2037       Ustrncmp(arg+1, "qS", 2) == 0)
2038     {
2039     switchchar = arg[2];
2040     argrest++;
2041     }
2042   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
2043     {
2044     switchchar = arg[3];
2045     argrest += 2;
2046     f.queue_2stage = TRUE;
2047     }
2048
2049   /* Make -r synonymous with -f, since it is a documented alias */
2050
2051   else if (arg[1] == 'r') switchchar = 'f';
2052
2053   /* Make -ov synonymous with -v */
2054
2055   else if (Ustrcmp(arg, "-ov") == 0)
2056     {
2057     switchchar = 'v';
2058     argrest++;
2059     }
2060
2061   /* deal with --option_aliases */
2062   else if (switchchar == '-')
2063     {
2064     if (Ustrcmp(argrest, "help") == 0)
2065       {
2066       usage_wanted = TRUE;
2067       break;
2068       }
2069     else if (Ustrcmp(argrest, "version") == 0)
2070       {
2071       switchchar = 'b';
2072       argrest = US"V";
2073       }
2074     }
2075
2076   /* High-level switch on active initial letter */
2077
2078   switch(switchchar)
2079     {
2080
2081     /* sendmail uses -Ac and -Am to control which .cf file is used;
2082     we ignore them. */
2083     case 'A':
2084     if (!*argrest) { badarg = TRUE; break; }
2085     else
2086       {
2087       BOOL ignore = FALSE;
2088       switch (*argrest)
2089         {
2090         case 'c':
2091         case 'm':
2092           if (*(argrest + 1) == '\0')
2093             ignore = TRUE;
2094           break;
2095         }
2096       if (!ignore) badarg = TRUE;
2097       }
2098     break;
2099
2100     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
2101     so has no need of it. */
2102
2103     case 'B':
2104     if (!*argrest) i++;       /* Skip over the type */
2105     break;
2106
2107
2108     case 'b':
2109       {
2110       receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
2111
2112       switch (*argrest++)
2113         {
2114         /* -bd:  Run in daemon mode, awaiting SMTP connections.
2115            -bdf: Ditto, but in the foreground.
2116         */
2117         case 'd':
2118           f.daemon_listen = TRUE;
2119           if (*argrest == 'f') f.background_daemon = FALSE;
2120           else if (*argrest) badarg = TRUE;
2121           break;
2122
2123         /* -be:  Run in expansion test mode
2124            -bem: Ditto, but read a message from a file first
2125         */
2126         case 'e':
2127           expansion_test = checking = TRUE;
2128           if (*argrest == 'm')
2129             {
2130             if (++i >= argc) { badarg = TRUE; break; }
2131             expansion_test_message = argv[i];
2132             argrest++;
2133             }
2134           if (*argrest) badarg = TRUE;
2135           break;
2136
2137         /* -bF:  Run system filter test */
2138         case 'F':
2139           filter_test |= checking = FTEST_SYSTEM;
2140           if (*argrest) badarg = TRUE;
2141           else if (++i < argc) filter_test_sfile = argv[i];
2142           else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2143           break;
2144
2145         /* -bf:  Run user filter test
2146            -bfd: Set domain for filter testing
2147            -bfl: Set local part for filter testing
2148            -bfp: Set prefix for filter testing
2149            -bfs: Set suffix for filter testing
2150         */
2151         case 'f':
2152           if (!*argrest)
2153             {
2154             filter_test |= checking = FTEST_USER;
2155             if (++i < argc) filter_test_ufile = argv[i];
2156             else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2157             }
2158           else
2159             {
2160             if (++i >= argc)
2161               exim_fail("exim: string expected after %s\n", arg);
2162             if (Ustrcmp(argrest, "d") == 0) ftest_domain = exim_str_fail_toolong(argv[i], EXIM_DOMAINNAME_MAX, "-bfd");
2163             else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfl");
2164             else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfp");
2165             else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfs");
2166             else badarg = TRUE;
2167             }
2168           break;
2169
2170         /* -bh: Host checking - an IP address must follow. */
2171         case 'h':
2172           if (!*argrest || Ustrcmp(argrest, "c") == 0)
2173             {
2174             if (++i >= argc) { badarg = TRUE; break; }
2175             sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-bh"), TRUE);
2176             host_checking = checking = f.log_testing_mode = TRUE;
2177             f.host_checking_callout = *argrest == 'c';
2178             message_logs = FALSE;
2179             }
2180           else badarg = TRUE;
2181           break;
2182
2183         /* -bi: This option is used by sendmail to initialize *the* alias file,
2184         though it has the -oA option to specify a different file. Exim has no
2185         concept of *the* alias file, but since Sun's YP make script calls
2186         sendmail this way, some support must be provided. */
2187         case 'i':
2188           if (!*argrest) bi_option = TRUE;
2189           else badarg = TRUE;
2190           break;
2191
2192         /* -bI: provide information, of the type to follow after a colon.
2193         This is an Exim flag. */
2194         case 'I':
2195           if (Ustrlen(argrest) >= 1 && *argrest == ':')
2196             {
2197             uschar *p = argrest+1;
2198             info_flag = CMDINFO_HELP;
2199             if (Ustrlen(p))
2200               if (strcmpic(p, CUS"sieve") == 0)
2201                 {
2202                 info_flag = CMDINFO_SIEVE;
2203                 info_stdout = TRUE;
2204                 }
2205               else if (strcmpic(p, CUS"dscp") == 0)
2206                 {
2207                 info_flag = CMDINFO_DSCP;
2208                 info_stdout = TRUE;
2209                 }
2210               else if (strcmpic(p, CUS"help") == 0)
2211                 info_stdout = TRUE;
2212             }
2213           else badarg = TRUE;
2214           break;
2215
2216         /* -bm: Accept and deliver message - the default option. Reinstate
2217         receiving_message, which got turned off for all -b options.
2218            -bmalware: test the filename given for malware */
2219         case 'm':
2220           if (!*argrest) receiving_message = TRUE;
2221           else if (Ustrcmp(argrest, "alware") == 0)
2222             {
2223             if (++i >= argc) { badarg = TRUE; break; }
2224             checking = TRUE;
2225             malware_test_file = argv[i];
2226             }
2227           else badarg = TRUE;
2228           break;
2229
2230         /* -bnq: For locally originating messages, do not qualify unqualified
2231         addresses. In the envelope, this causes errors; in header lines they
2232         just get left. */
2233         case 'n':
2234           if (Ustrcmp(argrest, "q") == 0)
2235             {
2236             f.allow_unqualified_sender = FALSE;
2237             f.allow_unqualified_recipient = FALSE;
2238             }
2239           else badarg = TRUE;
2240           break;
2241
2242         /* -bpxx: List the contents of the mail queue, in various forms. If
2243         the option is -bpc, just a queue count is needed. Otherwise, if the
2244         first letter after p is r, then order is random. */
2245         case 'p':
2246           if (*argrest == 'c')
2247             {
2248             count_queue = TRUE;
2249             if (*++argrest) badarg = TRUE;
2250             break;
2251             }
2252
2253           if (*argrest == 'r')
2254             {
2255             list_queue_option = 8;
2256             argrest++;
2257             }
2258           else list_queue_option = 0;
2259
2260           list_queue = TRUE;
2261
2262           /* -bp: List the contents of the mail queue, top-level only */
2263
2264           if (!*argrest) {}
2265
2266           /* -bpu: List the contents of the mail queue, top-level undelivered */
2267
2268           else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2269
2270           /* -bpa: List the contents of the mail queue, including all delivered */
2271
2272           else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2273
2274           /* Unknown after -bp[r] */
2275
2276           else badarg = TRUE;
2277           break;
2278
2279
2280         /* -bP: List the configuration variables given as the address list.
2281         Force -v, so configuration errors get displayed. */
2282         case 'P':
2283
2284           /* -bP config: we need to setup here, because later,
2285           when list_options is checked, the config is read already */
2286           if (*argrest)
2287             badarg = TRUE;
2288           else if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2289             {
2290             list_config = TRUE;
2291             readconf_save_config(version_string);
2292             }
2293           else
2294             {
2295             list_options = TRUE;
2296             debug_selector |= D_v;
2297             debug_file = stderr;
2298             }
2299           break;
2300
2301         /* -brt: Test retry configuration lookup */
2302         case 'r':
2303           if (Ustrcmp(argrest, "t") == 0)
2304             {
2305             checking = TRUE;
2306             test_retry_arg = i + 1;
2307             goto END_ARG;
2308             }
2309
2310           /* -brw: Test rewrite configuration */
2311
2312           else if (Ustrcmp(argrest, "w") == 0)
2313             {
2314             checking = TRUE;
2315             test_rewrite_arg = i + 1;
2316             goto END_ARG;
2317             }
2318           else badarg = TRUE;
2319           break;
2320
2321         /* -bS: Read SMTP commands on standard input, but produce no replies -
2322         all errors are reported by sending messages. */
2323         case 'S':
2324           if (!*argrest)
2325             smtp_input = smtp_batched_input = receiving_message = TRUE;
2326           else badarg = TRUE;
2327           break;
2328
2329         /* -bs: Read SMTP commands on standard input and produce SMTP replies
2330         on standard output. */
2331         case 's':
2332           if (!*argrest) smtp_input = receiving_message = TRUE;
2333           else badarg = TRUE;
2334           break;
2335
2336         /* -bt: address testing mode */
2337         case 't':
2338           if (!*argrest)
2339             f.address_test_mode = checking = f.log_testing_mode = TRUE;
2340           else badarg = TRUE;
2341           break;
2342
2343         /* -bv: verify addresses */
2344         case 'v':
2345           if (!*argrest)
2346             verify_address_mode = checking = f.log_testing_mode = TRUE;
2347
2348         /* -bvs: verify sender addresses */
2349
2350           else if (Ustrcmp(argrest, "s") == 0)
2351             {
2352             verify_address_mode = checking = f.log_testing_mode = TRUE;
2353             verify_as_sender = TRUE;
2354             }
2355           else badarg = TRUE;
2356           break;
2357
2358         /* -bV: Print version string and support details */
2359         case 'V':
2360           if (!*argrest)
2361             {
2362             printf("Exim version %s #%s built %s\n", version_string,
2363               version_cnumber, version_date);
2364             printf("%s\n", CS version_copyright);
2365             version_printed = TRUE;
2366             show_whats_supported(stdout);
2367             f.log_testing_mode = TRUE;
2368             }
2369           else badarg = TRUE;
2370           break;
2371
2372         /* -bw: inetd wait mode, accept a listening socket as stdin */
2373         case 'w':
2374           f.inetd_wait_mode = TRUE;
2375           f.background_daemon = FALSE;
2376           f.daemon_listen = TRUE;
2377           if (*argrest)
2378             if ((inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE)) <= 0)
2379               exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
2380           break;
2381
2382         default:
2383           badarg = TRUE;
2384           break;
2385         }
2386       break;
2387       }
2388
2389
2390     /* -C: change configuration file list; ignore if it isn't really
2391     a change! Enforce a prefix check if required. */
2392
2393     case 'C':
2394     if (!*argrest)
2395       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2396     if (Ustrcmp(config_main_filelist, argrest) != 0)
2397       {
2398       #ifdef ALT_CONFIG_PREFIX
2399       int sep = 0;
2400       int len = Ustrlen(ALT_CONFIG_PREFIX);
2401       const uschar *list = argrest;
2402       uschar *filename;
2403       /* The argv is untainted, so big_buffer (also untainted) is ok to use */
2404       while((filename = string_nextinlist(&list, &sep, big_buffer,
2405              big_buffer_size)))
2406         if (  (  Ustrlen(filename) < len
2407               || Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0
2408               || Ustrstr(filename, "/../") != NULL
2409               )
2410            && (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid)
2411            )
2412           exim_fail("-C Permission denied\n");
2413       #endif
2414       if (real_uid != root_uid)
2415         {
2416         #ifdef TRUSTED_CONFIG_LIST
2417
2418         if (real_uid != exim_uid
2419             #ifdef CONFIGURE_OWNER
2420             && real_uid != config_uid
2421             #endif
2422             )
2423           f.trusted_config = FALSE;
2424         else
2425           {
2426           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2427           if (trust_list)
2428             {
2429             struct stat statbuf;
2430
2431             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2432                 (statbuf.st_uid != root_uid        /* owner not root */
2433                  #ifdef CONFIGURE_OWNER
2434                  && statbuf.st_uid != config_uid   /* owner not the special one */
2435                  #endif
2436                    ) ||                            /* or */
2437                 (statbuf.st_gid != root_gid        /* group not root */
2438                  #ifdef CONFIGURE_GROUP
2439                  && statbuf.st_gid != config_gid   /* group not the special one */
2440                  #endif
2441                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2442                    ) ||                            /* or */
2443                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2444               {
2445               f.trusted_config = FALSE;
2446               fclose(trust_list);
2447               }
2448             else
2449               {
2450               /* Well, the trust list at least is up to scratch... */
2451               rmark reset_point;
2452               uschar *trusted_configs[32];
2453               int nr_configs = 0;
2454               int i = 0;
2455               int old_pool = store_pool;
2456               store_pool = POOL_MAIN;
2457
2458               reset_point = store_mark();
2459               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2460                 {
2461                 uschar *start = big_buffer, *nl;
2462                 while (*start && isspace(*start))
2463                 start++;
2464                 if (*start != '/')
2465                   continue;
2466                 nl = Ustrchr(start, '\n');
2467                 if (nl)
2468                   *nl = 0;
2469                 trusted_configs[nr_configs++] = string_copy(start);
2470                 if (nr_configs == nelem(trusted_configs))
2471                   break;
2472                 }
2473               fclose(trust_list);
2474
2475               if (nr_configs)
2476                 {
2477                 int sep = 0;
2478                 const uschar *list = argrest;
2479                 uschar *filename;
2480                 while (f.trusted_config && (filename = string_nextinlist(&list,
2481                         &sep, big_buffer, big_buffer_size)))
2482                   {
2483                   for (i=0; i < nr_configs; i++)
2484                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2485                       break;
2486                   if (i == nr_configs)
2487                     {
2488                     f.trusted_config = FALSE;
2489                     break;
2490                     }
2491                   }
2492                 }
2493               else      /* No valid prefixes found in trust_list file. */
2494                 f.trusted_config = FALSE;
2495               store_reset(reset_point);
2496               store_pool = old_pool;
2497               }
2498             }
2499           else          /* Could not open trust_list file. */
2500             f.trusted_config = FALSE;
2501           }
2502       #else
2503         /* Not root; don't trust config */
2504         f.trusted_config = FALSE;
2505       #endif
2506         }
2507
2508       config_main_filelist = argrest;
2509       f.config_changed = TRUE;
2510       }
2511     break;
2512
2513
2514     /* -D: set up a macro definition */
2515
2516     case 'D':
2517 #ifdef DISABLE_D_OPTION
2518       exim_fail("exim: -D is not available in this Exim binary\n");
2519 #else
2520       {
2521       int ptr = 0;
2522       macro_item *m;
2523       uschar name[24];
2524       uschar *s = argrest;
2525
2526       opt_D_used = TRUE;
2527       while (isspace(*s)) s++;
2528
2529       if (*s < 'A' || *s > 'Z')
2530         exim_fail("exim: macro name set by -D must start with "
2531           "an upper case letter\n");
2532
2533       while (isalnum(*s) || *s == '_')
2534         {
2535         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2536         s++;
2537         }
2538       name[ptr] = 0;
2539       if (ptr == 0) { badarg = TRUE; break; }
2540       while (isspace(*s)) s++;
2541       if (*s != 0)
2542         {
2543         if (*s++ != '=') { badarg = TRUE; break; }
2544         while (isspace(*s)) s++;
2545         }
2546
2547       for (m = macros_user; m; m = m->next)
2548         if (Ustrcmp(m->name, name) == 0)
2549           exim_fail("exim: duplicated -D in command line\n");
2550
2551       m = macro_create(name, s, TRUE);
2552
2553       if (clmacro_count >= MAX_CLMACROS)
2554         exim_fail("exim: too many -D options on command line\n");
2555       clmacros[clmacro_count++] =
2556         string_sprintf("-D%s=%s", m->name, m->replacement);
2557       }
2558     #endif
2559     break;
2560
2561     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2562     The latter is now a no-op, retained for compatibility only. If -dd is used,
2563     debugging subprocesses of the daemon is disabled. */
2564
2565     case 'd':
2566     if (Ustrcmp(argrest, "ropcr") == 0)
2567       {
2568       /* drop_cr = TRUE; */
2569       }
2570
2571     /* Use an intermediate variable so that we don't set debugging while
2572     decoding the debugging bits. */
2573
2574     else
2575       {
2576       unsigned int selector = D_default;
2577       debug_selector = 0;
2578       debug_file = NULL;
2579       if (*argrest == 'd')
2580         {
2581         f.debug_daemon = TRUE;
2582         argrest++;
2583         }
2584       if (*argrest)
2585         decode_bits(&selector, 1, debug_notall, argrest,
2586           debug_options, debug_options_count, US"debug", 0);
2587       debug_selector = selector;
2588       }
2589     break;
2590
2591
2592     /* -E: This is a local error message. This option is not intended for
2593     external use at all, but is not restricted to trusted callers because it
2594     does no harm (just suppresses certain error messages) and if Exim is run
2595     not setuid root it won't always be trusted when it generates error
2596     messages using this option. If there is a message id following -E, point
2597     message_reference at it, for logging. */
2598
2599     case 'E':
2600     f.local_error_message = TRUE;
2601     if (mac_ismsgid(argrest)) message_reference = argrest;
2602     break;
2603
2604
2605     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2606     option, so it looks as if historically the -oex options are also callable
2607     without the leading -o. So we have to accept them. Before the switch,
2608     anything starting -oe has been converted to -e. Exim does not support all
2609     of the sendmail error options. */
2610
2611     case 'e':
2612     if (Ustrcmp(argrest, "e") == 0)
2613       {
2614       arg_error_handling = ERRORS_SENDER;
2615       errors_sender_rc = EXIT_SUCCESS;
2616       }
2617     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2618     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2619     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2620     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2621     else badarg = TRUE;
2622     break;
2623
2624
2625     /* -F: Set sender's full name, used instead of the gecos entry from
2626     the password file. Since users can usually alter their gecos entries,
2627     there's no security involved in using this instead. The data can follow
2628     the -F or be in the next argument. */
2629
2630     case 'F':
2631     if (!*argrest)
2632       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2633     originator_name = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_HUMANNAME_MAX, "-F"), TRUE);
2634     f.sender_name_forced = TRUE;
2635     break;
2636
2637
2638     /* -f: Set sender's address - this value is only actually used if Exim is
2639     run by a trusted user, or if untrusted_set_sender is set and matches the
2640     address, except that the null address can always be set by any user. The
2641     test for this happens later, when the value given here is ignored when not
2642     permitted. For an untrusted user, the actual sender is still put in Sender:
2643     if it doesn't match the From: header (unless no_local_from_check is set).
2644     The data can follow the -f or be in the next argument. The -r switch is an
2645     obsolete form of -f but since there appear to be programs out there that
2646     use anything that sendmail has ever supported, better accept it - the
2647     synonymizing is done before the switch above.
2648
2649     At this stage, we must allow domain literal addresses, because we don't
2650     know what the setting of allow_domain_literals is yet. Ditto for trailing
2651     dots and strip_trailing_dot. */
2652
2653     case 'f':
2654       {
2655       int dummy_start, dummy_end;
2656       uschar *errmess;
2657       if (!*argrest)
2658         if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
2659       (void) exim_str_fail_toolong(argrest, EXIM_DISPLAYMAIL_MAX, "-f");
2660       if (!*argrest)
2661         *(sender_address = store_get(1, FALSE)) = '\0';  /* Ensure writeable memory */
2662       else
2663         {
2664         uschar * temp = argrest + Ustrlen(argrest) - 1;
2665         while (temp >= argrest && isspace(*temp)) temp--;
2666         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2667         allow_domain_literals = TRUE;
2668         strip_trailing_dot = TRUE;
2669 #ifdef SUPPORT_I18N
2670         allow_utf8_domains = TRUE;
2671 #endif
2672         if (!(sender_address = parse_extract_address(argrest, &errmess,
2673                   &dummy_start, &dummy_end, &sender_address_domain, TRUE)))
2674           exim_fail("exim: bad -f address \"%s\": %s\n", argrest, errmess);
2675
2676         sender_address = string_copy_taint(sender_address, TRUE);
2677 #ifdef SUPPORT_I18N
2678         message_smtputf8 =  string_is_utf8(sender_address);
2679         allow_utf8_domains = FALSE;
2680 #endif
2681         allow_domain_literals = FALSE;
2682         strip_trailing_dot = FALSE;
2683         }
2684       f.sender_address_forced = TRUE;
2685       }
2686     break;
2687
2688     /* -G: sendmail invocation to specify that it's a gateway submission and
2689     sendmail may complain about problems instead of fixing them.
2690     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2691     not at this time complain about problems. */
2692
2693     case 'G':
2694     flag_G = TRUE;
2695     break;
2696
2697     /* -h: Set the hop count for an incoming message. Exim does not currently
2698     support this; it always computes it by counting the Received: headers.
2699     To put it in will require a change to the spool header file format. */
2700
2701     case 'h':
2702     if (!*argrest)
2703       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2704     if (!isdigit(*argrest)) badarg = TRUE;
2705     break;
2706
2707
2708     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2709     not to be documented for sendmail but mailx (at least) uses it) */
2710
2711     case 'i':
2712     if (!*argrest) f.dot_ends = FALSE; else badarg = TRUE;
2713     break;
2714
2715
2716     /* -L: set the identifier used for syslog; equivalent to setting
2717     syslog_processname in the config file, but needs to be an admin option. */
2718
2719     case 'L':
2720     if (!*argrest)
2721       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2722     if ((sz = Ustrlen(argrest)) > 32)
2723       exim_fail("exim: the -L syslog name is too long: \"%s\"\n", argrest);
2724     if (sz < 1)
2725       exim_fail("exim: the -L syslog name is too short\n");
2726     cmdline_syslog_name = string_copy_taint(argrest, TRUE);
2727     break;
2728
2729     case 'M':
2730     receiving_message = FALSE;
2731
2732     /* -MC:  continue delivery of another message via an existing open
2733     file descriptor. This option is used for an internal call by the
2734     smtp transport when there is a pending message waiting to go to an
2735     address to which it has got a connection. Five subsequent arguments are
2736     required: transport name, host name, IP address, sequence number, and
2737     message_id. Transports may decline to create new processes if the sequence
2738     number gets too big. The channel is stdin. This (-MC) must be the last
2739     argument. There's a subsequent check that the real-uid is privileged.
2740
2741     If we are running in the test harness. delay for a bit, to let the process
2742     that set this one up complete. This makes for repeatability of the logging,
2743     etc. output. */
2744
2745     if (Ustrcmp(argrest, "C") == 0)
2746       {
2747       union sockaddr_46 interface_sock;
2748       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2749
2750       if (argc != i + 6)
2751         exim_fail("exim: too many or too few arguments after -MC\n");
2752
2753       if (msg_action_arg >= 0)
2754         exim_fail("exim: incompatible arguments\n");
2755
2756       continue_transport = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-C internal transport"), TRUE);
2757       continue_hostname = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-C internal hostname"), TRUE);
2758       continue_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-C internal hostaddr"), TRUE);
2759       continue_sequence = Uatoi(argv[++i]);
2760       msg_action = MSG_DELIVER;
2761       msg_action_arg = ++i;
2762       forced_delivery = TRUE;
2763       queue_run_pid = passed_qr_pid;
2764       queue_run_pipe = passed_qr_pipe;
2765
2766       if (!mac_ismsgid(argv[i]))
2767         exim_fail("exim: malformed message id %s after -MC option\n",
2768           argv[i]);
2769
2770       /* Set up $sending_ip_address and $sending_port, unless proxied */
2771
2772       if (!continue_proxy_cipher)
2773         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2774             &size) == 0)
2775           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2776             &sending_port);
2777         else
2778           exim_fail("exim: getsockname() failed after -MC option: %s\n",
2779             strerror(errno));
2780
2781       testharness_pause_ms(500);
2782       break;
2783       }
2784
2785     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2786       {
2787       switch(argrest[1])
2788         {
2789     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2790     precedes -MC (see above). The flag indicates that the host to which
2791     Exim is connected has accepted an AUTH sequence. */
2792
2793         case 'A': f.smtp_authenticated = TRUE; break;
2794
2795     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2796        that exim is connected to supports the esmtp extension DSN */
2797
2798         case 'D': smtp_peer_options |= OPTION_DSN; break;
2799
2800     /* -MCd: for debug, set a process-purpose string */
2801
2802         case 'd': if (++i < argc)
2803                     process_purpose = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCd"), TRUE);
2804                   else badarg = TRUE;
2805                   break;
2806
2807     /* -MCG: set the queue name, to a non-default value. Arguably, anything
2808        from the commandline should be tainted - but we will need an untainted
2809        value for the spoolfile when doing a -odi delivery process. */
2810
2811         case 'G': if (++i < argc) queue_name = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCG"), FALSE);
2812                   else badarg = TRUE;
2813                   break;
2814
2815     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2816
2817         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2818
2819 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2820     /* -MCL: peer used LIMITS RCPTMAX and/or RCPTDOMAINMAX */
2821         case 'L': if (++i < argc) continue_limit_mail = Uatoi(argv[i]);
2822                   else badarg = TRUE;
2823                   if (++i < argc) continue_limit_rcpt = Uatoi(argv[i]);
2824                   else badarg = TRUE;
2825                   if (++i < argc) continue_limit_rcptdom = Uatoi(argv[i]);
2826                   else badarg = TRUE;
2827                   break;
2828 #endif
2829
2830     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2831     it preceded -MC (see above) */
2832
2833         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2834
2835 #ifdef SUPPORT_SOCKS
2836     /* -MCp: Socks proxy in use; nearside IP, port, external IP, port */
2837         case 'p': proxy_session = TRUE;
2838                   if (++i < argc)
2839                     {
2840                     proxy_local_address = string_copy_taint(argv[i], TRUE);
2841                     if (++i < argc)
2842                       {
2843                       proxy_local_port = Uatoi(argv[i]);
2844                       if (++i < argc)
2845                         {
2846                         proxy_external_address = string_copy_taint(argv[i], TRUE);
2847                         if (++i < argc)
2848                           {
2849                           proxy_external_port = Uatoi(argv[i]);
2850                           break;
2851                     } } } }
2852                   badarg = TRUE;
2853                   break;
2854 #endif
2855     /* -MCQ: pass on the pid of the queue-running process that started
2856     this chain of deliveries and the fd of its synchronizing pipe; this
2857     is useful only when it precedes -MC (see above) */
2858
2859         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2860                   else badarg = TRUE;
2861                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2862                   else badarg = TRUE;
2863                   break;
2864
2865     /* -MCq: do a quota check on the given recipient for the given size
2866     of message.  Separate from -MC. */
2867         case 'q': rcpt_verify_quota = TRUE;
2868                   if (++i < argc) message_size = Uatoi(argv[i]);
2869                   else badarg = TRUE;
2870                   break;
2871
2872     /* -MCS: set the smtp_use_size flag; this is useful only when it
2873     precedes -MC (see above) */
2874
2875         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2876
2877 #ifndef DISABLE_TLS
2878     /* -MCs: used with -MCt; SNI was sent */
2879     /* -MCr: ditto, DANE */
2880
2881         case 'r':
2882         case 's': if (++i < argc)
2883                     {
2884                     continue_proxy_sni = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_HOSTNAME_MAX, "-MCr/-MCs"), TRUE);
2885                     if (argrest[1] == 'r') continue_proxy_dane = TRUE;
2886                     }
2887                   else badarg = TRUE;
2888                   break;
2889
2890     /* -MCt: similar to -MCT below but the connection is still open
2891     via a proxy process which handles the TLS context and coding.
2892     Require three arguments for the proxied local address and port,
2893     and the TLS cipher. */
2894
2895         case 't': if (++i < argc)
2896                     sending_ip_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-MCt IP"), TRUE);
2897                   else badarg = TRUE;
2898                   if (++i < argc)
2899                     sending_port = (int)(Uatol(argv[i]));
2900                   else badarg = TRUE;
2901                   if (++i < argc)
2902                     continue_proxy_cipher = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_CIPHERNAME_MAX, "-MCt cipher"), TRUE);
2903                   else badarg = TRUE;
2904                   /*FALLTHROUGH*/
2905
2906     /* -MCT: set the tls_offered flag; this is useful only when it
2907     precedes -MC (see above). The flag indicates that the host to which
2908     Exim is connected has offered TLS support. */
2909
2910         case 'T': smtp_peer_options |= OPTION_TLS; break;
2911 #endif
2912
2913         default:  badarg = TRUE; break;
2914         }
2915       break;
2916       }
2917
2918     /* -M[x]: various operations on the following list of message ids:
2919        -M    deliver the messages, ignoring next retry times and thawing
2920        -Mc   deliver the messages, checking next retry times, no thawing
2921        -Mf   freeze the messages
2922        -Mg   give up on the messages
2923        -Mt   thaw the messages
2924        -Mrm  remove the messages
2925     In the above cases, this must be the last option. There are also the
2926     following options which are followed by a single message id, and which
2927     act on that message. Some of them use the "recipient" addresses as well.
2928        -Mar  add recipient(s)
2929        -MG   move to a different queue
2930        -Mmad mark all recipients delivered
2931        -Mmd  mark recipients(s) delivered
2932        -Mes  edit sender
2933        -Mset load a message for use with -be
2934        -Mvb  show body
2935        -Mvc  show copy (of whole message, in RFC 2822 format)
2936        -Mvh  show header
2937        -Mvl  show log
2938     */
2939
2940     else if (!*argrest)
2941       {
2942       msg_action = MSG_DELIVER;
2943       forced_delivery = f.deliver_force_thaw = TRUE;
2944       }
2945     else if (Ustrcmp(argrest, "ar") == 0)
2946       {
2947       msg_action = MSG_ADD_RECIPIENT;
2948       one_msg_action = TRUE;
2949       }
2950     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2951     else if (Ustrcmp(argrest, "es") == 0)
2952       {
2953       msg_action = MSG_EDIT_SENDER;
2954       one_msg_action = TRUE;
2955       }
2956     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2957     else if (Ustrcmp(argrest, "g") == 0)
2958       {
2959       msg_action = MSG_DELIVER;
2960       deliver_give_up = TRUE;
2961       }
2962    else if (Ustrcmp(argrest, "G") == 0)
2963       {
2964       msg_action = MSG_SETQUEUE;
2965       queue_name_dest = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-MG"), TRUE);
2966       }
2967     else if (Ustrcmp(argrest, "mad") == 0)
2968       {
2969       msg_action = MSG_MARK_ALL_DELIVERED;
2970       }
2971     else if (Ustrcmp(argrest, "md") == 0)
2972       {
2973       msg_action = MSG_MARK_DELIVERED;
2974       one_msg_action = TRUE;
2975       }
2976     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2977     else if (Ustrcmp(argrest, "set") == 0)
2978       {
2979       msg_action = MSG_LOAD;
2980       one_msg_action = TRUE;
2981       }
2982     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2983     else if (Ustrcmp(argrest, "vb") == 0)
2984       {
2985       msg_action = MSG_SHOW_BODY;
2986       one_msg_action = TRUE;
2987       }
2988     else if (Ustrcmp(argrest, "vc") == 0)
2989       {
2990       msg_action = MSG_SHOW_COPY;
2991       one_msg_action = TRUE;
2992       }
2993     else if (Ustrcmp(argrest, "vh") == 0)
2994       {
2995       msg_action = MSG_SHOW_HEADER;
2996       one_msg_action = TRUE;
2997       }
2998     else if (Ustrcmp(argrest, "vl") == 0)
2999       {
3000       msg_action = MSG_SHOW_LOG;
3001       one_msg_action = TRUE;
3002       }
3003     else { badarg = TRUE; break; }
3004
3005     /* All the -Mxx options require at least one message id. */
3006
3007     msg_action_arg = i + 1;
3008     if (msg_action_arg >= argc)
3009       exim_fail("exim: no message ids given after %s option\n", arg);
3010
3011     /* Some require only message ids to follow */
3012
3013     if (!one_msg_action)
3014       {
3015       for (int j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
3016         exim_fail("exim: malformed message id %s after %s option\n",
3017           argv[j], arg);
3018       goto END_ARG;   /* Remaining args are ids */
3019       }
3020
3021     /* Others require only one message id, possibly followed by addresses,
3022     which will be handled as normal arguments. */
3023
3024     else
3025       {
3026       if (!mac_ismsgid(argv[msg_action_arg]))
3027         exim_fail("exim: malformed message id %s after %s option\n",
3028           argv[msg_action_arg], arg);
3029       i++;
3030       }
3031     break;
3032
3033
3034     /* Some programs seem to call the -om option without the leading o;
3035     for sendmail it askes for "me too". Exim always does this. */
3036
3037     case 'm':
3038     if (*argrest) badarg = TRUE;
3039     break;
3040
3041
3042     /* -N: don't do delivery - a debugging option that stops transports doing
3043     their thing. It implies debugging at the D_v level. */
3044
3045     case 'N':
3046     if (!*argrest)
3047       {
3048       f.dont_deliver = TRUE;
3049       debug_selector |= D_v;
3050       debug_file = stderr;
3051       }
3052     else badarg = TRUE;
3053     break;
3054
3055
3056     /* -n: This means "don't alias" in sendmail, apparently.
3057     For normal invocations, it has no effect.
3058     It may affect some other options. */
3059
3060     case 'n':
3061     flag_n = TRUE;
3062     break;
3063
3064     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
3065     option to the specified value. This form uses long names. We need to handle
3066     -O option=value and -Ooption=value. */
3067
3068     case 'O':
3069     if (!*argrest)
3070       if (++i >= argc)
3071         exim_fail("exim: string expected after -O\n");
3072     break;
3073
3074     case 'o':
3075     switch (*argrest++)
3076       {
3077       /* -oA: Set an argument for the bi command (sendmail's "alternate alias
3078       file" option). */
3079       case 'A':
3080         if (!*(alias_arg = argrest))
3081           if (i+1 < argc) alias_arg = argv[++i];
3082           else exim_fail("exim: string expected after -oA\n");
3083         break;
3084
3085       /* -oB: Set a connection message max value for remote deliveries */
3086       case 'B':
3087         {
3088         uschar * p = argrest;
3089         if (!*p)
3090           if (i+1 < argc && isdigit((argv[i+1][0])))
3091             p = argv[++i];
3092           else
3093             {
3094             connection_max_messages = 1;
3095             p = NULL;
3096             }
3097
3098         if (p)
3099           {
3100           if (!isdigit(*p))
3101             exim_fail("exim: number expected after -oB\n");
3102           connection_max_messages = Uatoi(p);
3103           }
3104         }
3105         break;
3106
3107       /* -odb: background delivery */
3108
3109       case 'd':
3110         if (Ustrcmp(argrest, "b") == 0)
3111           {
3112           f.synchronous_delivery = FALSE;
3113           arg_queue_only = FALSE;
3114           queue_only_set = TRUE;
3115           }
3116
3117       /* -odd: testsuite-only: add no inter-process delays */
3118
3119         else if (Ustrcmp(argrest, "d") == 0)
3120           f.testsuite_delays = FALSE;
3121
3122       /* -odf: foreground delivery (smail-compatible option); same effect as
3123          -odi: interactive (synchronous) delivery (sendmail-compatible option)
3124       */
3125
3126         else if (Ustrcmp(argrest, "f") == 0 || Ustrcmp(argrest, "i") == 0)
3127           {
3128           f.synchronous_delivery = TRUE;
3129           arg_queue_only = FALSE;
3130           queue_only_set = TRUE;
3131           }
3132
3133       /* -odq: queue only */
3134
3135         else if (Ustrcmp(argrest, "q") == 0)
3136           {
3137           f.synchronous_delivery = FALSE;
3138           arg_queue_only = TRUE;
3139           queue_only_set = TRUE;
3140           }
3141
3142       /* -odqs: queue SMTP only - do local deliveries and remote routing,
3143       but no remote delivery */
3144
3145         else if (Ustrcmp(argrest, "qs") == 0)
3146           {
3147           f.queue_smtp = TRUE;
3148           arg_queue_only = FALSE;
3149           queue_only_set = TRUE;
3150           }
3151         else badarg = TRUE;
3152         break;
3153
3154       /* -oex: Sendmail error flags. As these are also accepted without the
3155       leading -o prefix, for compatibility with vacation and other callers,
3156       they are handled with -e above. */
3157
3158       /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
3159          -oitrue: Another sendmail syntax for the same */
3160
3161       case 'i':
3162         if (!*argrest || Ustrcmp(argrest, "true") == 0)
3163           f.dot_ends = FALSE;
3164         else badarg = TRUE;
3165         break;
3166
3167     /* -oM*: Set various characteristics for an incoming message; actually
3168     acted on for trusted callers only. */
3169
3170       case 'M':
3171         {
3172         if (i+1 >= argc)
3173           exim_fail("exim: data expected after -oM%s\n", argrest);
3174
3175         /* -oMa: Set sender host address */
3176
3177         if (Ustrcmp(argrest, "a") == 0)
3178           sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMa"), TRUE);
3179
3180         /* -oMaa: Set authenticator name */
3181
3182         else if (Ustrcmp(argrest, "aa") == 0)
3183           sender_host_authenticated = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMaa"), TRUE);
3184
3185         /* -oMas: setting authenticated sender */
3186
3187         else if (Ustrcmp(argrest, "as") == 0)
3188           authenticated_sender = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3189
3190         /* -oMai: setting authenticated id */
3191
3192         else if (Ustrcmp(argrest, "ai") == 0)
3193           authenticated_id = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3194
3195         /* -oMi: Set incoming interface address */
3196
3197         else if (Ustrcmp(argrest, "i") == 0)
3198           interface_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMi"), TRUE);
3199
3200         /* -oMm: Message reference */
3201
3202         else if (Ustrcmp(argrest, "m") == 0)
3203           {
3204           if (!mac_ismsgid(argv[i+1]))
3205               exim_fail("-oMm must be a valid message ID\n");
3206           if (!f.trusted_config)
3207               exim_fail("-oMm must be called by a trusted user/config\n");
3208             message_reference = argv[++i];
3209           }
3210
3211         /* -oMr: Received protocol */
3212
3213         else if (Ustrcmp(argrest, "r") == 0)
3214
3215           if (received_protocol)
3216             exim_fail("received_protocol is set already\n");
3217           else
3218             received_protocol = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMr"), TRUE);
3219
3220         /* -oMs: Set sender host name */
3221
3222         else if (Ustrcmp(argrest, "s") == 0)
3223           sender_host_name = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-oMs"), TRUE);
3224
3225         /* -oMt: Set sender ident */
3226
3227         else if (Ustrcmp(argrest, "t") == 0)
3228           {
3229           sender_ident_set = TRUE;
3230           sender_ident = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IDENTUSER_MAX, "-oMt"), TRUE);
3231           }
3232
3233         /* Else a bad argument */
3234
3235         else
3236           badarg = TRUE;
3237         }
3238         break;
3239
3240       /* -om: Me-too flag for aliases. Exim always does this. Some programs
3241       seem to call this as -m (undocumented), so that is also accepted (see
3242       above). */
3243       /* -oo: An ancient flag for old-style addresses which still seems to
3244       crop up in some calls (see in SCO). */
3245
3246       case 'm':
3247       case 'o':
3248         if (*argrest) badarg = TRUE;
3249         break;
3250
3251       /* -oP <name>: set pid file path for daemon
3252          -oPX:       delete pid file of daemon */
3253
3254       case 'P':
3255         if (!*argrest) override_pid_file_path = argv[++i];
3256         else if (Ustrcmp(argrest, "X") == 0) delete_pid_file();
3257         else badarg = TRUE;
3258         break;
3259
3260
3261       /* -or <n>: set timeout for non-SMTP acceptance
3262          -os <n>: set timeout for SMTP acceptance */
3263
3264       case 'r':
3265       case 's':
3266         {
3267         int * tp = argrest[-1] == 'r'
3268           ? &arg_receive_timeout : &arg_smtp_receive_timeout;
3269         if (*argrest)
3270           *tp = readconf_readtime(argrest, 0, FALSE);
3271         else if (i+1 < argc)
3272           *tp = readconf_readtime(argv[++i], 0, FALSE);
3273
3274         if (*tp < 0)
3275           exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3276         }
3277         break;
3278
3279       /* -oX <list>: Override local_interfaces and/or default daemon ports */
3280       /* Limits: Is there a real limit we want here?  1024 is very arbitrary. */
3281
3282       case 'X':
3283         if (*argrest) badarg = TRUE;
3284         else override_local_interfaces = string_copy_taint(exim_str_fail_toolong(argv[++i], 1024, "-oX", TRUE);
3285         break;
3286
3287       /* -oY: Override creation of daemon notifier socket */
3288
3289       case 'Y':
3290         if (*argrest) badarg = TRUE;
3291         else notifier_socket = NULL;
3292         break;
3293
3294       /* Unknown -o argument */
3295
3296       default:
3297         badarg = TRUE;
3298       }
3299     break;
3300
3301
3302     /* -ps: force Perl startup; -pd force delayed Perl startup */
3303
3304     case 'p':
3305     #ifdef EXIM_PERL
3306     if (*argrest == 's' && argrest[1] == 0)
3307       {
3308       perl_start_option = 1;
3309       break;
3310       }
3311     if (*argrest == 'd' && argrest[1] == 0)
3312       {
3313       perl_start_option = -1;
3314       break;
3315       }
3316     #endif
3317
3318     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3319     which sets the host protocol and host name */
3320
3321     if (!*argrest)
3322       if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
3323
3324     if (*argrest)
3325       {
3326       uschar * hn = Ustrchr(argrest, ':');
3327
3328       if (received_protocol)
3329         exim_fail("received_protocol is set already\n");
3330
3331       if (!hn)
3332         received_protocol = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_DRIVERNAME_MAX, "-p<protocol>"), TRUE);
3333       else
3334         {
3335         (void) exim_str_fail_toolong(argrest, (EXIM_DRIVERNAME_MAX+1+EXIM_HOSTNAME_MAX), "-p<protocol>:<host>");
3336         received_protocol = string_copyn_taint(argrest, hn - argrest, TRUE);
3337         sender_host_name = string_copy_taint(hn + 1, TRUE);
3338         }
3339       }
3340     break;
3341
3342
3343     case 'q':
3344     receiving_message = FALSE;
3345     if (queue_interval >= 0)
3346       exim_fail("exim: -q specified more than once\n");
3347
3348     /* -qq...: Do queue runs in a 2-stage manner */
3349
3350     if (*argrest == 'q')
3351       {
3352       f.queue_2stage = TRUE;
3353       argrest++;
3354       }
3355
3356     /* -qi...: Do only first (initial) deliveries */
3357
3358     if (*argrest == 'i')
3359       {
3360       f.queue_run_first_delivery = TRUE;
3361       argrest++;
3362       }
3363
3364     /* -qf...: Run the queue, forcing deliveries
3365        -qff..: Ditto, forcing thawing as well */
3366
3367     if (*argrest == 'f')
3368       {
3369       f.queue_run_force = TRUE;
3370       if (*++argrest == 'f')
3371         {
3372         f.deliver_force_thaw = TRUE;
3373         argrest++;
3374         }
3375       }
3376
3377     /* -q[f][f]l...: Run the queue only on local deliveries */
3378
3379     if (*argrest == 'l')
3380       {
3381       f.queue_run_local = TRUE;
3382       argrest++;
3383       }
3384
3385     /* -q[f][f][l][G<name>]... Work on the named queue */
3386
3387     if (*argrest == 'G')
3388       {
3389       int i;
3390       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3391       exim_len_fail_toolong(i, EXIM_DRIVERNAME_MAX, "-q*G<name>");
3392       queue_name = string_copyn(argrest, i);
3393       argrest += i;
3394       if (*argrest == '/') argrest++;
3395       }
3396
3397     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3398     only, optionally named, optionally starting from a given message id. */
3399
3400     if (!(list_queue || count_queue))
3401       if (  !*argrest
3402          && (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3403         {
3404         queue_interval = 0;
3405         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3406           start_queue_run_id = string_copy_taint(argv[++i], TRUE);
3407         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3408           stop_queue_run_id = string_copy_taint(argv[++i], TRUE);
3409         }
3410
3411     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3412     forced, optionally local only, optionally named. */
3413
3414       else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3415                                                   0, FALSE)) <= 0)
3416         exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3417     break;
3418
3419
3420     case 'R':   /* Synonymous with -qR... */
3421     receiving_message = FALSE;
3422
3423     /* -Rf:   As -R (below) but force all deliveries,
3424        -Rff:  Ditto, but also thaw all frozen messages,
3425        -Rr:   String is regex
3426        -Rrf:  Regex and force
3427        -Rrff: Regex and force and thaw
3428
3429     in all cases provided there are no further characters in this
3430     argument. */
3431
3432     if (*argrest)
3433       for (int i = 0; i < nelem(rsopts); i++)
3434         if (Ustrcmp(argrest, rsopts[i]) == 0)
3435           {
3436           if (i != 2) f.queue_run_force = TRUE;
3437           if (i >= 2) f.deliver_selectstring_regex = TRUE;
3438           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3439           argrest += Ustrlen(rsopts[i]);
3440           }
3441
3442     /* -R: Set string to match in addresses for forced queue run to
3443     pick out particular messages. */
3444
3445     /* Avoid attacks from people providing very long strings, and do so before
3446     we make copies. */
3447     const char *tainted_selectstr;
3448     if (*argrest)
3449       tainted_selectstr = argrest;
3450     else if (i+1 < argc)
3451       tainted_selectstr = argv[++i];
3452     else
3453       exim_fail("exim: string expected after -R\n");
3454     deliver_selectstring = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-R"), TRUE);
3455     break;
3456
3457     /* -r: an obsolete synonym for -f (see above) */
3458
3459
3460     /* -S: Like -R but works on sender. */
3461
3462     case 'S':   /* Synonymous with -qS... */
3463     receiving_message = FALSE;
3464
3465     /* -Sf:   As -S (below) but force all deliveries,
3466        -Sff:  Ditto, but also thaw all frozen messages,
3467        -Sr:   String is regex
3468        -Srf:  Regex and force
3469        -Srff: Regex and force and thaw
3470
3471     in all cases provided there are no further characters in this
3472     argument. */
3473
3474     if (*argrest)
3475       for (int i = 0; i < nelem(rsopts); i++)
3476         if (Ustrcmp(argrest, rsopts[i]) == 0)
3477           {
3478           if (i != 2) f.queue_run_force = TRUE;
3479           if (i >= 2) f.deliver_selectstring_sender_regex = TRUE;
3480           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3481           argrest += Ustrlen(rsopts[i]);
3482           }
3483
3484     /* -S: Set string to match in addresses for forced queue run to
3485     pick out particular messages. */
3486
3487     const char *tainted_selectstr;
3488     if (*argrest)
3489       tainted_selectstr = argrest;
3490     else if (i+1 < argc)
3491       tainted_selectstr = argv[++i];
3492     else
3493       exim_fail("exim: string expected after -S\n");
3494     deliver_selectstring_sender = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-S"), TRUE);
3495     break;
3496
3497     /* -Tqt is an option that is exclusively for use by the testing suite.
3498     It is not recognized in other circumstances. It allows for the setting up
3499     of explicit "queue times" so that various warning/retry things can be
3500     tested. Otherwise variability of clock ticks etc. cause problems. */
3501
3502     case 'T':
3503     if (f.running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3504       fudged_queue_times = string_copy_taint(argv[++i], TRUE);
3505     else badarg = TRUE;
3506     break;
3507
3508
3509     /* -t: Set flag to extract recipients from body of message. */
3510
3511     case 't':
3512     if (!*argrest) extract_recipients = TRUE;
3513
3514     /* -ti: Set flag to extract recipients from body of message, and also
3515     specify that dot does not end the message. */
3516
3517     else if (Ustrcmp(argrest, "i") == 0)
3518       {
3519       extract_recipients = TRUE;
3520       f.dot_ends = FALSE;
3521       }
3522
3523     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3524
3525     #ifndef DISABLE_TLS
3526     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3527     #endif
3528
3529     else badarg = TRUE;
3530     break;
3531
3532
3533     /* -U: This means "initial user submission" in sendmail, apparently. The
3534     doc claims that in future sendmail may refuse syntactically invalid
3535     messages instead of fixing them. For the moment, we just ignore it. */
3536
3537     case 'U':
3538     break;
3539
3540
3541     /* -v: verify things - this is a very low-level debugging */
3542
3543     case 'v':
3544     if (!*argrest)
3545       {
3546       debug_selector |= D_v;
3547       debug_file = stderr;
3548       }
3549     else badarg = TRUE;
3550     break;
3551
3552
3553     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3554
3555       The -x flag tells the sendmail command that mail from a local
3556       mail program has National Language Support (NLS) extended characters
3557       in the body of the mail item. The sendmail command can send mail with
3558       extended NLS characters across networks that normally corrupts these
3559       8-bit characters.
3560
3561     As Exim is 8-bit clean, it just ignores this flag. */
3562
3563     case 'x':
3564     if (*argrest) badarg = TRUE;
3565     break;
3566
3567     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3568     logs to that file.  We swallow the parameter and otherwise ignore it. */
3569
3570     case 'X':
3571     if (!*argrest)
3572       if (++i >= argc)
3573         exim_fail("exim: string expected after -X\n");
3574     break;
3575
3576     /* -z: a line of text to log */
3577
3578     case 'z':
3579     if (!*argrest)
3580       if (++i < argc)
3581         log_oneline = string_copy_taint(exim_str_fail_toolong(argv[i], 2048, "-z logtext"), TRUE);
3582       else
3583         exim_fail("exim: file name expected after %s\n", argv[i-1]);
3584     break;
3585
3586     /* All other initial characters are errors */
3587
3588     default:
3589     badarg = TRUE;
3590     break;
3591     }         /* End of high-level switch statement */
3592
3593   /* Failed to recognize the option, or syntax error */
3594
3595   if (badarg)
3596     exim_fail("exim abandoned: unknown, malformed, or incomplete "
3597       "option %s\n", arg);
3598   }
3599
3600
3601 /* If -R or -S have been specified without -q, assume a single queue run. */
3602
3603  if (  (deliver_selectstring || deliver_selectstring_sender)
3604     && queue_interval < 0)
3605   queue_interval = 0;
3606
3607
3608 END_ARG:
3609  store_pool = old_pool;
3610  }
3611
3612 /* If usage_wanted is set we call the usage function - which never returns */
3613 if (usage_wanted) exim_usage(called_as);
3614
3615 /* Arguments have been processed. Check for incompatibilities. */
3616 if (  (  (smtp_input || extract_recipients || recipients_arg < argc)
3617       && (  f.daemon_listen || queue_interval >= 0 || bi_option
3618          || test_retry_arg >= 0 || test_rewrite_arg >= 0
3619          || filter_test != FTEST_NONE
3620          || msg_action_arg > 0 && !one_msg_action
3621       )  )
3622    || (  msg_action_arg > 0
3623       && (  f.daemon_listen || queue_interval > 0 || list_options
3624          || checking && msg_action != MSG_LOAD
3625          || bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0
3626       )  )
3627    || (  (f.daemon_listen || queue_interval > 0)
3628       && (  sender_address || list_options || list_queue || checking
3629          || bi_option
3630       )  )
3631    || f.daemon_listen && queue_interval == 0
3632    || f.inetd_wait_mode && queue_interval >= 0
3633    || (  list_options
3634       && (  checking || smtp_input || extract_recipients
3635          || filter_test != FTEST_NONE || bi_option
3636       )  )
3637    || (  verify_address_mode
3638       && (  f.address_test_mode || smtp_input || extract_recipients
3639          || filter_test != FTEST_NONE || bi_option
3640       )  )
3641    || (  f.address_test_mode
3642       && (  smtp_input || extract_recipients || filter_test != FTEST_NONE
3643          || bi_option
3644       )  )
3645    || (  smtp_input
3646       && (sender_address || filter_test != FTEST_NONE || extract_recipients)
3647       )
3648    || deliver_selectstring && queue_interval < 0
3649    || msg_action == MSG_LOAD && (!expansion_test || expansion_test_message)
3650    )
3651   exim_fail("exim: incompatible command-line options or arguments\n");
3652
3653 /* If debugging is set up, set the file and the file descriptor to pass on to
3654 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3655 to run in the foreground. */
3656
3657 if (debug_selector != 0)
3658   {
3659   debug_file = stderr;
3660   debug_fd = fileno(debug_file);
3661   f.background_daemon = FALSE;
3662   testharness_pause_ms(100);   /* lets caller finish */
3663   if (debug_selector != D_v)    /* -v only doesn't show this */
3664     {
3665     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3666       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3667       debug_selector);
3668     if (!version_printed)
3669       show_whats_supported(stderr);
3670     }
3671   }
3672
3673 /* When started with root privilege, ensure that the limits on the number of
3674 open files and the number of processes (where that is accessible) are
3675 sufficiently large, or are unset, in case Exim has been called from an
3676 environment where the limits are screwed down. Not all OS have the ability to
3677 change some of these limits. */
3678
3679 if (unprivileged)
3680   {
3681   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3682   }
3683 else
3684   {
3685   struct rlimit rlp;
3686
3687   #ifdef RLIMIT_NOFILE
3688   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3689     {
3690     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3691       strerror(errno));
3692     rlp.rlim_cur = rlp.rlim_max = 0;
3693     }
3694
3695   /* I originally chose 1000 as a nice big number that was unlikely to
3696   be exceeded. It turns out that some older OS have a fixed upper limit of
3697   256. */
3698
3699   if (rlp.rlim_cur < 1000)
3700     {
3701     rlp.rlim_cur = rlp.rlim_max = 1000;
3702     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3703       {
3704       rlp.rlim_cur = rlp.rlim_max = 256;
3705       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3706         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3707           strerror(errno));
3708       }
3709     }
3710   #endif
3711
3712   #ifdef RLIMIT_NPROC
3713   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3714     {
3715     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3716       strerror(errno));
3717     rlp.rlim_cur = rlp.rlim_max = 0;
3718     }
3719
3720   #ifdef RLIM_INFINITY
3721   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3722     {
3723     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3724   #else
3725   if (rlp.rlim_cur < 1000)
3726     {
3727     rlp.rlim_cur = rlp.rlim_max = 1000;
3728   #endif
3729     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3730       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3731         strerror(errno));
3732     }
3733   #endif
3734   }
3735
3736 /* Exim is normally entered as root (but some special configurations are
3737 possible that don't do this). However, it always spins off sub-processes that
3738 set their uid and gid as required for local delivery. We don't want to pass on
3739 any extra groups that root may belong to, so we want to get rid of them all at
3740 this point.
3741
3742 We need to obey setgroups() at this stage, before possibly giving up root
3743 privilege for a changed configuration file, but later on we might need to
3744 check on the additional groups for the admin user privilege - can't do that
3745 till after reading the config, which might specify the exim gid. Therefore,
3746 save the group list here first. */
3747
3748 if ((group_count = getgroups(nelem(group_list), group_list)) < 0)
3749   exim_fail("exim: getgroups() failed: %s\n", strerror(errno));
3750
3751 /* There is a fundamental difference in some BSD systems in the matter of
3752 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3753 known not to be different. On the "different" systems there is a single group
3754 list, and the first entry in it is the current group. On all other versions of
3755 Unix there is a supplementary group list, which is in *addition* to the current
3756 group. Consequently, to get rid of all extraneous groups on a "standard" system
3757 you pass over 0 groups to setgroups(), while on a "different" system you pass
3758 over a single group - the current group, which is always the first group in the
3759 list. Calling setgroups() with zero groups on a "different" system results in
3760 an error return. The following code should cope with both types of system.
3761
3762  Unfortunately, recent MacOS, which should be a FreeBSD, "helpfully" succeeds
3763  the "setgroups() with zero groups" - and changes the egid.
3764  Thanks to that we had to stash the original_egid above, for use below
3765  in the call to exim_setugid().
3766
3767 However, if this process isn't running as root, setgroups() can't be used
3768 since you have to be root to run it, even if throwing away groups.
3769 Except, sigh, for Hurd - where you can.
3770 Not being root here happens only in some unusual configurations. */
3771
3772 if (  !unprivileged
3773 #ifndef OS_SETGROUPS_ZERO_DROPS_ALL
3774    && setgroups(0, NULL) != 0
3775 #endif
3776    && setgroups(1, group_list) != 0)
3777   exim_fail("exim: setgroups() failed: %s\n", strerror(errno));
3778
3779 /* If the configuration file name has been altered by an argument on the
3780 command line (either a new file name or a macro definition) and the caller is
3781 not root, or if this is a filter testing run, remove any setuid privilege the
3782 program has and run as the underlying user.
3783
3784 The exim user is locked out of this, which severely restricts the use of -C
3785 for some purposes.
3786
3787 Otherwise, set the real ids to the effective values (should be root unless run
3788 from inetd, which it can either be root or the exim uid, if one is configured).
3789
3790 There is a private mechanism for bypassing some of this, in order to make it
3791 possible to test lots of configurations automatically, without having either to
3792 recompile each time, or to patch in an actual configuration file name and other
3793 values (such as the path name). If running in the test harness, pretend that
3794 configuration file changes and macro definitions haven't happened. */
3795
3796 if ((                                            /* EITHER */
3797     (!f.trusted_config ||                          /* Config changed, or */
3798      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3799     real_uid != root_uid &&                      /* Not root, and */
3800     !f.running_in_test_harness                     /* Not fudged */
3801     ) ||                                         /*   OR   */
3802     expansion_test                               /* expansion testing */
3803     ||                                           /*   OR   */
3804     filter_test != FTEST_NONE)                   /* Filter testing */
3805   {
3806   setgroups(group_count, group_list);
3807   exim_setugid(real_uid, real_gid, FALSE,
3808     US"-C, -D, -be or -bf forces real uid");
3809   removed_privilege = TRUE;
3810
3811   /* In the normal case when Exim is called like this, stderr is available
3812   and should be used for any logging information because attempts to write
3813   to the log will usually fail. To arrange this, we unset really_exim. However,
3814   if no stderr is available there is no point - we might as well have a go
3815   at the log (if it fails, syslog will be written).
3816
3817   Note that if the invoker is Exim, the logs remain available. Messing with
3818   this causes unlogged successful deliveries.  */
3819
3820   if (log_stderr && real_uid != exim_uid)
3821     f.really_exim = FALSE;
3822   }
3823
3824 /* Privilege is to be retained for the moment. It may be dropped later,
3825 depending on the job that this Exim process has been asked to do. For now, set
3826 the real uid to the effective so that subsequent re-execs of Exim are done by a
3827 privileged user. */
3828
3829 else
3830   exim_setugid(geteuid(), original_egid, FALSE, US"forcing real = effective");
3831
3832 /* If testing a filter, open the file(s) now, before wasting time doing other
3833 setups and reading the message. */
3834
3835 if (filter_test & FTEST_SYSTEM)
3836   if ((filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0)) < 0)
3837     exim_fail("exim: failed to open %s: %s\n", filter_test_sfile,
3838       strerror(errno));
3839
3840 if (filter_test & FTEST_USER)
3841   if ((filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0)) < 0)
3842     exim_fail("exim: failed to open %s: %s\n", filter_test_ufile,
3843       strerror(errno));
3844
3845 /* Initialise lookup_list
3846 If debugging, already called above via version reporting.
3847 In either case, we initialise the list of available lookups while running
3848 as root.  All dynamically modules are loaded from a directory which is
3849 hard-coded into the binary and is code which, if not a module, would be
3850 part of Exim already.  Ability to modify the content of the directory
3851 is equivalent to the ability to modify a setuid binary!
3852
3853 This needs to happen before we read the main configuration. */
3854 init_lookup_list();
3855
3856 #ifdef SUPPORT_I18N
3857 if (f.running_in_test_harness) smtputf8_advertise_hosts = NULL;
3858 #endif
3859
3860 /* Read the main runtime configuration data; this gives up if there
3861 is a failure. It leaves the configuration file open so that the subsequent
3862 configuration data for delivery can be read if needed.
3863
3864 NOTE: immediately after opening the configuration file we change the working
3865 directory to "/"! Later we change to $spool_directory. We do it there, because
3866 during readconf_main() some expansion takes place already. */
3867
3868 /* Store the initial cwd before we change directories.  Can be NULL if the
3869 dir has already been unlinked. */
3870 initial_cwd = os_getcwd(NULL, 0);
3871
3872 /* checking:
3873     -be[m] expansion test        -
3874     -b[fF] filter test           new
3875     -bh[c] host test             -
3876     -bmalware malware_test_file  new
3877     -brt   retry test            new
3878     -brw   rewrite test          new
3879     -bt    address test          -
3880     -bv[s] address verify        -
3881    list_options:
3882     -bP <option> (except -bP config, which sets list_config)
3883
3884 If any of these options is set, we suppress warnings about configuration
3885 issues (currently about tls_advertise_hosts and keep_environment not being
3886 defined) */
3887
3888   {
3889 #ifdef MEASURE_TIMING
3890   struct timeval t0, diff;
3891   (void)gettimeofday(&t0, NULL);
3892 #endif
3893
3894   readconf_main(checking || list_options);
3895
3896 #ifdef MEASURE_TIMING
3897   report_time_since(&t0, US"readconf_main (delta)");
3898 #endif
3899   }
3900
3901
3902 /* Now in directory "/" */
3903
3904 if (cleanup_environment() == FALSE)
3905   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
3906
3907
3908 /* If an action on specific messages is requested, or if a daemon or queue
3909 runner is being started, we need to know if Exim was called by an admin user.
3910 This is the case if the real user is root or exim, or if the real group is
3911 exim, or if one of the supplementary groups is exim or a group listed in
3912 admin_groups. We don't fail all message actions immediately if not admin_user,
3913 since some actions can be performed by non-admin users. Instead, set admin_user
3914 for later interrogation. */
3915
3916 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3917   f.admin_user = TRUE;
3918 else
3919   for (int i = 0; i < group_count && !f.admin_user; i++)
3920     if (group_list[i] == exim_gid)
3921       f.admin_user = TRUE;
3922     else if (admin_groups)
3923       for (int j = 1; j <= (int)admin_groups[0] && !f.admin_user; j++)
3924         if (admin_groups[j] == group_list[i])
3925           f.admin_user = TRUE;
3926
3927 /* Another group of privileged users are the trusted users. These are root,
3928 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3929 are permitted to specify sender_addresses with -f on the command line, and
3930 other message parameters as well. */
3931
3932 if (real_uid == root_uid || real_uid == exim_uid)
3933   f.trusted_caller = TRUE;
3934 else
3935   {
3936   if (trusted_users)
3937     for (int i = 1; i <= (int)trusted_users[0] && !f.trusted_caller; i++)
3938       if (trusted_users[i] == real_uid)
3939         f.trusted_caller = TRUE;
3940
3941   if (trusted_groups)
3942     for (int i = 1; i <= (int)trusted_groups[0] && !f.trusted_caller; i++)
3943       if (trusted_groups[i] == real_gid)
3944         f.trusted_caller = TRUE;
3945       else for (int j = 0; j < group_count && !f.trusted_caller; j++)
3946         if (trusted_groups[i] == group_list[j])
3947           f.trusted_caller = TRUE;
3948   }
3949
3950 /* At this point, we know if the user is privileged and some command-line
3951 options become possibly impermissible, depending upon the configuration file. */
3952
3953 if (checking && commandline_checks_require_admin && !f.admin_user)
3954   exim_fail("exim: those command-line flags are set to require admin\n");
3955
3956 /* Handle the decoding of logging options. */
3957
3958 decode_bits(log_selector, log_selector_size, log_notall,
3959   log_selector_string, log_options, log_options_count, US"log", 0);
3960
3961 DEBUG(D_any)
3962   {
3963   debug_printf("configuration file is %s\n", config_main_filename);
3964   debug_printf("log selectors =");
3965   for (int i = 0; i < log_selector_size; i++)
3966     debug_printf(" %08x", log_selector[i]);
3967   debug_printf("\n");
3968   }
3969
3970 /* If domain literals are not allowed, check the sender address that was
3971 supplied with -f. Ditto for a stripped trailing dot. */
3972
3973 if (sender_address)
3974   {
3975   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3976     exim_fail("exim: bad -f address \"%s\": domain literals not "
3977       "allowed\n", sender_address);
3978   if (f_end_dot && !strip_trailing_dot)
3979     exim_fail("exim: bad -f address \"%s.\": domain is malformed "
3980       "(trailing dot not allowed)\n", sender_address);
3981   }
3982
3983 /* See if an admin user overrode our logging. */
3984
3985 if (cmdline_syslog_name)
3986   if (f.admin_user)
3987     {
3988     syslog_processname = cmdline_syslog_name;
3989     log_file_path = string_copy(CUS"syslog");
3990     }
3991   else
3992     /* not a panic, non-privileged users should not be able to spam paniclog */
3993     exim_fail(
3994         "exim: you lack sufficient privilege to specify syslog process name\n");
3995
3996 /* Paranoia check of maximum lengths of certain strings. There is a check
3997 on the length of the log file path in log.c, which will come into effect
3998 if there are any calls to write the log earlier than this. However, if we
3999 get this far but the string is very long, it is better to stop now than to
4000 carry on and (e.g.) receive a message and then have to collapse. The call to
4001 log_write() from here will cause the ultimate panic collapse if the complete
4002 file name exceeds the buffer length. */
4003
4004 if (Ustrlen(log_file_path) > 200)
4005   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4006     "log_file_path is longer than 200 chars: aborting");
4007
4008 if (Ustrlen(pid_file_path) > 200)
4009   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4010     "pid_file_path is longer than 200 chars: aborting");
4011
4012 if (Ustrlen(spool_directory) > 200)
4013   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4014     "spool_directory is longer than 200 chars: aborting");
4015
4016 /* Length check on the process name given to syslog for its TAG field,
4017 which is only permitted to be 32 characters or less. See RFC 3164. */
4018
4019 if (Ustrlen(syslog_processname) > 32)
4020   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4021     "syslog_processname is longer than 32 chars: aborting");
4022
4023 if (log_oneline)
4024   if (f.admin_user)
4025     {
4026     log_write(0, LOG_MAIN, "%s", log_oneline);
4027     return EXIT_SUCCESS;
4028     }
4029   else
4030     return EXIT_FAILURE;
4031
4032 /* In some operating systems, the environment variable TMPDIR controls where
4033 temporary files are created; Exim doesn't use these (apart from when delivering
4034 to MBX mailboxes), but called libraries such as DBM libraries may require them.
4035 If TMPDIR is found in the environment, reset it to the value defined in the
4036 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
4037 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
4038 EXIM_TMPDIR by the build scripts.
4039 */
4040
4041 #ifdef EXIM_TMPDIR
4042   if (environ) for (uschar ** p = USS environ; *p; p++)
4043     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
4044       {
4045       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
4046       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
4047       *p = newp;
4048       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
4049       }
4050 #endif
4051
4052 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
4053 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
4054 we may need to get rid of a bogus timezone setting. This can arise when Exim is
4055 called by a user who has set the TZ variable. This then affects the timestamps
4056 in log files and in Received: headers, and any created Date: header lines. The
4057 required timezone is settable in the configuration file, so nothing can be done
4058 about this earlier - but hopefully nothing will normally be logged earlier than
4059 this. We have to make a new environment if TZ is wrong, but don't bother if
4060 timestamps_utc is set, because then all times are in UTC anyway. */
4061
4062 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
4063   f.timestamps_utc = TRUE;
4064 else
4065   {
4066   uschar *envtz = US getenv("TZ");
4067   if (envtz
4068       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
4069       : timezone_string != NULL
4070      )
4071     {
4072     uschar **p = USS environ;
4073     uschar **new;
4074     uschar **newp;
4075     int count = 0;
4076     if (environ) while (*p++) count++;
4077     if (!envtz) count++;
4078     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
4079     if (environ) for (p = USS environ; *p; p++)
4080       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
4081     if (timezone_string)
4082       {
4083       *newp = store_malloc(Ustrlen(timezone_string) + 4);
4084       sprintf(CS *newp++, "TZ=%s", timezone_string);
4085       }
4086     *newp = NULL;
4087     environ = CSS new;
4088     tzset();
4089     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
4090       tod_stamp(tod_log));
4091     }
4092   }
4093
4094 /* Handle the case when we have removed the setuid privilege because of -C or
4095 -D. This means that the caller of Exim was not root.
4096
4097 There is a problem if we were running as the Exim user. The sysadmin may
4098 expect this case to retain privilege because "the binary was called by the
4099 Exim user", but it hasn't, because either the -D option set macros, or the
4100 -C option set a non-trusted configuration file. There are two possibilities:
4101
4102   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
4103       to do message deliveries. Thus, the fact that it is running as a
4104       non-privileged user is plausible, and might be wanted in some special
4105       configurations. However, really_exim will have been set false when
4106       privilege was dropped, to stop Exim trying to write to its normal log
4107       files. Therefore, re-enable normal log processing, assuming the sysadmin
4108       has set up the log directory correctly.
4109
4110   (2) If deliver_drop_privilege is not set, the configuration won't work as
4111       apparently intended, and so we log a panic message. In order to retain
4112       root for -C or -D, the caller must either be root or be invoking a
4113       trusted configuration file (when deliver_drop_privilege is false). */
4114
4115 if (  removed_privilege
4116    && (!f.trusted_config || opt_D_used)
4117    && real_uid == exim_uid)
4118   if (deliver_drop_privilege)
4119     f.really_exim = TRUE; /* let logging work normally */
4120   else
4121     log_write(0, LOG_MAIN|LOG_PANIC,
4122       "exim user lost privilege for using %s option",
4123       f.trusted_config? "-D" : "-C");
4124
4125 /* Start up Perl interpreter if Perl support is configured and there is a
4126 perl_startup option, and the configuration or the command line specifies
4127 initializing starting. Note that the global variables are actually called
4128 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
4129
4130 #ifdef EXIM_PERL
4131 if (perl_start_option != 0)
4132   opt_perl_at_start = (perl_start_option > 0);
4133 if (opt_perl_at_start && opt_perl_startup != NULL)
4134   {
4135   uschar *errstr;
4136   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4137   if ((errstr = init_perl(opt_perl_startup)))
4138     exim_fail("exim: error in perl_startup code: %s\n", errstr);
4139   opt_perl_started = TRUE;
4140   }
4141 #endif /* EXIM_PERL */
4142
4143 /* Log the arguments of the call if the configuration file said so. This is
4144 a debugging feature for finding out what arguments certain MUAs actually use.
4145 Don't attempt it if logging is disabled, or if listing variables or if
4146 verifying/testing addresses or expansions. */
4147
4148 if (  (debug_selector & D_any  ||  LOGGING(arguments))
4149    && f.really_exim && !list_options && !checking)
4150   {
4151   uschar *p = big_buffer;
4152   Ustrcpy(p, US"cwd= (failed)");
4153
4154   if (!initial_cwd)
4155     p += 13;
4156   else
4157     {
4158     Ustrncpy(p + 4, initial_cwd, big_buffer_size-5);
4159     p += 4 + Ustrlen(initial_cwd);
4160     /* in case p is near the end and we don't provide enough space for
4161      * string_format to be willing to write. */
4162     *p = '\0';
4163     }
4164
4165   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
4166   while (*p) p++;
4167   for (int i = 0; i < argc; i++)
4168     {
4169     int len = Ustrlen(argv[i]);
4170     const uschar *printing;
4171     uschar *quote;
4172     if (p + len + 8 >= big_buffer + big_buffer_size)
4173       {
4174       Ustrcpy(p, US" ...");
4175       log_write(0, LOG_MAIN, "%s", big_buffer);
4176       Ustrcpy(big_buffer, US"...");
4177       p = big_buffer + 3;
4178       }
4179     printing = string_printing(argv[i]);
4180     if (!*printing) quote = US"\"";
4181     else
4182       {
4183       const uschar *pp = printing;
4184       quote = US"";
4185       while (*pp) if (isspace(*pp++)) { quote = US"\""; break; }
4186       }
4187     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
4188       (p - big_buffer) - 4), printing, quote);
4189     }
4190
4191   if (LOGGING(arguments))
4192     log_write(0, LOG_MAIN, "%s", big_buffer);
4193   else
4194     debug_printf("%s\n", big_buffer);
4195   }
4196
4197 /* Set the working directory to be the top-level spool directory. We don't rely
4198 on this in the code, which always uses fully qualified names, but it's useful
4199 for core dumps etc. Don't complain if it fails - the spool directory might not
4200 be generally accessible and calls with the -C option (and others) have lost
4201 privilege by now. Before the chdir, we try to ensure that the directory exists.
4202 */
4203
4204 if (Uchdir(spool_directory) != 0)
4205   {
4206   (void) directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4207   (void) Uchdir(spool_directory);
4208   }
4209
4210 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4211 alias file. Exim doesn't have such a concept, but this call is screwed into
4212 Sun's YP makefiles. Handle this by calling a configured script, as the real
4213 user who called Exim. The -oA option can be used to pass an argument to the
4214 script. */
4215
4216 if (bi_option)
4217   {
4218   (void) fclose(config_file);
4219   if (bi_command && *bi_command)
4220     {
4221     int i = 0;
4222     uschar *argv[3];
4223     argv[i++] = bi_command;
4224     if (alias_arg) argv[i++] = alias_arg;
4225     argv[i++] = NULL;
4226
4227     setgroups(group_count, group_list);
4228     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4229
4230     DEBUG(D_exec) debug_printf("exec '%.256s' %s%.256s%s\n", argv[0],
4231       argv[1] ? "'" : "", argv[1] ? argv[1] : US"", argv[1] ? "'" : "");
4232
4233     execv(CS argv[0], (char *const *)argv);
4234     exim_fail("exim: exec '%s' failed: %s\n", argv[0], strerror(errno));
4235     }
4236   else
4237     {
4238     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4239     exit(EXIT_SUCCESS);
4240     }
4241   }
4242
4243 /* We moved the admin/trusted check to be immediately after reading the
4244 configuration file.  We leave these prints here to ensure that syslog setup,
4245 logfile setup, and so on has already happened. */
4246
4247 if (f.trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4248 if (f.admin_user) DEBUG(D_any) debug_printf("admin user\n");
4249
4250 /* Only an admin user may start the daemon or force a queue run in the default
4251 configuration, but the queue run restriction can be relaxed. Only an admin
4252 user may request that a message be returned to its sender forthwith. Only an
4253 admin user may specify a debug level greater than D_v (because it might show
4254 passwords, etc. in lookup queries). Only an admin user may request a queue
4255 count. Only an admin user can use the test interface to scan for email
4256 (because Exim will be in the spool dir and able to look at mails). */
4257
4258 if (!f.admin_user)
4259   {
4260   BOOL debugset = (debug_selector & ~D_v) != 0;
4261   if (  deliver_give_up || f.daemon_listen || malware_test_file
4262      || count_queue && queue_list_requires_admin
4263      || list_queue && queue_list_requires_admin
4264      || queue_interval >= 0 && prod_requires_admin
4265      || queue_name_dest && prod_requires_admin
4266      || debugset && !f.running_in_test_harness
4267      )
4268     exim_fail("exim:%s permission denied\n", debugset ? " debugging" : "");
4269   }
4270
4271 /* If the real user is not root or the exim uid, the argument for passing
4272 in an open TCP/IP connection for another message is not permitted, nor is
4273 running with the -N option for any delivery action, unless this call to exim is
4274 one that supplied an input message, or we are using a patched exim for
4275 regression testing. */
4276
4277 if (  real_uid != root_uid && real_uid != exim_uid
4278    && (  continue_hostname
4279       || (  f.dont_deliver
4280          && (queue_interval >= 0 || f.daemon_listen || msg_action_arg > 0)
4281       )  )
4282    && !f.running_in_test_harness
4283    )
4284   exim_fail("exim: Permission denied\n");
4285
4286 /* If the caller is not trusted, certain arguments are ignored when running for
4287 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4288 Note that authority for performing certain actions on messages is tested in the
4289 queue_action() function. */
4290
4291 if (!f.trusted_caller && !checking)
4292   {
4293   sender_host_name = sender_host_address = interface_address =
4294     sender_ident = received_protocol = NULL;
4295   sender_host_port = interface_port = 0;
4296   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4297   }
4298
4299 /* If a sender host address is set, extract the optional port number off the
4300 end of it and check its syntax. Do the same thing for the interface address.
4301 Exim exits if the syntax is bad. */
4302
4303 else
4304   {
4305   if (sender_host_address)
4306     sender_host_port = check_port(sender_host_address);
4307   if (interface_address)
4308     interface_port = check_port(interface_address);
4309   }
4310
4311 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4312 if (flag_G)
4313   {
4314   if (f.trusted_caller)
4315     {
4316     f.suppress_local_fixups = f.suppress_local_fixups_default = TRUE;
4317     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4318     }
4319   else
4320     exim_fail("exim: permission denied (-G requires a trusted user)\n");
4321   }
4322
4323 /* If an SMTP message is being received check to see if the standard input is a
4324 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4325 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4326 barf. */
4327
4328 if (smtp_input)
4329   {
4330   union sockaddr_46 inetd_sock;
4331   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4332   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4333     {
4334     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4335     if (family == AF_INET || family == AF_INET6)
4336       {
4337       union sockaddr_46 interface_sock;
4338       size = sizeof(interface_sock);
4339
4340       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4341         interface_address = host_ntoa(-1, &interface_sock, NULL,
4342           &interface_port);
4343
4344       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4345
4346       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4347         {
4348         f.is_inetd = TRUE;
4349         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4350           NULL, &sender_host_port);
4351         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4352           "inetd is not supported when mua_wrapper is set");
4353         }
4354       else
4355         exim_fail(
4356           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4357       }
4358     }
4359   }
4360
4361 /* If the load average is going to be needed while receiving a message, get it
4362 now for those OS that require the first call to os_getloadavg() to be done as
4363 root. There will be further calls later for each message received. */
4364
4365 #ifdef LOAD_AVG_NEEDS_ROOT
4366 if (  receiving_message
4367    && (queue_only_load >= 0 || (f.is_inetd && smtp_load_reserve >= 0)))
4368   load_average = OS_GETLOADAVG();
4369 #endif
4370
4371 /* The queue_only configuration option can be overridden by -odx on the command
4372 line, except that if queue_only_override is false, queue_only cannot be unset
4373 from the command line. */
4374
4375 if (queue_only_set && (queue_only_override || arg_queue_only))
4376   queue_only = arg_queue_only;
4377
4378 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4379 -or and -os. */
4380
4381 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4382 if (arg_smtp_receive_timeout >= 0)
4383   smtp_receive_timeout = arg_smtp_receive_timeout;
4384
4385 /* If Exim was started with root privilege, unless we have already removed the
4386 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4387 except when starting the daemon or doing some kind of delivery or address
4388 testing (-bt). These are the only cases when root need to be retained. We run
4389 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4390 retained only for starting the daemon. We always do the initgroups() in this
4391 situation (controlled by the TRUE below), in order to be as close as possible
4392 to the state Exim usually runs in. */
4393
4394 if (  !unprivileged                             /* originally had root AND */
4395    && !removed_privilege                        /* still got root AND      */
4396    && !f.daemon_listen                          /* not starting the daemon */
4397    && queue_interval <= 0                       /* (either kind of daemon) */
4398    && (                                         /*    AND EITHER           */
4399          deliver_drop_privilege                 /* requested unprivileged  */
4400       || (                                      /*       OR                */
4401             queue_interval < 0                  /* not running the queue   */
4402          && (  msg_action_arg < 0               /*       and               */
4403             || msg_action != MSG_DELIVER        /* not delivering          */
4404             )                                   /*       and               */
4405          && (!checking || !f.address_test_mode) /* not address checking    */
4406          && !rcpt_verify_quota                  /* and not quota checking  */
4407    )  )  )
4408   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4409
4410 /* When we are retaining a privileged uid, we still change to the exim gid. */
4411
4412 else
4413   {
4414   int rv;
4415   DEBUG(D_any) debug_printf("dropping to exim gid; retaining priv uid\n");
4416   rv = setgid(exim_gid);
4417   /* Impact of failure is that some stuff might end up with an incorrect group.
4418   We track this for failures from root, since any attempt to change privilege
4419   by root should succeed and failures should be examined.  For non-root,
4420   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4421   no need to complain then. */
4422   if (rv == -1)
4423     if (!(unprivileged || removed_privilege))
4424       exim_fail("exim: changing group failed: %s\n", strerror(errno));
4425     else
4426       {
4427       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4428           (long int)exim_gid, strerror(errno));
4429       }
4430   }
4431
4432 /* Handle a request to scan a file for malware */
4433 if (malware_test_file)
4434   {
4435 #ifdef WITH_CONTENT_SCAN
4436   int result;
4437   set_process_info("scanning file for malware");
4438   if ((result = malware_in_file(malware_test_file)) == FAIL)
4439     {
4440     printf("No malware found.\n");
4441     exit(EXIT_SUCCESS);
4442     }
4443   if (result != OK)
4444     {
4445     printf("Malware lookup returned non-okay/fail: %d\n", result);
4446     exit(EXIT_FAILURE);
4447     }
4448   if (malware_name)
4449     printf("Malware found: %s\n", malware_name);
4450   else
4451     printf("Malware scan detected malware of unknown name.\n");
4452 #else
4453   printf("Malware scanning not enabled at compile time.\n");
4454 #endif
4455   exit(EXIT_FAILURE);
4456   }
4457
4458 /* Handle a request to list the delivery queue */
4459
4460 if (list_queue)
4461   {
4462   set_process_info("listing the queue");
4463   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4464   exit(EXIT_SUCCESS);
4465   }
4466
4467 /* Handle a request to count the delivery queue */
4468
4469 if (count_queue)
4470   {
4471   set_process_info("counting the queue");
4472   fprintf(stdout, "%u\n", queue_count());
4473   exit(EXIT_SUCCESS);
4474   }
4475
4476 /* Handle actions on specific messages, except for the force delivery and
4477 message load actions, which are done below. Some actions take a whole list of
4478 message ids, which are known to continue up to the end of the arguments. Others
4479 take a single message id and then operate on the recipients list. */
4480
4481 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4482   {
4483   int yield = EXIT_SUCCESS;
4484   set_process_info("acting on specified messages");
4485
4486   /* ACL definitions may be needed when removing a message (-Mrm) because
4487   event_action gets expanded */
4488
4489   if (msg_action == MSG_REMOVE)
4490     readconf_rest();
4491
4492   if (!one_msg_action)
4493     {
4494     for (i = msg_action_arg; i < argc; i++)
4495       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4496         yield = EXIT_FAILURE;
4497     switch (msg_action)
4498       {
4499       case MSG_REMOVE: case MSG_FREEZE: case MSG_THAW: break;
4500       default: printf("\n"); break;
4501       }
4502     }
4503
4504   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4505     recipients_arg)) yield = EXIT_FAILURE;
4506   exit(yield);
4507   }
4508
4509 /* We used to set up here to skip reading the ACL section, on
4510  (msg_action_arg > 0 || (queue_interval == 0 && !f.daemon_listen)
4511 Now, since the intro of the ${acl } expansion, ACL definitions may be
4512 needed in transports so we lost the optimisation. */
4513
4514   {
4515 #ifdef MEASURE_TIMING
4516   struct timeval t0, diff;
4517   (void)gettimeofday(&t0, NULL);
4518 #endif
4519
4520   readconf_rest();
4521
4522 #ifdef MEASURE_TIMING
4523   report_time_since(&t0, US"readconf_rest (delta)");
4524 #endif
4525   }
4526
4527 /* Handle a request to check quota */
4528 if (rcpt_verify_quota)
4529   if (real_uid != root_uid && real_uid != exim_uid)
4530     exim_fail("exim: Permission denied\n");
4531   else if (recipients_arg >= argc)
4532     exim_fail("exim: missing recipient for quota check\n");
4533   else
4534     {
4535     verify_quota(argv[recipients_arg]);
4536     exim_exit(EXIT_SUCCESS);
4537     }
4538
4539 /* Handle the -brt option. This is for checking out retry configurations.
4540 The next three arguments are a domain name or a complete address, and
4541 optionally two error numbers. All it does is to call the function that
4542 scans the retry configuration data. */
4543
4544 if (test_retry_arg >= 0)
4545   {
4546   retry_config *yield;
4547   int basic_errno = 0;
4548   int more_errno = 0;
4549   uschar *s1, *s2;
4550
4551   if (test_retry_arg >= argc)
4552     {
4553     printf("-brt needs a domain or address argument\n");
4554     exim_exit(EXIT_FAILURE);
4555     }
4556   s1 = argv[test_retry_arg++];
4557   s2 = NULL;
4558
4559   /* If the first argument contains no @ and no . it might be a local user
4560   or it might be a single-component name. Treat as a domain. */
4561
4562   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4563     {
4564     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4565       "being \ntreated as a one-component domain, not as a local part.\n\n",
4566       s1);
4567     }
4568
4569   /* There may be an optional second domain arg. */
4570
4571   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4572     s2 = argv[test_retry_arg++];
4573
4574   /* The final arg is an error name */
4575
4576   if (test_retry_arg < argc)
4577     {
4578     uschar *ss = argv[test_retry_arg];
4579     uschar *error =
4580       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4581     if (error != NULL)
4582       {
4583       printf("%s\n", CS error);
4584       return EXIT_FAILURE;
4585       }
4586
4587     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4588     code > 100 as an error is for matching codes to the decade. Turn them into
4589     a real error code, off the decade. */
4590
4591     if (basic_errno == ERRNO_MAIL4XX ||
4592         basic_errno == ERRNO_RCPT4XX ||
4593         basic_errno == ERRNO_DATA4XX)
4594       {
4595       int code = (more_errno >> 8) & 255;
4596       if (code == 255)
4597         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4598       else if (code > 100)
4599         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4600       }
4601     }
4602
4603   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4604     printf("No retry information found\n");
4605   else
4606     {
4607     more_errno = yield->more_errno;
4608     printf("Retry rule: %s  ", yield->pattern);
4609
4610     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4611       {
4612       printf("quota%s%s  ",
4613         (more_errno > 0)? "_" : "",
4614         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4615       }
4616     else if (yield->basic_errno == ECONNREFUSED)
4617       {
4618       printf("refused%s%s  ",
4619         (more_errno > 0)? "_" : "",
4620         (more_errno == 'M')? "MX" :
4621         (more_errno == 'A')? "A" : "");
4622       }
4623     else if (yield->basic_errno == ETIMEDOUT)
4624       {
4625       printf("timeout");
4626       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4627       more_errno &= 255;
4628       if (more_errno != 0) printf("_%s",
4629         (more_errno == 'M')? "MX" : "A");
4630       printf("  ");
4631       }
4632     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4633       printf("auth_failed  ");
4634     else printf("*  ");
4635
4636     for (retry_rule * r = yield->rules; r; r = r->next)
4637       {
4638       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4639       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4640       if (r->rule == 'G')
4641         {
4642         int x = r->p2;
4643         int f = x % 1000;
4644         int d = 100;
4645         printf(",%d.", x/1000);
4646         do
4647           {
4648           printf("%d", f/d);
4649           f %= d;
4650           d /= 10;
4651           }
4652         while (f != 0);
4653         }
4654       printf("; ");
4655       }
4656
4657     printf("\n");
4658     }
4659   exim_exit(EXIT_SUCCESS);
4660   }
4661
4662 /* Handle a request to list one or more configuration options */
4663 /* If -n was set, we suppress some information */
4664
4665 if (list_options)
4666   {
4667   BOOL fail = FALSE;
4668   set_process_info("listing variables");
4669   if (recipients_arg >= argc)
4670     fail = !readconf_print(US"all", NULL, flag_n);
4671   else for (i = recipients_arg; i < argc; i++)
4672     {
4673     if (i < argc - 1 &&
4674         (Ustrcmp(argv[i], "router") == 0 ||
4675          Ustrcmp(argv[i], "transport") == 0 ||
4676          Ustrcmp(argv[i], "authenticator") == 0 ||
4677          Ustrcmp(argv[i], "macro") == 0 ||
4678          Ustrcmp(argv[i], "environment") == 0))
4679       {
4680       fail |= !readconf_print(argv[i+1], argv[i], flag_n);
4681       i++;
4682       }
4683     else
4684       fail = !readconf_print(argv[i], NULL, flag_n);
4685     }
4686   exim_exit(fail ? EXIT_FAILURE : EXIT_SUCCESS);
4687   }
4688
4689 if (list_config)
4690   {
4691   set_process_info("listing config");
4692   exim_exit(readconf_print(US"config", NULL, flag_n)
4693                 ? EXIT_SUCCESS : EXIT_FAILURE);
4694   }
4695
4696
4697 /* Initialise subsystems as required. */
4698
4699 tcp_init();
4700
4701 /* Handle a request to deliver one or more messages that are already on the
4702 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4703 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4704
4705 Delivery of specific messages is typically used for a small number when
4706 prodding by hand (when the option forced_delivery will be set) or when
4707 re-execing to regain root privilege. Each message delivery must happen in a
4708 separate process, so we fork a process for each one, and run them sequentially
4709 so that debugging output doesn't get intertwined, and to avoid spawning too
4710 many processes if a long list is given. However, don't fork for the last one;
4711 this saves a process in the common case when Exim is called to deliver just one
4712 message. */
4713
4714 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4715   {
4716   if (prod_requires_admin && !f.admin_user)
4717     {
4718     fprintf(stderr, "exim: Permission denied\n");
4719     exim_exit(EXIT_FAILURE);
4720     }
4721   set_process_info("delivering specified messages");
4722   if (deliver_give_up) forced_delivery = f.deliver_force_thaw = TRUE;
4723   for (i = msg_action_arg; i < argc; i++)
4724     {
4725     int status;
4726     pid_t pid;
4727     /*XXX This use of argv[i] for msg_id should really be tainted, but doing
4728     that runs into a later copy into the untainted global message_id[] */
4729     if (i == argc - 1)
4730       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4731     else if ((pid = exim_fork(US"cmdline-delivery")) == 0)
4732       {
4733       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4734       exim_underbar_exit(EXIT_SUCCESS);
4735       }
4736     else if (pid < 0)
4737       {
4738       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4739         strerror(errno));
4740       exim_exit(EXIT_FAILURE);
4741       }
4742     else wait(&status);
4743     }
4744   exim_exit(EXIT_SUCCESS);
4745   }
4746
4747
4748 /* If only a single queue run is requested, without SMTP listening, we can just
4749 turn into a queue runner, with an optional starting message id. */
4750
4751 if (queue_interval == 0 && !f.daemon_listen)
4752   {
4753   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4754     start_queue_run_id ? US" starting at " : US"",
4755     start_queue_run_id ? start_queue_run_id: US"",
4756     stop_queue_run_id ?  US" stopping at " : US"",
4757     stop_queue_run_id ?  stop_queue_run_id : US"");
4758   if (*queue_name)
4759     set_process_info("running the '%s' queue (single queue run)", queue_name);
4760   else
4761     set_process_info("running the queue (single queue run)");
4762   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4763   exim_exit(EXIT_SUCCESS);
4764   }
4765
4766
4767 /* Find the login name of the real user running this process. This is always
4768 needed when receiving a message, because it is written into the spool file. It
4769 may also be used to construct a from: or a sender: header, and in this case we
4770 need the user's full name as well, so save a copy of it, checked for RFC822
4771 syntax and munged if necessary, if it hasn't previously been set by the -F
4772 argument. We may try to get the passwd entry more than once, in case NIS or
4773 other delays are in evidence. Save the home directory for use in filter testing
4774 (only). */
4775
4776 for (i = 0;;)
4777   {
4778   if ((pw = getpwuid(real_uid)) != NULL)
4779     {
4780     originator_login = string_copy(US pw->pw_name);
4781     originator_home = string_copy(US pw->pw_dir);
4782
4783     /* If user name has not been set by -F, set it from the passwd entry
4784     unless -f has been used to set the sender address by a trusted user. */
4785
4786     if (!originator_name)
4787       {
4788       if (!sender_address || (!f.trusted_caller && filter_test == FTEST_NONE))
4789         {
4790         uschar *name = US pw->pw_gecos;
4791         uschar *amp = Ustrchr(name, '&');
4792         uschar buffer[256];
4793
4794         /* Most Unix specify that a '&' character in the gecos field is
4795         replaced by a copy of the login name, and some even specify that
4796         the first character should be upper cased, so that's what we do. */
4797
4798         if (amp)
4799           {
4800           int loffset;
4801           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4802             (int)(amp - name), name, &loffset, originator_login, amp + 1);
4803           buffer[loffset] = toupper(buffer[loffset]);
4804           name = buffer;
4805           }
4806
4807         /* If a pattern for matching the gecos field was supplied, apply
4808         it and then expand the name string. */
4809
4810         if (gecos_pattern && gecos_name)
4811           {
4812           const pcre *re;
4813           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4814
4815           if (regex_match_and_setup(re, name, 0, -1))
4816             {
4817             uschar *new_name = expand_string(gecos_name);
4818             expand_nmax = -1;
4819             if (new_name)
4820               {
4821               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4822                 "gecos field \"%s\"\n", new_name, name);
4823               name = new_name;
4824               }
4825             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4826               "\"%s\": %s\n", gecos_name, expand_string_message);
4827             }
4828           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4829             "gecos field \"%s\"\n", gecos_pattern, name);
4830           store_free((void *)re);
4831           }
4832         originator_name = string_copy(name);
4833         }
4834
4835       /* A trusted caller has used -f but not -F */
4836
4837       else originator_name = US"";
4838       }
4839
4840     /* Break the retry loop */
4841
4842     break;
4843     }
4844
4845   if (++i > finduser_retries) break;
4846   sleep(1);
4847   }
4848
4849 /* If we cannot get a user login, log the incident and give up, unless the
4850 configuration specifies something to use. When running in the test harness,
4851 any setting of unknown_login overrides the actual name. */
4852
4853 if (!originator_login || f.running_in_test_harness)
4854   {
4855   if (unknown_login)
4856     {
4857     originator_login = expand_string(unknown_login);
4858     if (!originator_name && unknown_username)
4859       originator_name = expand_string(unknown_username);
4860     if (!originator_name) originator_name = US"";
4861     }
4862   if (!originator_login)
4863     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4864       (int)real_uid);
4865   }
4866
4867 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4868 RFC822 address.*/
4869
4870 originator_name = US parse_fix_phrase(originator_name, Ustrlen(originator_name));
4871
4872 /* If a message is created by this call of Exim, the uid/gid of its originator
4873 are those of the caller. These values are overridden if an existing message is
4874 read in from the spool. */
4875
4876 originator_uid = real_uid;
4877 originator_gid = real_gid;
4878
4879 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4880   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4881
4882 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4883 returns. We leave this till here so that the originator_ fields are available
4884 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4885 mode. */
4886
4887 if (f.daemon_listen || f.inetd_wait_mode || queue_interval > 0)
4888   {
4889   if (mua_wrapper)
4890     {
4891     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4892     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4893       "mua_wrapper is set");
4894     }
4895
4896 # ifndef DISABLE_TLS
4897   /* This also checks that the library linkage is working and we can call
4898   routines in it, so call even if tls_require_ciphers is unset */
4899     {
4900 # ifdef MEASURE_TIMING
4901     struct timeval t0, diff;
4902     (void)gettimeofday(&t0, NULL);
4903 # endif
4904     if (!tls_dropprivs_validate_require_cipher(FALSE))
4905       exit(1);
4906 # ifdef MEASURE_TIMING
4907     report_time_since(&t0, US"validate_ciphers (delta)");
4908 # endif
4909     }
4910 #endif
4911
4912   daemon_go();
4913   }
4914
4915 /* If the sender ident has not been set (by a trusted caller) set it to
4916 the caller. This will get overwritten below for an inetd call. If a trusted
4917 caller has set it empty, unset it. */
4918
4919 if (!sender_ident) sender_ident = originator_login;
4920 else if (!*sender_ident) sender_ident = NULL;
4921
4922 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4923 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4924 originator_* variables set. */
4925
4926 if (test_rewrite_arg >= 0)
4927   {
4928   f.really_exim = FALSE;
4929   if (test_rewrite_arg >= argc)
4930     {
4931     printf("-brw needs an address argument\n");
4932     exim_exit(EXIT_FAILURE);
4933     }
4934   rewrite_test(argv[test_rewrite_arg]);
4935   exim_exit(EXIT_SUCCESS);
4936   }
4937
4938 /* A locally-supplied message is considered to be coming from a local user
4939 unless a trusted caller supplies a sender address with -f, or is passing in the
4940 message via SMTP (inetd invocation or otherwise). */
4941
4942 if (  !sender_address && !smtp_input
4943    || !f.trusted_caller && filter_test == FTEST_NONE)
4944   {
4945   f.sender_local = TRUE;
4946
4947   /* A trusted caller can supply authenticated_sender and authenticated_id
4948   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4949   defaults except when host checking. */
4950
4951   if (!authenticated_sender && !host_checking)
4952     authenticated_sender = string_sprintf("%s@%s", originator_login,
4953       qualify_domain_sender);
4954   if (!authenticated_id && !host_checking)
4955     authenticated_id = originator_login;
4956   }
4957
4958 /* Trusted callers are always permitted to specify the sender address.
4959 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4960 is specified is the empty address. However, if a trusted caller does not
4961 specify a sender address for SMTP input, we leave sender_address unset. This
4962 causes the MAIL commands to be honoured. */
4963
4964 if (  !smtp_input && !sender_address
4965    || !receive_check_set_sender(sender_address))
4966   {
4967   /* Either the caller is not permitted to set a general sender, or this is
4968   non-SMTP input and the trusted caller has not set a sender. If there is no
4969   sender, or if a sender other than <> is set, override with the originator's
4970   login (which will get qualified below), except when checking things. */
4971
4972   if (  !sender_address                  /* No sender_address set */
4973      ||                                  /*         OR            */
4974        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4975        !checking))                       /* Not running tests, including filter tests */
4976     {
4977     sender_address = originator_login;
4978     f.sender_address_forced = FALSE;
4979     sender_address_domain = 0;
4980     }
4981   }
4982
4983 /* Remember whether an untrusted caller set the sender address */
4984
4985 f.sender_set_untrusted = sender_address != originator_login && !f.trusted_caller;
4986
4987 /* Ensure that the sender address is fully qualified unless it is the empty
4988 address, which indicates an error message, or doesn't exist (root caller, smtp
4989 interface, no -f argument). */
4990
4991 if (sender_address && *sender_address && sender_address_domain == 0)
4992   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
4993     qualify_domain_sender);
4994
4995 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
4996
4997 /* Handle a request to verify a list of addresses, or test them for delivery.
4998 This must follow the setting of the sender address, since routers can be
4999 predicated upon the sender. If no arguments are given, read addresses from
5000 stdin. Set debug_level to at least D_v to get full output for address testing.
5001 */
5002
5003 if (verify_address_mode || f.address_test_mode)
5004   {
5005   int exit_value = 0;
5006   int flags = vopt_qualify;
5007
5008   if (verify_address_mode)
5009     {
5010     if (!verify_as_sender) flags |= vopt_is_recipient;
5011     DEBUG(D_verify) debug_print_ids(US"Verifying:");
5012     }
5013
5014   else
5015     {
5016     flags |= vopt_is_recipient;
5017     debug_selector |= D_v;
5018     debug_file = stderr;
5019     debug_fd = fileno(debug_file);
5020     DEBUG(D_verify) debug_print_ids(US"Address testing:");
5021     }
5022
5023   if (recipients_arg < argc)
5024     while (recipients_arg < argc)
5025       {
5026       /* Supplied addresses are tainted since they come from a user */
5027       uschar * s = string_copy_taint(argv[recipients_arg++], TRUE);
5028       while (*s)
5029         {
5030         BOOL finished = FALSE;
5031         uschar *ss = parse_find_address_end(s, FALSE);
5032         if (*ss == ',') *ss = 0; else finished = TRUE;
5033         test_address(s, flags, &exit_value);
5034         s = ss;
5035         if (!finished)
5036           while (*++s == ',' || isspace(*s)) ;
5037         }
5038       }
5039
5040   else for (;;)
5041     {
5042     uschar * s = get_stdinput(NULL, NULL);
5043     if (!s) break;
5044     test_address(string_copy_taint(s, TRUE), flags, &exit_value);
5045     }
5046
5047   route_tidyup();
5048   exim_exit(exit_value);
5049   }
5050
5051 /* Handle expansion checking. Either expand items on the command line, or read
5052 from stdin if there aren't any. If -Mset was specified, load the message so
5053 that its variables can be used, but restrict this facility to admin users.
5054 Otherwise, if -bem was used, read a message from stdin. */
5055
5056 if (expansion_test)
5057   {
5058   dns_init(FALSE, FALSE, FALSE);
5059   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
5060     {
5061     uschar spoolname[256];  /* Not big_buffer; used in spool_read_header() */
5062     if (!f.admin_user)
5063       exim_fail("exim: permission denied\n");
5064     message_id = argv[msg_action_arg];
5065     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
5066     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
5067       printf ("Failed to load message datafile %s\n", message_id);
5068     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
5069       printf ("Failed to load message %s\n", message_id);
5070     }
5071
5072   /* Read a test message from a file. We fudge it up to be on stdin, saving
5073   stdin itself for later reading of expansion strings. */
5074
5075   else if (expansion_test_message)
5076     {
5077     int save_stdin = dup(0);
5078     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
5079     if (fd < 0)
5080       exim_fail("exim: failed to open %s: %s\n", expansion_test_message,
5081         strerror(errno));
5082     (void) dup2(fd, 0);
5083     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
5084     message_ended = END_NOTENDED;
5085     read_message_body(receive_msg(extract_recipients));
5086     message_linecount += body_linecount;
5087     (void)dup2(save_stdin, 0);
5088     (void)close(save_stdin);
5089     clearerr(stdin);               /* Required by Darwin */
5090     }
5091
5092   /* Only admin users may see config-file macros this way */
5093
5094   if (!f.admin_user) macros_user = macros = mlast = NULL;
5095
5096   /* Allow $recipients for this testing */
5097
5098   f.enable_dollar_recipients = TRUE;
5099
5100   /* Expand command line items */
5101
5102   if (recipients_arg < argc)
5103     while (recipients_arg < argc)
5104       expansion_test_line(argv[recipients_arg++]);
5105
5106   /* Read stdin */
5107
5108   else
5109     {
5110     char *(*fn_readline)(const char *) = NULL;
5111     void (*fn_addhist)(const char *) = NULL;
5112     uschar * s;
5113
5114 #ifdef USE_READLINE
5115     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
5116 #endif
5117
5118     while (s = get_stdinput(fn_readline, fn_addhist))
5119       expansion_test_line(s);
5120
5121 #ifdef USE_READLINE
5122     if (dlhandle) dlclose(dlhandle);
5123 #endif
5124     }
5125
5126   /* The data file will be open after -Mset */
5127
5128   if (deliver_datafile >= 0)
5129     {
5130     (void)close(deliver_datafile);
5131     deliver_datafile = -1;
5132     }
5133
5134   exim_exit(EXIT_SUCCESS);
5135   }
5136
5137
5138 /* The active host name is normally the primary host name, but it can be varied
5139 for hosts that want to play several parts at once. We need to ensure that it is
5140 set for host checking, and for receiving messages. */
5141
5142 smtp_active_hostname = primary_hostname;
5143 if (raw_active_hostname != NULL)
5144   {
5145   uschar *nah = expand_string(raw_active_hostname);
5146   if (nah == NULL)
5147     {
5148     if (!f.expand_string_forcedfail)
5149       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
5150         "(smtp_active_hostname): %s", raw_active_hostname,
5151         expand_string_message);
5152     }
5153   else if (nah[0] != 0) smtp_active_hostname = nah;
5154   }
5155
5156 /* Handle host checking: this facility mocks up an incoming SMTP call from a
5157 given IP address so that the blocking and relay configuration can be tested.
5158 Unless a sender_ident was set by -oMt, we discard it (the default is the
5159 caller's login name). An RFC 1413 call is made only if we are running in the
5160 test harness and an incoming interface and both ports are specified, because
5161 there is no TCP/IP call to find the ident for. */
5162
5163 if (host_checking)
5164   {
5165   int x[4];
5166   int size;
5167
5168   if (!sender_ident_set)
5169     {
5170     sender_ident = NULL;
5171     if (f.running_in_test_harness && sender_host_port
5172        && interface_address && interface_port)
5173       verify_get_ident(1223);           /* note hardwired port number */
5174     }
5175
5176   /* In case the given address is a non-canonical IPv6 address, canonicalize
5177   it. The code works for both IPv4 and IPv6, as it happens. */
5178
5179   size = host_aton(sender_host_address, x);
5180   sender_host_address = store_get(48, FALSE);  /* large enough for full IPv6 */
5181   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
5182
5183   /* Now set up for testing */
5184
5185   host_build_sender_fullhost();
5186   smtp_input = TRUE;
5187   smtp_in = stdin;
5188   smtp_out = stdout;
5189   f.sender_local = FALSE;
5190   f.sender_host_notsocket = TRUE;
5191   debug_file = stderr;
5192   debug_fd = fileno(debug_file);
5193   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
5194     "**** but without any ident (RFC 1413) callback.\n"
5195     "**** This is not for real!\n\n",
5196       sender_host_address);
5197
5198   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5199   if (verify_check_host(&hosts_connection_nolog) == OK)
5200     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5201   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5202
5203   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5204   because a log line has already been written for all its failure exists
5205   (usually "connection refused: <reason>") and writing another one is
5206   unnecessary clutter. */
5207
5208   if (smtp_start_session())
5209     {
5210     rmark reset_point;
5211     for (; (reset_point = store_mark()); store_reset(reset_point))
5212       {
5213       if (smtp_setup_msg() <= 0) break;
5214       if (!receive_msg(FALSE)) break;
5215
5216       return_path = sender_address = NULL;
5217       dnslist_domain = dnslist_matched = NULL;
5218 #ifndef DISABLE_DKIM
5219       dkim_cur_signer = NULL;
5220 #endif
5221       acl_var_m = NULL;
5222       deliver_localpart_orig = NULL;
5223       deliver_domain_orig = NULL;
5224       callout_address = sending_ip_address = NULL;
5225       deliver_localpart_data = deliver_domain_data =
5226       recipient_data = sender_data = NULL;
5227       sender_rate = sender_rate_limit = sender_rate_period = NULL;
5228       }
5229     smtp_log_no_mail();
5230     }
5231   exim_exit(EXIT_SUCCESS);
5232   }
5233
5234
5235 /* Arrange for message reception if recipients or SMTP were specified;
5236 otherwise complain unless a version print (-bV) happened or this is a filter
5237 verification test or info dump.
5238 In the former case, show the configuration file name. */
5239
5240 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5241   {
5242   if (version_printed)
5243     {
5244     if (Ustrchr(config_main_filelist, ':'))
5245       printf("Configuration file search path is %s\n", config_main_filelist);
5246     printf("Configuration file is %s\n", config_main_filename);
5247     return EXIT_SUCCESS;
5248     }
5249
5250   if (info_flag != CMDINFO_NONE)
5251     {
5252     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5253     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5254     }
5255
5256   if (filter_test == FTEST_NONE)
5257     exim_usage(called_as);
5258   }
5259
5260
5261 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5262 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5263 that we are not called from inetd, because that is rejected above. The
5264 following configuration settings are forced here:
5265
5266   (1) Synchronous delivery (-odi)
5267   (2) Errors to stderr (-oep == -oeq)
5268   (3) No parallel remote delivery
5269   (4) Unprivileged delivery
5270
5271 We don't force overall queueing options because there are several of them;
5272 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5273 to override any SMTP queueing. */
5274
5275 if (mua_wrapper)
5276   {
5277   f.synchronous_delivery = TRUE;
5278   arg_error_handling = ERRORS_STDERR;
5279   remote_max_parallel = 1;
5280   deliver_drop_privilege = TRUE;
5281   f.queue_smtp = FALSE;
5282   queue_smtp_domains = NULL;
5283 #ifdef SUPPORT_I18N
5284   message_utf8_downconvert = -1;        /* convert-if-needed */
5285 #endif
5286   }
5287
5288
5289 /* Prepare to accept one or more new messages on the standard input. When a
5290 message has been read, its id is returned in message_id[]. If doing immediate
5291 delivery, we fork a delivery process for each received message, except for the
5292 last one, where we can save a process switch.
5293
5294 It is only in non-smtp mode that error_handling is allowed to be changed from
5295 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5296 sendmail error modes other than -oem ever actually used? Later: yes.) */
5297
5298 if (!smtp_input) error_handling = arg_error_handling;
5299
5300 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5301 logging being sent down the socket and make an identd call to get the
5302 sender_ident. */
5303
5304 else if (f.is_inetd)
5305   {
5306   (void)fclose(stderr);
5307   exim_nullstd();                       /* Re-open to /dev/null */
5308   verify_get_ident(IDENT_PORT);
5309   host_build_sender_fullhost();
5310   set_process_info("handling incoming connection from %s via inetd",
5311     sender_fullhost);
5312   }
5313
5314 /* If the sender host address has been set, build sender_fullhost if it hasn't
5315 already been done (which it will have been for inetd). This caters for the
5316 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5317 so that the test for IP options is skipped for -bs input. */
5318
5319 if (sender_host_address && !sender_fullhost)
5320   {
5321   host_build_sender_fullhost();
5322   set_process_info("handling incoming connection from %s via -oMa",
5323     sender_fullhost);
5324   f.sender_host_notsocket = TRUE;
5325   }
5326
5327 /* Otherwise, set the sender host as unknown except for inetd calls. This
5328 prevents host checking in the case of -bs not from inetd and also for -bS. */
5329
5330 else if (!f.is_inetd) f.sender_host_unknown = TRUE;
5331
5332 /* If stdout does not exist, then dup stdin to stdout. This can happen
5333 if exim is started from inetd. In this case fd 0 will be set to the socket,
5334 but fd 1 will not be set. This also happens for passed SMTP channels. */
5335
5336 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5337
5338 /* Set up the incoming protocol name and the state of the program. Root is
5339 allowed to force received protocol via the -oMr option above. If we have come
5340 via inetd, the process info has already been set up. We don't set
5341 received_protocol here for smtp input, as it varies according to
5342 batch/HELO/EHLO/AUTH/TLS. */
5343
5344 if (smtp_input)
5345   {
5346   if (!f.is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5347     smtp_batched_input? "batched " : "",
5348     (sender_address!= NULL)? sender_address : originator_login);
5349   }
5350 else
5351   {
5352   int old_pool = store_pool;
5353   store_pool = POOL_PERM;
5354   if (!received_protocol)
5355     received_protocol = string_sprintf("local%s", called_as);
5356   store_pool = old_pool;
5357   set_process_info("accepting a local non-SMTP message from <%s>",
5358     sender_address);
5359   }
5360
5361 /* Initialize the session_local_queue-only flag (this will be ignored if
5362 mua_wrapper is set) */
5363
5364 queue_check_only();
5365 session_local_queue_only = queue_only;
5366
5367 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5368 the spool if so configured. On failure, we must not attempt to send an error
5369 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5370 error code is given.) */
5371
5372 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5373   exim_fail("exim: insufficient disk space\n");
5374
5375 /* If this is smtp input of any kind, real or batched, handle the start of the
5376 SMTP session.
5377
5378 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5379 because a log line has already been written for all its failure exists
5380 (usually "connection refused: <reason>") and writing another one is
5381 unnecessary clutter. */
5382
5383 if (smtp_input)
5384   {
5385   smtp_in = stdin;
5386   smtp_out = stdout;
5387   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5388   if (verify_check_host(&hosts_connection_nolog) == OK)
5389     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5390   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5391   if (!smtp_start_session())
5392     {
5393     mac_smtp_fflush();
5394     exim_exit(EXIT_SUCCESS);
5395     }
5396   }
5397
5398 /* Otherwise, set up the input size limit here. */
5399
5400 else
5401   {
5402   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5403   if (expand_string_message)
5404     if (thismessage_size_limit == -1)
5405       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5406         "message_size_limit: %s", expand_string_message);
5407     else
5408       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5409         "message_size_limit: %s", expand_string_message);
5410   }
5411
5412 /* Loop for several messages when reading SMTP input. If we fork any child
5413 processes, we don't want to wait for them unless synchronous delivery is
5414 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5415 same as SIG_DFL, despite the fact that documentation often lists the default as
5416 "ignore". This is a confusing area. This is what I know:
5417
5418 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5419 processes that complete simply to go away without ever becoming defunct. You
5420 can't then wait for them - but we don't want to wait for them in the
5421 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5422 happen for all OS (e.g. *BSD is different).
5423
5424 But that's not the end of the story. Some (many? all?) systems have the
5425 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5426 has by default, so it seems that the difference is merely one of default
5427 (compare restarting vs non-restarting signals).
5428
5429 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5430 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5431 of the loop below. Paranoia rules.
5432
5433 February 2003: That's *still* not the end of the story. There are now versions
5434 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5435 process then calls waitpid(), a grumble is written to the system log, because
5436 this is logically inconsistent. In other words, it doesn't like the paranoia.
5437 As a consequence of this, the waitpid() below is now excluded if we are sure
5438 that SIG_IGN works. */
5439
5440 if (!f.synchronous_delivery)
5441   {
5442   #ifdef SA_NOCLDWAIT
5443   struct sigaction act;
5444   act.sa_handler = SIG_IGN;
5445   sigemptyset(&(act.sa_mask));
5446   act.sa_flags = SA_NOCLDWAIT;
5447   sigaction(SIGCHLD, &act, NULL);
5448   #else
5449   signal(SIGCHLD, SIG_IGN);
5450   #endif
5451   }
5452
5453 /* Save the current store pool point, for resetting at the start of
5454 each message, and save the real sender address, if any. */
5455
5456 real_sender_address = sender_address;
5457
5458 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5459 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5460 collapsed). */
5461
5462 while (more)
5463   {
5464   rmark reset_point = store_mark();
5465   message_id[0] = 0;
5466
5467   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5468   input and build the recipients list, before calling receive_msg() to read the
5469   message proper. Whatever sender address is given in the SMTP transaction is
5470   often ignored for local senders - we use the actual sender, which is normally
5471   either the underlying user running this process or a -f argument provided by
5472   a trusted caller. It is saved in real_sender_address. The test for whether to
5473   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5474
5475   if (smtp_input)
5476     {
5477     int rc;
5478     if ((rc = smtp_setup_msg()) > 0)
5479       {
5480       if (real_sender_address != NULL &&
5481           !receive_check_set_sender(sender_address))
5482         {
5483         sender_address = raw_sender = real_sender_address;
5484         sender_address_unrewritten = NULL;
5485         }
5486
5487       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5488       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5489       the very end. The result of the ACL is ignored (as for other non-SMTP
5490       messages). It is run for its potential side effects. */
5491
5492       if (smtp_batched_input && acl_not_smtp_start != NULL)
5493         {
5494         uschar *user_msg, *log_msg;
5495         f.enable_dollar_recipients = TRUE;
5496         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5497           &user_msg, &log_msg);
5498         f.enable_dollar_recipients = FALSE;
5499         }
5500
5501       /* Now get the data for the message */
5502
5503       more = receive_msg(extract_recipients);
5504       if (message_id[0] == 0)
5505         {
5506         cancel_cutthrough_connection(TRUE, US"receive dropped");
5507         if (more) goto moreloop;
5508         smtp_log_no_mail();               /* Log no mail if configured */
5509         exim_exit(EXIT_FAILURE);
5510         }
5511       }
5512     else
5513       {
5514       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5515       smtp_log_no_mail();               /* Log no mail if configured */
5516       exim_exit(rc ? EXIT_FAILURE : EXIT_SUCCESS);
5517       }
5518     }
5519
5520   /* In the non-SMTP case, we have all the information from the command
5521   line, but must process it in case it is in the more general RFC822
5522   format, and in any case, to detect syntax errors. Also, it appears that
5523   the use of comma-separated lists as single arguments is common, so we
5524   had better support them. */
5525
5526   else
5527     {
5528     int rcount = 0;
5529     int count = argc - recipients_arg;
5530     uschar **list = argv + recipients_arg;
5531
5532     /* These options cannot be changed dynamically for non-SMTP messages */
5533
5534     f.active_local_sender_retain = local_sender_retain;
5535     f.active_local_from_check = local_from_check;
5536
5537     /* Save before any rewriting */
5538
5539     raw_sender = string_copy(sender_address);
5540
5541     /* Loop for each argument (supplied by user hence tainted) */
5542
5543     for (int i = 0; i < count; i++)
5544       {
5545       int start, end, domain;
5546       uschar * errmess;
5547       uschar * s = string_copy_taint(list[i], TRUE);
5548
5549       /* Loop for each comma-separated address */
5550
5551       while (*s != 0)
5552         {
5553         BOOL finished = FALSE;
5554         uschar *recipient;
5555         uschar *ss = parse_find_address_end(s, FALSE);
5556
5557         if (*ss == ',') *ss = 0; else finished = TRUE;
5558
5559         /* Check max recipients - if -t was used, these aren't recipients */
5560
5561         if (recipients_max > 0 && ++rcount > recipients_max &&
5562             !extract_recipients)
5563           if (error_handling == ERRORS_STDERR)
5564             {
5565             fprintf(stderr, "exim: too many recipients\n");
5566             exim_exit(EXIT_FAILURE);
5567             }
5568           else
5569             return
5570               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5571                 errors_sender_rc : EXIT_FAILURE;
5572
5573 #ifdef SUPPORT_I18N
5574         {
5575         BOOL b = allow_utf8_domains;
5576         allow_utf8_domains = TRUE;
5577 #endif
5578         recipient =
5579           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5580
5581 #ifdef SUPPORT_I18N
5582         if (string_is_utf8(recipient))
5583           message_smtputf8 = TRUE;
5584         else
5585           allow_utf8_domains = b;
5586         }
5587 #endif
5588         if (domain == 0 && !f.allow_unqualified_recipient)
5589           {
5590           recipient = NULL;
5591           errmess = US"unqualified recipient address not allowed";
5592           }
5593
5594         if (!recipient)
5595           if (error_handling == ERRORS_STDERR)
5596             {
5597             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5598               string_printing(list[i]), errmess);
5599             exim_exit(EXIT_FAILURE);
5600             }
5601           else
5602             {
5603             error_block eblock;
5604             eblock.next = NULL;
5605             eblock.text1 = string_printing(list[i]);
5606             eblock.text2 = errmess;
5607             return
5608               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5609                 errors_sender_rc : EXIT_FAILURE;
5610             }
5611
5612         receive_add_recipient(string_copy_taint(recipient, TRUE), -1);
5613         s = ss;
5614         if (!finished)
5615           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5616         }
5617       }
5618
5619     /* Show the recipients when debugging */
5620
5621     DEBUG(D_receive)
5622       {
5623       if (sender_address) debug_printf("Sender: %s\n", sender_address);
5624       if (recipients_list)
5625         {
5626         debug_printf("Recipients:\n");
5627         for (int i = 0; i < recipients_count; i++)
5628           debug_printf("  %s\n", recipients_list[i].address);
5629         }
5630       }
5631
5632     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5633     ignored; rejecting here would just add complication, and it can just as
5634     well be done later. Allow $recipients to be visible in the ACL. */
5635
5636     if (acl_not_smtp_start)
5637       {
5638       uschar *user_msg, *log_msg;
5639       f.enable_dollar_recipients = TRUE;
5640       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5641         &user_msg, &log_msg);
5642       f.enable_dollar_recipients = FALSE;
5643       }
5644
5645     /* Pause for a while waiting for input.  If none received in that time,
5646     close the logfile, if we had one open; then if we wait for a long-running
5647     datasource (months, in one use-case) log rotation will not leave us holding
5648     the file copy. */
5649
5650     if (!receive_timeout)
5651       {
5652       struct timeval t = { .tv_sec = 30*60, .tv_usec = 0 };     /* 30 minutes */
5653       fd_set r;
5654
5655       FD_ZERO(&r); FD_SET(0, &r);
5656       if (select(1, &r, NULL, NULL, &t) == 0) mainlog_close();
5657       }
5658
5659     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5660     will just read the headers for the message, and not write anything onto the
5661     spool. */
5662
5663     message_ended = END_NOTENDED;
5664     more = receive_msg(extract_recipients);
5665
5666     /* more is always FALSE here (not SMTP message) when reading a message
5667     for real; when reading the headers of a message for filter testing,
5668     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5669
5670     if (message_id[0] == 0) exim_exit(EXIT_FAILURE);
5671     }  /* Non-SMTP message reception */
5672
5673   /* If this is a filter testing run, there are headers in store, but
5674   no message on the spool. Run the filtering code in testing mode, setting
5675   the domain to the qualify domain and the local part to the current user,
5676   unless they have been set by options. The prefix and suffix are left unset
5677   unless specified. The the return path is set to to the sender unless it has
5678   already been set from a return-path header in the message. */
5679
5680   if (filter_test != FTEST_NONE)
5681     {
5682     deliver_domain = ftest_domain ? ftest_domain : qualify_domain_recipient;
5683     deliver_domain_orig = deliver_domain;
5684     deliver_localpart = ftest_localpart ? ftest_localpart : originator_login;
5685     deliver_localpart_orig = deliver_localpart;
5686     deliver_localpart_prefix = ftest_prefix;
5687     deliver_localpart_suffix = ftest_suffix;
5688     deliver_home = originator_home;
5689
5690     if (!return_path)
5691       {
5692       printf("Return-path copied from sender\n");
5693       return_path = string_copy(sender_address);
5694       }
5695     else
5696       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5697     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5698
5699     receive_add_recipient(
5700       string_sprintf("%s%s%s@%s",
5701         ftest_prefix ? ftest_prefix : US"",
5702         deliver_localpart,
5703         ftest_suffix ? ftest_suffix : US"",
5704         deliver_domain), -1);
5705
5706     printf("Recipient   = %s\n", recipients_list[0].address);
5707     if (ftest_prefix) printf("Prefix    = %s\n", ftest_prefix);
5708     if (ftest_suffix) printf("Suffix    = %s\n", ftest_suffix);
5709
5710     if (chdir("/"))   /* Get away from wherever the user is running this from */
5711       {
5712       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5713       exim_exit(EXIT_FAILURE);
5714       }
5715
5716     /* Now we run either a system filter test, or a user filter test, or both.
5717     In the latter case, headers added by the system filter will persist and be
5718     available to the user filter. We need to copy the filter variables
5719     explicitly. */
5720
5721     if (filter_test & FTEST_SYSTEM)
5722       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5723         exim_exit(EXIT_FAILURE);
5724
5725     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5726
5727     if (filter_test & FTEST_USER)
5728       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5729         exim_exit(EXIT_FAILURE);
5730
5731     exim_exit(EXIT_SUCCESS);
5732     }
5733
5734   /* Else act on the result of message reception. We should not get here unless
5735   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5736   will be TRUE. If it is not, check on the number of messages received in this
5737   connection. */
5738
5739   if (  !session_local_queue_only
5740      && smtp_accept_queue_per_connection > 0
5741      && receive_messagecount > smtp_accept_queue_per_connection)
5742     {
5743     session_local_queue_only = TRUE;
5744     queue_only_reason = 2;
5745     }
5746
5747   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5748   and queue_only_load is set, check that the load average is below it. If it is
5749   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5750   default), we put the whole session into queue_only mode. It then remains this
5751   way for any subsequent messages on the same SMTP connection. This is a
5752   deliberate choice; even though the load average may fall, it doesn't seem
5753   right to deliver later messages on the same call when not delivering earlier
5754   ones. However, there are odd cases where this is not wanted, so this can be
5755   changed by setting queue_only_load_latch false. */
5756
5757   if (!(local_queue_only = session_local_queue_only) && queue_only_load >= 0)
5758     if ((local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load))
5759       {
5760       queue_only_reason = 3;
5761       if (queue_only_load_latch) session_local_queue_only = TRUE;
5762       }
5763
5764   /* If running as an MUA wrapper, all queueing options and freezing options
5765   are ignored. */
5766
5767   if (mua_wrapper)
5768     local_queue_only = f.queue_only_policy = f.deliver_freeze = FALSE;
5769
5770   /* Log the queueing here, when it will get a message id attached, but
5771   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5772   connections). */
5773
5774   if (local_queue_only)
5775     {
5776     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5777     switch(queue_only_reason)
5778       {
5779       case 2:
5780         log_write(L_delay_delivery,
5781                 LOG_MAIN, "no immediate delivery: more than %d messages "
5782           "received in one connection", smtp_accept_queue_per_connection);
5783         break;
5784
5785       case 3:
5786         log_write(L_delay_delivery,
5787                 LOG_MAIN, "no immediate delivery: load average %.2f",
5788                 (double)load_average/1000.0);
5789       break;
5790       }
5791     }
5792
5793   else if (f.queue_only_policy || f.deliver_freeze)
5794     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5795
5796   /* Else do the delivery unless the ACL or local_scan() called for queue only
5797   or froze the message. Always deliver in a separate process. A fork failure is
5798   not a disaster, as the delivery will eventually happen on a subsequent queue
5799   run. The search cache must be tidied before the fork, as the parent will
5800   do it before exiting. The child will trigger a lookup failure and
5801   thereby defer the delivery if it tries to use (for example) a cached ldap
5802   connection that the parent has called unbind on. */
5803
5804   else
5805     {
5806     pid_t pid;
5807     search_tidyup();
5808
5809     if ((pid = exim_fork(US"local-accept-delivery")) == 0)
5810       {
5811       int rc;
5812       close_unwanted();      /* Close unwanted file descriptors and TLS */
5813       exim_nullstd();        /* Ensure std{in,out,err} exist */
5814
5815       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5816       mode, deliver_drop_privilege is forced TRUE). */
5817
5818       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5819         {
5820         delivery_re_exec(CEE_EXEC_EXIT);
5821         /* Control does not return here. */
5822         }
5823
5824       /* No need to re-exec */
5825
5826       rc = deliver_message(message_id, FALSE, FALSE);
5827       search_tidyup();
5828       exim_underbar_exit(!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED
5829         ? EXIT_SUCCESS : EXIT_FAILURE);
5830       }
5831
5832     if (pid < 0)
5833       {
5834       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5835       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5836         "process: %s", strerror(errno));
5837       }
5838     else
5839       {
5840       release_cutthrough_connection(US"msg passed for delivery");
5841
5842       /* In the parent, wait if synchronous delivery is required. This will
5843       always be the case in MUA wrapper mode. */
5844
5845       if (f.synchronous_delivery)
5846         {
5847         int status;
5848         while (wait(&status) != pid);
5849         if ((status & 0x00ff) != 0)
5850           log_write(0, LOG_MAIN|LOG_PANIC,
5851             "process %d crashed with signal %d while delivering %s",
5852             (int)pid, status & 0x00ff, message_id);
5853         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE);
5854         }
5855       }
5856     }
5857
5858   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5859   automatically reaps children (see comments above the loop), clear away any
5860   finished subprocesses here, in case there are lots of messages coming in
5861   from the same source. */
5862
5863   #ifndef SIG_IGN_WORKS
5864   while (waitpid(-1, NULL, WNOHANG) > 0);
5865   #endif
5866
5867 moreloop:
5868   return_path = sender_address = NULL;
5869   authenticated_sender = NULL;
5870   deliver_localpart_orig = NULL;
5871   deliver_domain_orig = NULL;
5872   deliver_host = deliver_host_address = NULL;
5873   dnslist_domain = dnslist_matched = NULL;
5874 #ifdef WITH_CONTENT_SCAN
5875   malware_name = NULL;
5876 #endif
5877   callout_address = NULL;
5878   sending_ip_address = NULL;
5879   deliver_localpart_data = deliver_domain_data =
5880   recipient_data = sender_data = NULL;
5881   acl_var_m = NULL;
5882   for(int i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
5883
5884   store_reset(reset_point);
5885   }
5886
5887 exim_exit(EXIT_SUCCESS);   /* Never returns */
5888 return 0;                  /* To stop compiler warning */
5889 }
5890
5891
5892 /* End of exim.c */