1753aa307f259985be170f55869cf3a0f3a2cf20
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2016 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 #ifndef SUPPORT_CRYPTEQ
21 #define SUPPORT_CRYPTEQ
22 #endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 #include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 #ifdef CRYPT_H
31 #include <crypt.h>
32 #endif
33 #ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 #endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Characters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base32",
203   US"base32d",
204   US"base62",
205   US"base62d",
206   US"base64",
207   US"base64d",
208   US"domain",
209   US"escape",
210   US"escape8bit",
211   US"eval",
212   US"eval10",
213   US"expand",
214   US"h",
215   US"hash",
216   US"hex2b64",
217   US"hexquote",
218   US"ipv6denorm",
219   US"ipv6norm",
220   US"l",
221   US"lc",
222   US"length",
223   US"listcount",
224   US"listnamed",
225   US"mask",
226   US"md5",
227   US"nh",
228   US"nhash",
229   US"quote",
230   US"randint",
231   US"rfc2047",
232   US"rfc2047d",
233   US"rxquote",
234   US"s",
235   US"sha1",
236   US"sha256",
237   US"sha3",
238   US"stat",
239   US"str2b64",
240   US"strlen",
241   US"substr",
242   US"uc",
243   US"utf8clean" };
244
245 enum {
246   EOP_ADDRESS =  nelem(op_table_underscore),
247   EOP_ADDRESSES,
248   EOP_BASE32,
249   EOP_BASE32D,
250   EOP_BASE62,
251   EOP_BASE62D,
252   EOP_BASE64,
253   EOP_BASE64D,
254   EOP_DOMAIN,
255   EOP_ESCAPE,
256   EOP_ESCAPE8BIT,
257   EOP_EVAL,
258   EOP_EVAL10,
259   EOP_EXPAND,
260   EOP_H,
261   EOP_HASH,
262   EOP_HEX2B64,
263   EOP_HEXQUOTE,
264   EOP_IPV6DENORM,
265   EOP_IPV6NORM,
266   EOP_L,
267   EOP_LC,
268   EOP_LENGTH,
269   EOP_LISTCOUNT,
270   EOP_LISTNAMED,
271   EOP_MASK,
272   EOP_MD5,
273   EOP_NH,
274   EOP_NHASH,
275   EOP_QUOTE,
276   EOP_RANDINT,
277   EOP_RFC2047,
278   EOP_RFC2047D,
279   EOP_RXQUOTE,
280   EOP_S,
281   EOP_SHA1,
282   EOP_SHA256,
283   EOP_SHA3,
284   EOP_STAT,
285   EOP_STR2B64,
286   EOP_STRLEN,
287   EOP_SUBSTR,
288   EOP_UC,
289   EOP_UTF8CLEAN };
290
291
292 /* Table of condition names, and corresponding switch numbers. The names must
293 be in alphabetical order. */
294
295 static uschar *cond_table[] = {
296   US"<",
297   US"<=",
298   US"=",
299   US"==",     /* Backward compatibility */
300   US">",
301   US">=",
302   US"acl",
303   US"and",
304   US"bool",
305   US"bool_lax",
306   US"crypteq",
307   US"def",
308   US"eq",
309   US"eqi",
310   US"exists",
311   US"first_delivery",
312   US"forall",
313   US"forany",
314   US"ge",
315   US"gei",
316   US"gt",
317   US"gti",
318   US"inlist",
319   US"inlisti",
320   US"isip",
321   US"isip4",
322   US"isip6",
323   US"ldapauth",
324   US"le",
325   US"lei",
326   US"lt",
327   US"lti",
328   US"match",
329   US"match_address",
330   US"match_domain",
331   US"match_ip",
332   US"match_local_part",
333   US"or",
334   US"pam",
335   US"pwcheck",
336   US"queue_running",
337   US"radius",
338   US"saslauthd"
339 };
340
341 enum {
342   ECOND_NUM_L,
343   ECOND_NUM_LE,
344   ECOND_NUM_E,
345   ECOND_NUM_EE,
346   ECOND_NUM_G,
347   ECOND_NUM_GE,
348   ECOND_ACL,
349   ECOND_AND,
350   ECOND_BOOL,
351   ECOND_BOOL_LAX,
352   ECOND_CRYPTEQ,
353   ECOND_DEF,
354   ECOND_STR_EQ,
355   ECOND_STR_EQI,
356   ECOND_EXISTS,
357   ECOND_FIRST_DELIVERY,
358   ECOND_FORALL,
359   ECOND_FORANY,
360   ECOND_STR_GE,
361   ECOND_STR_GEI,
362   ECOND_STR_GT,
363   ECOND_STR_GTI,
364   ECOND_INLIST,
365   ECOND_INLISTI,
366   ECOND_ISIP,
367   ECOND_ISIP4,
368   ECOND_ISIP6,
369   ECOND_LDAPAUTH,
370   ECOND_STR_LE,
371   ECOND_STR_LEI,
372   ECOND_STR_LT,
373   ECOND_STR_LTI,
374   ECOND_MATCH,
375   ECOND_MATCH_ADDRESS,
376   ECOND_MATCH_DOMAIN,
377   ECOND_MATCH_IP,
378   ECOND_MATCH_LOCAL_PART,
379   ECOND_OR,
380   ECOND_PAM,
381   ECOND_PWCHECK,
382   ECOND_QUEUE_RUNNING,
383   ECOND_RADIUS,
384   ECOND_SASLAUTHD
385 };
386
387
388 /* Types of table entry */
389
390 enum vtypes {
391   vtype_int,            /* value is address of int */
392   vtype_filter_int,     /* ditto, but recognized only when filtering */
393   vtype_ino,            /* value is address of ino_t (not always an int) */
394   vtype_uid,            /* value is address of uid_t (not always an int) */
395   vtype_gid,            /* value is address of gid_t (not always an int) */
396   vtype_bool,           /* value is address of bool */
397   vtype_stringptr,      /* value is address of pointer to string */
398   vtype_msgbody,        /* as stringptr, but read when first required */
399   vtype_msgbody_end,    /* ditto, the end of the message */
400   vtype_msgheaders,     /* the message's headers, processed */
401   vtype_msgheaders_raw, /* the message's headers, unprocessed */
402   vtype_localpart,      /* extract local part from string */
403   vtype_domain,         /* extract domain from string */
404   vtype_string_func,    /* value is string returned by given function */
405   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
406   vtype_tode,           /* value not used; generate tod in epoch format */
407   vtype_todel,          /* value not used; generate tod in epoch/usec format */
408   vtype_todf,           /* value not used; generate full tod */
409   vtype_todl,           /* value not used; generate log tod */
410   vtype_todlf,          /* value not used; generate log file datestamp tod */
411   vtype_todzone,        /* value not used; generate time zone only */
412   vtype_todzulu,        /* value not used; generate zulu tod */
413   vtype_reply,          /* value not used; get reply from headers */
414   vtype_pid,            /* value not used; result is pid */
415   vtype_host_lookup,    /* value not used; get host name */
416   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
417   vtype_pspace,         /* partition space; value is T/F for spool/log */
418   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
419   vtype_cert            /* SSL certificate */
420   #ifndef DISABLE_DKIM
421   ,vtype_dkim           /* Lookup of value in DKIM signature */
422   #endif
423 };
424
425 /* Type for main variable table */
426
427 typedef struct {
428   const char *name;
429   enum vtypes type;
430   void       *value;
431 } var_entry;
432
433 /* Type for entries pointing to address/length pairs. Not currently
434 in use. */
435
436 typedef struct {
437   uschar **address;
438   int  *length;
439 } alblock;
440
441 static uschar * fn_recipients(void);
442
443 /* This table must be kept in alphabetical order. */
444
445 static var_entry var_table[] = {
446   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
447      they will be confused with user-creatable ACL variables. */
448   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
449   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
450   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
451   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
452   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
453   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
454   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
455   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
456   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
457   { "acl_narg",            vtype_int,         &acl_narg },
458   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
459   { "address_data",        vtype_stringptr,   &deliver_address_data },
460   { "address_file",        vtype_stringptr,   &address_file },
461   { "address_pipe",        vtype_stringptr,   &address_pipe },
462   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
463   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
464   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
465   { "authentication_failed",vtype_int,        &authentication_failed },
466 #ifdef WITH_CONTENT_SCAN
467   { "av_failed",           vtype_int,         &av_failed },
468 #endif
469 #ifdef EXPERIMENTAL_BRIGHTMAIL
470   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
471   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
472   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
473   { "bmi_deliver",         vtype_int,         &bmi_deliver },
474 #endif
475   { "body_linecount",      vtype_int,         &body_linecount },
476   { "body_zerocount",      vtype_int,         &body_zerocount },
477   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
478   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
479   { "caller_gid",          vtype_gid,         &real_gid },
480   { "caller_uid",          vtype_uid,         &real_uid },
481   { "callout_address",     vtype_stringptr,   &callout_address },
482   { "compile_date",        vtype_stringptr,   &version_date },
483   { "compile_number",      vtype_stringptr,   &version_cnumber },
484   { "config_dir",          vtype_stringptr,   &config_main_directory },
485   { "config_file",         vtype_stringptr,   &config_main_filename },
486   { "csa_status",          vtype_stringptr,   &csa_status },
487 #ifdef EXPERIMENTAL_DCC
488   { "dcc_header",          vtype_stringptr,   &dcc_header },
489   { "dcc_result",          vtype_stringptr,   &dcc_result },
490 #endif
491 #ifndef DISABLE_DKIM
492   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
493   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
494   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
495   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
496   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
497   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
498   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
499   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
500   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
501   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
502   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
503   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
504   { "dkim_key_length",     vtype_int,         &dkim_key_length },
505   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
506   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
507   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
508   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
509   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
510   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
511   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
512   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
513 #endif
514 #ifdef EXPERIMENTAL_DMARC
515   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
516   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
517   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
518   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
519   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
520 #endif
521   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
522   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
523   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
524   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
525   { "domain",              vtype_stringptr,   &deliver_domain },
526   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
527 #ifndef DISABLE_EVENT
528   { "event_data",          vtype_stringptr,   &event_data },
529
530   /*XXX want to use generic vars for as many of these as possible*/
531   { "event_defer_errno",   vtype_int,         &event_defer_errno },
532
533   { "event_name",          vtype_stringptr,   &event_name },
534 #endif
535   { "exim_gid",            vtype_gid,         &exim_gid },
536   { "exim_path",           vtype_stringptr,   &exim_path },
537   { "exim_uid",            vtype_uid,         &exim_uid },
538   { "exim_version",        vtype_stringptr,   &version_string },
539   { "headers_added",       vtype_string_func, &fn_hdrs_added },
540   { "home",                vtype_stringptr,   &deliver_home },
541   { "host",                vtype_stringptr,   &deliver_host },
542   { "host_address",        vtype_stringptr,   &deliver_host_address },
543   { "host_data",           vtype_stringptr,   &host_data },
544   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
545   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
546   { "host_port",           vtype_int,         &deliver_host_port },
547   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
548   { "inode",               vtype_ino,         &deliver_inode },
549   { "interface_address",   vtype_stringptr,   &interface_address },
550   { "interface_port",      vtype_int,         &interface_port },
551   { "item",                vtype_stringptr,   &iterate_item },
552   #ifdef LOOKUP_LDAP
553   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
554   #endif
555   { "load_average",        vtype_load_avg,    NULL },
556   { "local_part",          vtype_stringptr,   &deliver_localpart },
557   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
558   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
559   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
560   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
561   { "local_user_gid",      vtype_gid,         &local_user_gid },
562   { "local_user_uid",      vtype_uid,         &local_user_uid },
563   { "localhost_number",    vtype_int,         &host_number },
564   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
565   { "log_space",           vtype_pspace,      (void *)FALSE },
566   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
567   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
568 #ifdef WITH_CONTENT_SCAN
569   { "malware_name",        vtype_stringptr,   &malware_name },
570 #endif
571   { "max_received_linelength", vtype_int,     &max_received_linelength },
572   { "message_age",         vtype_int,         &message_age },
573   { "message_body",        vtype_msgbody,     &message_body },
574   { "message_body_end",    vtype_msgbody_end, &message_body_end },
575   { "message_body_size",   vtype_int,         &message_body_size },
576   { "message_exim_id",     vtype_stringptr,   &message_id },
577   { "message_headers",     vtype_msgheaders,  NULL },
578   { "message_headers_raw", vtype_msgheaders_raw, NULL },
579   { "message_id",          vtype_stringptr,   &message_id },
580   { "message_linecount",   vtype_int,         &message_linecount },
581   { "message_size",        vtype_int,         &message_size },
582 #ifdef SUPPORT_I18N
583   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
584 #endif
585 #ifdef WITH_CONTENT_SCAN
586   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
587   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
588   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
589   { "mime_charset",        vtype_stringptr,   &mime_charset },
590   { "mime_content_description", vtype_stringptr, &mime_content_description },
591   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
592   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
593   { "mime_content_size",   vtype_int,         &mime_content_size },
594   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
595   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
596   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
597   { "mime_filename",       vtype_stringptr,   &mime_filename },
598   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
599   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
600   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
601   { "mime_part_count",     vtype_int,         &mime_part_count },
602 #endif
603   { "n0",                  vtype_filter_int,  &filter_n[0] },
604   { "n1",                  vtype_filter_int,  &filter_n[1] },
605   { "n2",                  vtype_filter_int,  &filter_n[2] },
606   { "n3",                  vtype_filter_int,  &filter_n[3] },
607   { "n4",                  vtype_filter_int,  &filter_n[4] },
608   { "n5",                  vtype_filter_int,  &filter_n[5] },
609   { "n6",                  vtype_filter_int,  &filter_n[6] },
610   { "n7",                  vtype_filter_int,  &filter_n[7] },
611   { "n8",                  vtype_filter_int,  &filter_n[8] },
612   { "n9",                  vtype_filter_int,  &filter_n[9] },
613   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
614   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
615   { "originator_gid",      vtype_gid,         &originator_gid },
616   { "originator_uid",      vtype_uid,         &originator_uid },
617   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
618   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
619   { "pid",                 vtype_pid,         NULL },
620 #ifndef DISABLE_PRDR
621   { "prdr_requested",      vtype_bool,        &prdr_requested },
622 #endif
623   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
624 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
625   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
626   { "proxy_external_port", vtype_int,         &proxy_external_port },
627   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
628   { "proxy_local_port",    vtype_int,         &proxy_local_port },
629   { "proxy_session",       vtype_bool,        &proxy_session },
630 #endif
631   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
632   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
633   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
634   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
635   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
636   { "queue_name",          vtype_stringptr,   &queue_name },
637   { "rcpt_count",          vtype_int,         &rcpt_count },
638   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
639   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
640   { "received_count",      vtype_int,         &received_count },
641   { "received_for",        vtype_stringptr,   &received_for },
642   { "received_ip_address", vtype_stringptr,   &interface_address },
643   { "received_port",       vtype_int,         &interface_port },
644   { "received_protocol",   vtype_stringptr,   &received_protocol },
645   { "received_time",       vtype_int,         &received_time },
646   { "recipient_data",      vtype_stringptr,   &recipient_data },
647   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
648   { "recipients",          vtype_string_func, &fn_recipients },
649   { "recipients_count",    vtype_int,         &recipients_count },
650 #ifdef WITH_CONTENT_SCAN
651   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
652 #endif
653   { "reply_address",       vtype_reply,       NULL },
654   { "return_path",         vtype_stringptr,   &return_path },
655   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
656   { "router_name",         vtype_stringptr,   &router_name },
657   { "runrc",               vtype_int,         &runrc },
658   { "self_hostname",       vtype_stringptr,   &self_hostname },
659   { "sender_address",      vtype_stringptr,   &sender_address },
660   { "sender_address_data", vtype_stringptr,   &sender_address_data },
661   { "sender_address_domain", vtype_domain,    &sender_address },
662   { "sender_address_local_part", vtype_localpart, &sender_address },
663   { "sender_data",         vtype_stringptr,   &sender_data },
664   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
665   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
666   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
667   { "sender_host_address", vtype_stringptr,   &sender_host_address },
668   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
669   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
670   { "sender_host_name",    vtype_host_lookup, NULL },
671   { "sender_host_port",    vtype_int,         &sender_host_port },
672   { "sender_ident",        vtype_stringptr,   &sender_ident },
673   { "sender_rate",         vtype_stringptr,   &sender_rate },
674   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
675   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
676   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
677   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
678   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
679   { "sending_port",        vtype_int,         &sending_port },
680   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
681   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
682   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
683   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
684   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
685   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
686   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
687   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
688   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
689   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
690   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
691   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
692   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
693   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
694   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
695 #ifdef WITH_CONTENT_SCAN
696   { "spam_action",         vtype_stringptr,   &spam_action },
697   { "spam_bar",            vtype_stringptr,   &spam_bar },
698   { "spam_report",         vtype_stringptr,   &spam_report },
699   { "spam_score",          vtype_stringptr,   &spam_score },
700   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
701 #endif
702 #ifdef EXPERIMENTAL_SPF
703   { "spf_guess",           vtype_stringptr,   &spf_guess },
704   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
705   { "spf_received",        vtype_stringptr,   &spf_received },
706   { "spf_result",          vtype_stringptr,   &spf_result },
707   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
708 #endif
709   { "spool_directory",     vtype_stringptr,   &spool_directory },
710   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
711   { "spool_space",         vtype_pspace,      (void *)TRUE },
712 #ifdef EXPERIMENTAL_SRS
713   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
714   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
715   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
716   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
717   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
718   { "srs_status",          vtype_stringptr,   &srs_status },
719 #endif
720   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
721
722   /* The non-(in,out) variables are now deprecated */
723   { "tls_bits",            vtype_int,         &tls_in.bits },
724   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
725   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
726
727   { "tls_in_bits",         vtype_int,         &tls_in.bits },
728   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
729   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
730   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
731   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
732   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
733   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
734 #if defined(SUPPORT_TLS)
735   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
736 #endif
737   { "tls_out_bits",        vtype_int,         &tls_out.bits },
738   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
739   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
740 #ifdef EXPERIMENTAL_DANE
741   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
742 #endif
743   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
744   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
745   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
746   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
747 #if defined(SUPPORT_TLS)
748   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
749 #endif
750 #ifdef EXPERIMENTAL_DANE
751   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
752 #endif
753
754   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
755 #if defined(SUPPORT_TLS)
756   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
757 #endif
758
759   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
760   { "tod_epoch",           vtype_tode,        NULL },
761   { "tod_epoch_l",         vtype_todel,       NULL },
762   { "tod_full",            vtype_todf,        NULL },
763   { "tod_log",             vtype_todl,        NULL },
764   { "tod_logfile",         vtype_todlf,       NULL },
765   { "tod_zone",            vtype_todzone,     NULL },
766   { "tod_zulu",            vtype_todzulu,     NULL },
767   { "transport_name",      vtype_stringptr,   &transport_name },
768   { "value",               vtype_stringptr,   &lookup_value },
769   { "verify_mode",         vtype_stringptr,   &verify_mode },
770   { "version_number",      vtype_stringptr,   &version_string },
771   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
772   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
773   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
774   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
775   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
776   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
777 };
778
779 static int var_table_size = nelem(var_table);
780 static uschar var_buffer[256];
781 static BOOL malformed_header;
782
783 /* For textual hashes */
784
785 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
786                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
787                                "0123456789";
788
789 enum { HMAC_MD5, HMAC_SHA1 };
790
791 /* For numeric hashes */
792
793 static unsigned int prime[] = {
794   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
795  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
796  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
797
798 /* For printing modes in symbolic form */
799
800 static uschar *mtable_normal[] =
801   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
802
803 static uschar *mtable_setid[] =
804   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
805
806 static uschar *mtable_sticky[] =
807   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
808
809
810
811 /*************************************************
812 *           Tables for UTF-8 support             *
813 *************************************************/
814
815 /* Table of the number of extra characters, indexed by the first character
816 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
817 0x3d. */
818
819 static uschar utf8_table1[] = {
820   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
821   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
822   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
823   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
824
825 /* These are the masks for the data bits in the first byte of a character,
826 indexed by the number of additional bytes. */
827
828 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
829
830 /* Get the next UTF-8 character, advancing the pointer. */
831
832 #define GETUTF8INC(c, ptr) \
833   c = *ptr++; \
834   if ((c & 0xc0) == 0xc0) \
835     { \
836     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
837     int s = 6*a; \
838     c = (c & utf8_table2[a]) << s; \
839     while (a-- > 0) \
840       { \
841       s -= 6; \
842       c |= (*ptr++ & 0x3f) << s; \
843       } \
844     }
845
846
847
848 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
849
850 /*************************************************
851 *           Binary chop search on a table        *
852 *************************************************/
853
854 /* This is used for matching expansion items and operators.
855
856 Arguments:
857   name        the name that is being sought
858   table       the table to search
859   table_size  the number of items in the table
860
861 Returns:      the offset in the table, or -1
862 */
863
864 static int
865 chop_match(uschar *name, uschar **table, int table_size)
866 {
867 uschar **bot = table;
868 uschar **top = table + table_size;
869
870 while (top > bot)
871   {
872   uschar **mid = bot + (top - bot)/2;
873   int c = Ustrcmp(name, *mid);
874   if (c == 0) return mid - table;
875   if (c > 0) bot = mid + 1; else top = mid;
876   }
877
878 return -1;
879 }
880
881
882
883 /*************************************************
884 *          Check a condition string              *
885 *************************************************/
886
887 /* This function is called to expand a string, and test the result for a "true"
888 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
889 forced fail or lookup defer.
890
891 We used to release all store used, but this is not not safe due
892 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
893 is reasonably careful to release what it can.
894
895 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
896
897 Arguments:
898   condition     the condition string
899   m1            text to be incorporated in panic error
900   m2            ditto
901
902 Returns:        TRUE if condition is met, FALSE if not
903 */
904
905 BOOL
906 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
907 {
908 int rc;
909 uschar *ss = expand_string(condition);
910 if (ss == NULL)
911   {
912   if (!expand_string_forcedfail && !search_find_defer)
913     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
914       "for %s %s: %s", condition, m1, m2, expand_string_message);
915   return FALSE;
916   }
917 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
918   strcmpic(ss, US"false") != 0;
919 return rc;
920 }
921
922
923
924
925 /*************************************************
926 *        Pseudo-random number generation         *
927 *************************************************/
928
929 /* Pseudo-random number generation.  The result is not "expected" to be
930 cryptographically strong but not so weak that someone will shoot themselves
931 in the foot using it as a nonce in some email header scheme or whatever
932 weirdness they'll twist this into.  The result should ideally handle fork().
933
934 However, if we're stuck unable to provide this, then we'll fall back to
935 appallingly bad randomness.
936
937 If SUPPORT_TLS is defined then this will not be used except as an emergency
938 fallback.
939
940 Arguments:
941   max       range maximum
942 Returns     a random number in range [0, max-1]
943 */
944
945 #ifdef SUPPORT_TLS
946 # define vaguely_random_number vaguely_random_number_fallback
947 #endif
948 int
949 vaguely_random_number(int max)
950 {
951 #ifdef SUPPORT_TLS
952 # undef vaguely_random_number
953 #endif
954   static pid_t pid = 0;
955   pid_t p2;
956 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
957   struct timeval tv;
958 #endif
959
960   p2 = getpid();
961   if (p2 != pid)
962     {
963     if (pid != 0)
964       {
965
966 #ifdef HAVE_ARC4RANDOM
967       /* cryptographically strong randomness, common on *BSD platforms, not
968       so much elsewhere.  Alas. */
969 #ifndef NOT_HAVE_ARC4RANDOM_STIR
970       arc4random_stir();
971 #endif
972 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
973 #ifdef HAVE_SRANDOMDEV
974       /* uses random(4) for seeding */
975       srandomdev();
976 #else
977       gettimeofday(&tv, NULL);
978       srandom(tv.tv_sec | tv.tv_usec | getpid());
979 #endif
980 #else
981       /* Poor randomness and no seeding here */
982 #endif
983
984       }
985     pid = p2;
986     }
987
988 #ifdef HAVE_ARC4RANDOM
989   return arc4random() % max;
990 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
991   return random() % max;
992 #else
993   /* This one returns a 16-bit number, definitely not crypto-strong */
994   return random_number(max);
995 #endif
996 }
997
998
999
1000
1001 /*************************************************
1002 *             Pick out a name from a string      *
1003 *************************************************/
1004
1005 /* If the name is too long, it is silently truncated.
1006
1007 Arguments:
1008   name      points to a buffer into which to put the name
1009   max       is the length of the buffer
1010   s         points to the first alphabetic character of the name
1011   extras    chars other than alphanumerics to permit
1012
1013 Returns:    pointer to the first character after the name
1014
1015 Note: The test for *s != 0 in the while loop is necessary because
1016 Ustrchr() yields non-NULL if the character is zero (which is not something
1017 I expected). */
1018
1019 static const uschar *
1020 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1021 {
1022 int ptr = 0;
1023 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1024   {
1025   if (ptr < max-1) name[ptr++] = *s;
1026   s++;
1027   }
1028 name[ptr] = 0;
1029 return s;
1030 }
1031
1032
1033
1034 /*************************************************
1035 *     Pick out the rest of a header name         *
1036 *************************************************/
1037
1038 /* A variable name starting $header_ (or just $h_ for those who like
1039 abbreviations) might not be the complete header name because headers can
1040 contain any printing characters in their names, except ':'. This function is
1041 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1042 on the end, if the name was terminated by white space.
1043
1044 Arguments:
1045   name      points to a buffer in which the name read so far exists
1046   max       is the length of the buffer
1047   s         points to the first character after the name so far, i.e. the
1048             first non-alphameric character after $header_xxxxx
1049
1050 Returns:    a pointer to the first character after the header name
1051 */
1052
1053 static const uschar *
1054 read_header_name(uschar *name, int max, const uschar *s)
1055 {
1056 int prelen = Ustrchr(name, '_') - name + 1;
1057 int ptr = Ustrlen(name) - prelen;
1058 if (ptr > 0) memmove(name, name+prelen, ptr);
1059 while (mac_isgraph(*s) && *s != ':')
1060   {
1061   if (ptr < max-1) name[ptr++] = *s;
1062   s++;
1063   }
1064 if (*s == ':') s++;
1065 name[ptr++] = ':';
1066 name[ptr] = 0;
1067 return s;
1068 }
1069
1070
1071
1072 /*************************************************
1073 *           Pick out a number from a string      *
1074 *************************************************/
1075
1076 /* Arguments:
1077   n     points to an integer into which to put the number
1078   s     points to the first digit of the number
1079
1080 Returns:  a pointer to the character after the last digit
1081 */
1082 /*XXX consider expanding to int_eximarith_t.  But the test for
1083 "overbig numbers" in 0002 still needs to overflow it. */
1084
1085 static uschar *
1086 read_number(int *n, uschar *s)
1087 {
1088 *n = 0;
1089 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1090 return s;
1091 }
1092
1093 static const uschar *
1094 read_cnumber(int *n, const uschar *s)
1095 {
1096 *n = 0;
1097 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1098 return s;
1099 }
1100
1101
1102
1103 /*************************************************
1104 *        Extract keyed subfield from a string    *
1105 *************************************************/
1106
1107 /* The yield is in dynamic store; NULL means that the key was not found.
1108
1109 Arguments:
1110   key       points to the name of the key
1111   s         points to the string from which to extract the subfield
1112
1113 Returns:    NULL if the subfield was not found, or
1114             a pointer to the subfield's data
1115 */
1116
1117 static uschar *
1118 expand_getkeyed(uschar *key, const uschar *s)
1119 {
1120 int length = Ustrlen(key);
1121 while (isspace(*s)) s++;
1122
1123 /* Loop to search for the key */
1124
1125 while (*s != 0)
1126   {
1127   int dkeylength;
1128   uschar *data;
1129   const uschar *dkey = s;
1130
1131   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1132   dkeylength = s - dkey;
1133   while (isspace(*s)) s++;
1134   if (*s == '=') while (isspace((*(++s))));
1135
1136   data = string_dequote(&s);
1137   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1138     return data;
1139
1140   while (isspace(*s)) s++;
1141   }
1142
1143 return NULL;
1144 }
1145
1146
1147
1148 static var_entry *
1149 find_var_ent(uschar * name)
1150 {
1151 int first = 0;
1152 int last = var_table_size;
1153
1154 while (last > first)
1155   {
1156   int middle = (first + last)/2;
1157   int c = Ustrcmp(name, var_table[middle].name);
1158
1159   if (c > 0) { first = middle + 1; continue; }
1160   if (c < 0) { last = middle; continue; }
1161   return &var_table[middle];
1162   }
1163 return NULL;
1164 }
1165
1166 /*************************************************
1167 *   Extract numbered subfield from string        *
1168 *************************************************/
1169
1170 /* Extracts a numbered field from a string that is divided by tokens - for
1171 example a line from /etc/passwd is divided by colon characters.  First field is
1172 numbered one.  Negative arguments count from the right. Zero returns the whole
1173 string. Returns NULL if there are insufficient tokens in the string
1174
1175 ***WARNING***
1176 Modifies final argument - this is a dynamically generated string, so that's OK.
1177
1178 Arguments:
1179   field       number of field to be extracted,
1180                 first field = 1, whole string = 0, last field = -1
1181   separators  characters that are used to break string into tokens
1182   s           points to the string from which to extract the subfield
1183
1184 Returns:      NULL if the field was not found,
1185               a pointer to the field's data inside s (modified to add 0)
1186 */
1187
1188 static uschar *
1189 expand_gettokened (int field, uschar *separators, uschar *s)
1190 {
1191 int sep = 1;
1192 int count;
1193 uschar *ss = s;
1194 uschar *fieldtext = NULL;
1195
1196 if (field == 0) return s;
1197
1198 /* Break the line up into fields in place; for field > 0 we stop when we have
1199 done the number of fields we want. For field < 0 we continue till the end of
1200 the string, counting the number of fields. */
1201
1202 count = (field > 0)? field : INT_MAX;
1203
1204 while (count-- > 0)
1205   {
1206   size_t len;
1207
1208   /* Previous field was the last one in the string. For a positive field
1209   number, this means there are not enough fields. For a negative field number,
1210   check that there are enough, and scan back to find the one that is wanted. */
1211
1212   if (sep == 0)
1213     {
1214     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1215     if ((-field) == (INT_MAX - count - 1)) return s;
1216     while (field++ < 0)
1217       {
1218       ss--;
1219       while (ss[-1] != 0) ss--;
1220       }
1221     fieldtext = ss;
1222     break;
1223     }
1224
1225   /* Previous field was not last in the string; save its start and put a
1226   zero at its end. */
1227
1228   fieldtext = ss;
1229   len = Ustrcspn(ss, separators);
1230   sep = ss[len];
1231   ss[len] = 0;
1232   ss += len + 1;
1233   }
1234
1235 return fieldtext;
1236 }
1237
1238
1239 static uschar *
1240 expand_getlistele(int field, const uschar * list)
1241 {
1242 const uschar * tlist= list;
1243 int sep= 0;
1244 uschar dummy;
1245
1246 if(field<0)
1247   {
1248   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1249   sep= 0;
1250   }
1251 if(field==0) return NULL;
1252 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1253 return string_nextinlist(&list, &sep, NULL, 0);
1254 }
1255
1256
1257 /* Certificate fields, by name.  Worry about by-OID later */
1258 /* Names are chosen to not have common prefixes */
1259
1260 #ifdef SUPPORT_TLS
1261 typedef struct
1262 {
1263 uschar * name;
1264 int      namelen;
1265 uschar * (*getfn)(void * cert, uschar * mod);
1266 } certfield;
1267 static certfield certfields[] =
1268 {                       /* linear search; no special order */
1269   { US"version",         7,  &tls_cert_version },
1270   { US"serial_number",   13, &tls_cert_serial_number },
1271   { US"subject",         7,  &tls_cert_subject },
1272   { US"notbefore",       9,  &tls_cert_not_before },
1273   { US"notafter",        8,  &tls_cert_not_after },
1274   { US"issuer",          6,  &tls_cert_issuer },
1275   { US"signature",       9,  &tls_cert_signature },
1276   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1277   { US"subj_altname",    12, &tls_cert_subject_altname },
1278   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1279   { US"crl_uri",         7,  &tls_cert_crl_uri },
1280 };
1281
1282 static uschar *
1283 expand_getcertele(uschar * field, uschar * certvar)
1284 {
1285 var_entry * vp;
1286 certfield * cp;
1287
1288 if (!(vp = find_var_ent(certvar)))
1289   {
1290   expand_string_message =
1291     string_sprintf("no variable named \"%s\"", certvar);
1292   return NULL;          /* Unknown variable name */
1293   }
1294 /* NB this stops us passing certs around in variable.  Might
1295 want to do that in future */
1296 if (vp->type != vtype_cert)
1297   {
1298   expand_string_message =
1299     string_sprintf("\"%s\" is not a certificate", certvar);
1300   return NULL;          /* Unknown variable name */
1301   }
1302 if (!*(void **)vp->value)
1303   return NULL;
1304
1305 if (*field >= '0' && *field <= '9')
1306   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1307
1308 for(cp = certfields;
1309     cp < certfields + nelem(certfields);
1310     cp++)
1311   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1312     {
1313     uschar * modifier = *(field += cp->namelen) == ','
1314       ? ++field : NULL;
1315     return (*cp->getfn)( *(void **)vp->value, modifier );
1316     }
1317
1318 expand_string_message =
1319   string_sprintf("bad field selector \"%s\" for certextract", field);
1320 return NULL;
1321 }
1322 #endif  /*SUPPORT_TLS*/
1323
1324 /*************************************************
1325 *        Extract a substring from a string       *
1326 *************************************************/
1327
1328 /* Perform the ${substr or ${length expansion operations.
1329
1330 Arguments:
1331   subject     the input string
1332   value1      the offset from the start of the input string to the start of
1333                 the output string; if negative, count from the right.
1334   value2      the length of the output string, or negative (-1) for unset
1335                 if value1 is positive, unset means "all after"
1336                 if value1 is negative, unset means "all before"
1337   len         set to the length of the returned string
1338
1339 Returns:      pointer to the output string, or NULL if there is an error
1340 */
1341
1342 static uschar *
1343 extract_substr(uschar *subject, int value1, int value2, int *len)
1344 {
1345 int sublen = Ustrlen(subject);
1346
1347 if (value1 < 0)    /* count from right */
1348   {
1349   value1 += sublen;
1350
1351   /* If the position is before the start, skip to the start, and adjust the
1352   length. If the length ends up negative, the substring is null because nothing
1353   can precede. This falls out naturally when the length is unset, meaning "all
1354   to the left". */
1355
1356   if (value1 < 0)
1357     {
1358     value2 += value1;
1359     if (value2 < 0) value2 = 0;
1360     value1 = 0;
1361     }
1362
1363   /* Otherwise an unset length => characters before value1 */
1364
1365   else if (value2 < 0)
1366     {
1367     value2 = value1;
1368     value1 = 0;
1369     }
1370   }
1371
1372 /* For a non-negative offset, if the starting position is past the end of the
1373 string, the result will be the null string. Otherwise, an unset length means
1374 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1375
1376 else
1377   {
1378   if (value1 > sublen)
1379     {
1380     value1 = sublen;
1381     value2 = 0;
1382     }
1383   else if (value2 < 0) value2 = sublen;
1384   }
1385
1386 /* Cut the length down to the maximum possible for the offset value, and get
1387 the required characters. */
1388
1389 if (value1 + value2 > sublen) value2 = sublen - value1;
1390 *len = value2;
1391 return subject + value1;
1392 }
1393
1394
1395
1396
1397 /*************************************************
1398 *            Old-style hash of a string          *
1399 *************************************************/
1400
1401 /* Perform the ${hash expansion operation.
1402
1403 Arguments:
1404   subject     the input string (an expanded substring)
1405   value1      the length of the output string; if greater or equal to the
1406                 length of the input string, the input string is returned
1407   value2      the number of hash characters to use, or 26 if negative
1408   len         set to the length of the returned string
1409
1410 Returns:      pointer to the output string, or NULL if there is an error
1411 */
1412
1413 static uschar *
1414 compute_hash(uschar *subject, int value1, int value2, int *len)
1415 {
1416 int sublen = Ustrlen(subject);
1417
1418 if (value2 < 0) value2 = 26;
1419 else if (value2 > Ustrlen(hashcodes))
1420   {
1421   expand_string_message =
1422     string_sprintf("hash count \"%d\" too big", value2);
1423   return NULL;
1424   }
1425
1426 /* Calculate the hash text. We know it is shorter than the original string, so
1427 can safely place it in subject[] (we know that subject is always itself an
1428 expanded substring). */
1429
1430 if (value1 < sublen)
1431   {
1432   int c;
1433   int i = 0;
1434   int j = value1;
1435   while ((c = (subject[j])) != 0)
1436     {
1437     int shift = (c + j++) & 7;
1438     subject[i] ^= (c << shift) | (c >> (8-shift));
1439     if (++i >= value1) i = 0;
1440     }
1441   for (i = 0; i < value1; i++)
1442     subject[i] = hashcodes[(subject[i]) % value2];
1443   }
1444 else value1 = sublen;
1445
1446 *len = value1;
1447 return subject;
1448 }
1449
1450
1451
1452
1453 /*************************************************
1454 *             Numeric hash of a string           *
1455 *************************************************/
1456
1457 /* Perform the ${nhash expansion operation. The first characters of the
1458 string are treated as most important, and get the highest prime numbers.
1459
1460 Arguments:
1461   subject     the input string
1462   value1      the maximum value of the first part of the result
1463   value2      the maximum value of the second part of the result,
1464                 or negative to produce only a one-part result
1465   len         set to the length of the returned string
1466
1467 Returns:  pointer to the output string, or NULL if there is an error.
1468 */
1469
1470 static uschar *
1471 compute_nhash (uschar *subject, int value1, int value2, int *len)
1472 {
1473 uschar *s = subject;
1474 int i = 0;
1475 unsigned long int total = 0; /* no overflow */
1476
1477 while (*s != 0)
1478   {
1479   if (i == 0) i = nelem(prime) - 1;
1480   total += prime[i--] * (unsigned int)(*s++);
1481   }
1482
1483 /* If value2 is unset, just compute one number */
1484
1485 if (value2 < 0)
1486   {
1487   s = string_sprintf("%d", total % value1);
1488   }
1489
1490 /* Otherwise do a div/mod hash */
1491
1492 else
1493   {
1494   total = total % (value1 * value2);
1495   s = string_sprintf("%d/%d", total/value2, total % value2);
1496   }
1497
1498 *len = Ustrlen(s);
1499 return s;
1500 }
1501
1502
1503
1504
1505
1506 /*************************************************
1507 *     Find the value of a header or headers      *
1508 *************************************************/
1509
1510 /* Multiple instances of the same header get concatenated, and this function
1511 can also return a concatenation of all the header lines. When concatenating
1512 specific headers that contain lists of addresses, a comma is inserted between
1513 them. Otherwise we use a straight concatenation. Because some messages can have
1514 pathologically large number of lines, there is a limit on the length that is
1515 returned. Also, to avoid massive store use which would result from using
1516 string_cat() as it copies and extends strings, we do a preliminary pass to find
1517 out exactly how much store will be needed. On "normal" messages this will be
1518 pretty trivial.
1519
1520 Arguments:
1521   name          the name of the header, without the leading $header_ or $h_,
1522                 or NULL if a concatenation of all headers is required
1523   exists_only   TRUE if called from a def: test; don't need to build a string;
1524                 just return a string that is not "" and not "0" if the header
1525                 exists
1526   newsize       return the size of memory block that was obtained; may be NULL
1527                 if exists_only is TRUE
1528   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1529                 other than concatenating, will be done on the header. Also used
1530                 for $message_headers_raw.
1531   charset       name of charset to translate MIME words to; used only if
1532                 want_raw is false; if NULL, no translation is done (this is
1533                 used for $bh_ and $bheader_)
1534
1535 Returns:        NULL if the header does not exist, else a pointer to a new
1536                 store block
1537 */
1538
1539 static uschar *
1540 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1541   uschar *charset)
1542 {
1543 BOOL found = name == NULL;
1544 int comma = 0;
1545 int len = found? 0 : Ustrlen(name);
1546 int i;
1547 uschar *yield = NULL;
1548 uschar *ptr = NULL;
1549
1550 /* Loop for two passes - saves code repetition */
1551
1552 for (i = 0; i < 2; i++)
1553   {
1554   int size = 0;
1555   header_line *h;
1556
1557   for (h = header_list; size < header_insert_maxlen && h; h = h->next)
1558     if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1559       if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1560         {
1561         int ilen;
1562         uschar *t;
1563
1564         if (exists_only) return US"1";      /* don't need actual string */
1565         found = TRUE;
1566         t = h->text + len;                  /* text to insert */
1567         if (!want_raw)                      /* unless wanted raw, */
1568           while (isspace(*t)) t++;          /* remove leading white space */
1569         ilen = h->slen - (t - h->text);     /* length to insert */
1570
1571         /* Unless wanted raw, remove trailing whitespace, including the
1572         newline. */
1573
1574         if (!want_raw)
1575           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1576
1577         /* Set comma = 1 if handling a single header and it's one of those
1578         that contains an address list, except when asked for raw headers. Only
1579         need to do this once. */
1580
1581         if (!want_raw && name && comma == 0 &&
1582             Ustrchr("BCFRST", h->type) != NULL)
1583           comma = 1;
1584
1585         /* First pass - compute total store needed; second pass - compute
1586         total store used, including this header. */
1587
1588         size += ilen + comma + 1;  /* +1 for the newline */
1589
1590         /* Second pass - concatenate the data, up to a maximum. Note that
1591         the loop stops when size hits the limit. */
1592
1593         if (i != 0)
1594           {
1595           if (size > header_insert_maxlen)
1596             {
1597             ilen -= size - header_insert_maxlen - 1;
1598             comma = 0;
1599             }
1600           Ustrncpy(ptr, t, ilen);
1601           ptr += ilen;
1602
1603           /* For a non-raw header, put in the comma if needed, then add
1604           back the newline we removed above, provided there was some text in
1605           the header. */
1606
1607           if (!want_raw && ilen > 0)
1608             {
1609             if (comma != 0) *ptr++ = ',';
1610             *ptr++ = '\n';
1611             }
1612           }
1613         }
1614
1615   /* At end of first pass, return NULL if no header found. Then truncate size
1616   if necessary, and get the buffer to hold the data, returning the buffer size.
1617   */
1618
1619   if (i == 0)
1620     {
1621     if (!found) return NULL;
1622     if (size > header_insert_maxlen) size = header_insert_maxlen;
1623     *newsize = size + 1;
1624     ptr = yield = store_get(*newsize);
1625     }
1626   }
1627
1628 /* That's all we do for raw header expansion. */
1629
1630 if (want_raw)
1631   *ptr = 0;
1632
1633 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1634 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1635 function can return an error with decoded data if the charset translation
1636 fails. If decoding fails, it returns NULL. */
1637
1638 else
1639   {
1640   uschar *decoded, *error;
1641   if (ptr > yield && ptr[-1] == '\n') ptr--;
1642   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1643   *ptr = 0;
1644   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1645     newsize, &error);
1646   if (error != NULL)
1647     {
1648     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1649       "    input was: %s\n", error, yield);
1650     }
1651   if (decoded != NULL) yield = decoded;
1652   }
1653
1654 return yield;
1655 }
1656
1657
1658
1659
1660 /*************************************************
1661 *               Return list of recipients        *
1662 *************************************************/
1663 /* A recipients list is available only during system message filtering,
1664 during ACL processing after DATA, and while expanding pipe commands
1665 generated from a system filter, but not elsewhere. */
1666
1667 static uschar *
1668 fn_recipients(void)
1669 {
1670 if (!enable_dollar_recipients) return NULL; else
1671   {
1672   int size = 128;
1673   int ptr = 0;
1674   int i;
1675   uschar * s = store_get(size);
1676   for (i = 0; i < recipients_count; i++)
1677     {
1678     if (i != 0) s = string_catn(s, &size, &ptr, US", ", 2);
1679     s = string_cat(s, &size, &ptr, recipients_list[i].address);
1680     }
1681   s[ptr] = 0;     /* string_cat() leaves room */
1682   return s;
1683   }
1684 }
1685
1686
1687 /*************************************************
1688 *               Find value of a variable         *
1689 *************************************************/
1690
1691 /* The table of variables is kept in alphabetic order, so we can search it
1692 using a binary chop. The "choplen" variable is nothing to do with the binary
1693 chop.
1694
1695 Arguments:
1696   name          the name of the variable being sought
1697   exists_only   TRUE if this is a def: test; passed on to find_header()
1698   skipping      TRUE => skip any processing evaluation; this is not the same as
1699                   exists_only because def: may test for values that are first
1700                   evaluated here
1701   newsize       pointer to an int which is initially zero; if the answer is in
1702                 a new memory buffer, *newsize is set to its size
1703
1704 Returns:        NULL if the variable does not exist, or
1705                 a pointer to the variable's contents, or
1706                 something non-NULL if exists_only is TRUE
1707 */
1708
1709 static uschar *
1710 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1711 {
1712 var_entry * vp;
1713 uschar *s, *domain;
1714 uschar **ss;
1715 void * val;
1716
1717 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1718 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1719 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1720 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1721 (this gave backwards compatibility at the changeover). There may be built-in
1722 variables whose names start acl_ but they should never start in this way. This
1723 slightly messy specification is a consequence of the history, needless to say.
1724
1725 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1726 set, in which case give an error. */
1727
1728 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1729      !isalpha(name[5]))
1730   {
1731   tree_node *node =
1732     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1733   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1734   }
1735
1736 /* Handle $auth<n> variables. */
1737
1738 if (Ustrncmp(name, "auth", 4) == 0)
1739   {
1740   uschar *endptr;
1741   int n = Ustrtoul(name + 4, &endptr, 10);
1742   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1743     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1744   }
1745 else if (Ustrncmp(name, "regex", 5) == 0)
1746   {
1747   uschar *endptr;
1748   int n = Ustrtoul(name + 5, &endptr, 10);
1749   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1750     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1751   }
1752
1753 /* For all other variables, search the table */
1754
1755 if (!(vp = find_var_ent(name)))
1756   return NULL;          /* Unknown variable name */
1757
1758 /* Found an existing variable. If in skipping state, the value isn't needed,
1759 and we want to avoid processing (such as looking up the host name). */
1760
1761 if (skipping)
1762   return US"";
1763
1764 val = vp->value;
1765 switch (vp->type)
1766   {
1767   case vtype_filter_int:
1768     if (!filter_running) return NULL;
1769     /* Fall through */
1770     /* VVVVVVVVVVVV */
1771   case vtype_int:
1772     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1773     return var_buffer;
1774
1775   case vtype_ino:
1776     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1777     return var_buffer;
1778
1779   case vtype_gid:
1780     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1781     return var_buffer;
1782
1783   case vtype_uid:
1784     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1785     return var_buffer;
1786
1787   case vtype_bool:
1788     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1789     return var_buffer;
1790
1791   case vtype_stringptr:                      /* Pointer to string */
1792     return (s = *((uschar **)(val))) ? s : US"";
1793
1794   case vtype_pid:
1795     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1796     return var_buffer;
1797
1798   case vtype_load_avg:
1799     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1800     return var_buffer;
1801
1802   case vtype_host_lookup:                    /* Lookup if not done so */
1803     if (sender_host_name == NULL && sender_host_address != NULL &&
1804         !host_lookup_failed && host_name_lookup() == OK)
1805       host_build_sender_fullhost();
1806     return (sender_host_name == NULL)? US"" : sender_host_name;
1807
1808   case vtype_localpart:                      /* Get local part from address */
1809     s = *((uschar **)(val));
1810     if (s == NULL) return US"";
1811     domain = Ustrrchr(s, '@');
1812     if (domain == NULL) return s;
1813     if (domain - s > sizeof(var_buffer) - 1)
1814       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1815           " in string expansion", sizeof(var_buffer));
1816     Ustrncpy(var_buffer, s, domain - s);
1817     var_buffer[domain - s] = 0;
1818     return var_buffer;
1819
1820   case vtype_domain:                         /* Get domain from address */
1821     s = *((uschar **)(val));
1822     if (s == NULL) return US"";
1823     domain = Ustrrchr(s, '@');
1824     return (domain == NULL)? US"" : domain + 1;
1825
1826   case vtype_msgheaders:
1827     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1828
1829   case vtype_msgheaders_raw:
1830     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1831
1832   case vtype_msgbody:                        /* Pointer to msgbody string */
1833   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1834     ss = (uschar **)(val);
1835     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1836       {
1837       uschar *body;
1838       off_t start_offset = SPOOL_DATA_START_OFFSET;
1839       int len = message_body_visible;
1840       if (len > message_size) len = message_size;
1841       *ss = body = store_malloc(len+1);
1842       body[0] = 0;
1843       if (vp->type == vtype_msgbody_end)
1844         {
1845         struct stat statbuf;
1846         if (fstat(deliver_datafile, &statbuf) == 0)
1847           {
1848           start_offset = statbuf.st_size - len;
1849           if (start_offset < SPOOL_DATA_START_OFFSET)
1850             start_offset = SPOOL_DATA_START_OFFSET;
1851           }
1852         }
1853       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1854         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1855           strerror(errno));
1856       len = read(deliver_datafile, body, len);
1857       if (len > 0)
1858         {
1859         body[len] = 0;
1860         if (message_body_newlines)   /* Separate loops for efficiency */
1861           while (len > 0)
1862             { if (body[--len] == 0) body[len] = ' '; }
1863         else
1864           while (len > 0)
1865             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1866         }
1867       }
1868     return (*ss == NULL)? US"" : *ss;
1869
1870   case vtype_todbsdin:                       /* BSD inbox time of day */
1871     return tod_stamp(tod_bsdin);
1872
1873   case vtype_tode:                           /* Unix epoch time of day */
1874     return tod_stamp(tod_epoch);
1875
1876   case vtype_todel:                          /* Unix epoch/usec time of day */
1877     return tod_stamp(tod_epoch_l);
1878
1879   case vtype_todf:                           /* Full time of day */
1880     return tod_stamp(tod_full);
1881
1882   case vtype_todl:                           /* Log format time of day */
1883     return tod_stamp(tod_log_bare);            /* (without timezone) */
1884
1885   case vtype_todzone:                        /* Time zone offset only */
1886     return tod_stamp(tod_zone);
1887
1888   case vtype_todzulu:                        /* Zulu time */
1889     return tod_stamp(tod_zulu);
1890
1891   case vtype_todlf:                          /* Log file datestamp tod */
1892     return tod_stamp(tod_log_datestamp_daily);
1893
1894   case vtype_reply:                          /* Get reply address */
1895     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1896       headers_charset);
1897     if (s != NULL) while (isspace(*s)) s++;
1898     if (s == NULL || *s == 0)
1899       {
1900       *newsize = 0;                            /* For the *s==0 case */
1901       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1902       }
1903     if (s != NULL)
1904       {
1905       uschar *t;
1906       while (isspace(*s)) s++;
1907       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1908       while (t > s && isspace(t[-1])) t--;
1909       *t = 0;
1910       }
1911     return (s == NULL)? US"" : s;
1912
1913   case vtype_string_func:
1914     {
1915     uschar * (*fn)() = val;
1916     return fn();
1917     }
1918
1919   case vtype_pspace:
1920     {
1921     int inodes;
1922     sprintf(CS var_buffer, "%d",
1923       receive_statvfs(val == (void *)TRUE, &inodes));
1924     }
1925   return var_buffer;
1926
1927   case vtype_pinodes:
1928     {
1929     int inodes;
1930     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1931     sprintf(CS var_buffer, "%d", inodes);
1932     }
1933   return var_buffer;
1934
1935   case vtype_cert:
1936     return *(void **)val ? US"<cert>" : US"";
1937
1938 #ifndef DISABLE_DKIM
1939   case vtype_dkim:
1940     return dkim_exim_expand_query((int)(long)val);
1941 #endif
1942
1943   }
1944
1945 return NULL;  /* Unknown variable. Silences static checkers. */
1946 }
1947
1948
1949
1950
1951 void
1952 modify_variable(uschar *name, void * value)
1953 {
1954 var_entry * vp;
1955 if ((vp = find_var_ent(name))) vp->value = value;
1956 return;          /* Unknown variable name, fail silently */
1957 }
1958
1959
1960
1961
1962
1963
1964 /*************************************************
1965 *           Read and expand substrings           *
1966 *************************************************/
1967
1968 /* This function is called to read and expand argument substrings for various
1969 expansion items. Some have a minimum requirement that is less than the maximum;
1970 in these cases, the first non-present one is set to NULL.
1971
1972 Arguments:
1973   sub        points to vector of pointers to set
1974   n          maximum number of substrings
1975   m          minimum required
1976   sptr       points to current string pointer
1977   skipping   the skipping flag
1978   check_end  if TRUE, check for final '}'
1979   name       name of item, for error message
1980   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1981              the store.
1982
1983 Returns:     0 OK; string pointer updated
1984              1 curly bracketing error (too few arguments)
1985              2 too many arguments (only if check_end is set); message set
1986              3 other error (expansion failure)
1987 */
1988
1989 static int
1990 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1991   BOOL check_end, uschar *name, BOOL *resetok)
1992 {
1993 int i;
1994 const uschar *s = *sptr;
1995
1996 while (isspace(*s)) s++;
1997 for (i = 0; i < n; i++)
1998   {
1999   if (*s != '{')
2000     {
2001     if (i < m)
2002       {
2003       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2004         "(min is %d)", name, m);
2005       return 1;
2006       }
2007     sub[i] = NULL;
2008     break;
2009     }
2010   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2011     return 3;
2012   if (*s++ != '}') return 1;
2013   while (isspace(*s)) s++;
2014   }
2015 if (check_end && *s++ != '}')
2016   {
2017   if (s[-1] == '{')
2018     {
2019     expand_string_message = string_sprintf("Too many arguments for '%s' "
2020       "(max is %d)", name, n);
2021     return 2;
2022     }
2023   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2024   return 1;
2025   }
2026
2027 *sptr = s;
2028 return 0;
2029 }
2030
2031
2032
2033
2034 /*************************************************
2035 *     Elaborate message for bad variable         *
2036 *************************************************/
2037
2038 /* For the "unknown variable" message, take a look at the variable's name, and
2039 give additional information about possible ACL variables. The extra information
2040 is added on to expand_string_message.
2041
2042 Argument:   the name of the variable
2043 Returns:    nothing
2044 */
2045
2046 static void
2047 check_variable_error_message(uschar *name)
2048 {
2049 if (Ustrncmp(name, "acl_", 4) == 0)
2050   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2051     (name[4] == 'c' || name[4] == 'm')?
2052       (isalpha(name[5])?
2053         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2054         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2055       ) :
2056       US"user-defined ACL variables must start acl_c or acl_m");
2057 }
2058
2059
2060
2061 /*
2062 Load args from sub array to globals, and call acl_check().
2063 Sub array will be corrupted on return.
2064
2065 Returns:       OK         access is granted by an ACCEPT verb
2066                DISCARD    access is (apparently) granted by a DISCARD verb
2067                FAIL       access is denied
2068                FAIL_DROP  access is denied; drop the connection
2069                DEFER      can't tell at the moment
2070                ERROR      disaster
2071 */
2072 static int
2073 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2074 {
2075 int i;
2076 int sav_narg = acl_narg;
2077 int ret;
2078 uschar * dummy_logmsg;
2079 extern int acl_where;
2080
2081 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2082 for (i = 0; i < nsub && sub[i+1]; i++)
2083   {
2084   uschar * tmp = acl_arg[i];
2085   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2086   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2087   }
2088 acl_narg = i;
2089 while (i < nsub)
2090   {
2091   sub[i+1] = acl_arg[i];
2092   acl_arg[i++] = NULL;
2093   }
2094
2095 DEBUG(D_expand)
2096   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2097     sub[0],
2098     acl_narg>0 ? acl_arg[0] : US"<none>",
2099     acl_narg>1 ? " +more"   : "");
2100
2101 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2102
2103 for (i = 0; i < nsub; i++)
2104   acl_arg[i] = sub[i+1];        /* restore old args */
2105 acl_narg = sav_narg;
2106
2107 return ret;
2108 }
2109
2110
2111
2112
2113 /*************************************************
2114 *        Read and evaluate a condition           *
2115 *************************************************/
2116
2117 /*
2118 Arguments:
2119   s        points to the start of the condition text
2120   resetok  points to a BOOL which is written false if it is unsafe to
2121            free memory. Certain condition types (acl) may have side-effect
2122            allocation which must be preserved.
2123   yield    points to a BOOL to hold the result of the condition test;
2124            if NULL, we are just reading through a condition that is
2125            part of an "or" combination to check syntax, or in a state
2126            where the answer isn't required
2127
2128 Returns:   a pointer to the first character after the condition, or
2129            NULL after an error
2130 */
2131
2132 static const uschar *
2133 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2134 {
2135 BOOL testfor = TRUE;
2136 BOOL tempcond, combined_cond;
2137 BOOL *subcondptr;
2138 BOOL sub2_honour_dollar = TRUE;
2139 int i, rc, cond_type, roffset;
2140 int_eximarith_t num[2];
2141 struct stat statbuf;
2142 uschar name[256];
2143 const uschar *sub[10];
2144
2145 const pcre *re;
2146 const uschar *rerror;
2147
2148 for (;;)
2149   {
2150   while (isspace(*s)) s++;
2151   if (*s == '!') { testfor = !testfor; s++; } else break;
2152   }
2153
2154 /* Numeric comparisons are symbolic */
2155
2156 if (*s == '=' || *s == '>' || *s == '<')
2157   {
2158   int p = 0;
2159   name[p++] = *s++;
2160   if (*s == '=')
2161     {
2162     name[p++] = '=';
2163     s++;
2164     }
2165   name[p] = 0;
2166   }
2167
2168 /* All other conditions are named */
2169
2170 else s = read_name(name, 256, s, US"_");
2171
2172 /* If we haven't read a name, it means some non-alpha character is first. */
2173
2174 if (name[0] == 0)
2175   {
2176   expand_string_message = string_sprintf("condition name expected, "
2177     "but found \"%.16s\"", s);
2178   return NULL;
2179   }
2180
2181 /* Find which condition we are dealing with, and switch on it */
2182
2183 cond_type = chop_match(name, cond_table, nelem(cond_table));
2184 switch(cond_type)
2185   {
2186   /* def: tests for a non-empty variable, or for the existence of a header. If
2187   yield == NULL we are in a skipping state, and don't care about the answer. */
2188
2189   case ECOND_DEF:
2190   if (*s != ':')
2191     {
2192     expand_string_message = US"\":\" expected after \"def\"";
2193     return NULL;
2194     }
2195
2196   s = read_name(name, 256, s+1, US"_");
2197
2198   /* Test for a header's existence. If the name contains a closing brace
2199   character, this may be a user error where the terminating colon has been
2200   omitted. Set a flag to adjust a subsequent error message in this case. */
2201
2202   if (Ustrncmp(name, "h_", 2) == 0 ||
2203       Ustrncmp(name, "rh_", 3) == 0 ||
2204       Ustrncmp(name, "bh_", 3) == 0 ||
2205       Ustrncmp(name, "header_", 7) == 0 ||
2206       Ustrncmp(name, "rheader_", 8) == 0 ||
2207       Ustrncmp(name, "bheader_", 8) == 0)
2208     {
2209     s = read_header_name(name, 256, s);
2210     /* {-for-text-editors */
2211     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2212     if (yield != NULL) *yield =
2213       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2214     }
2215
2216   /* Test for a variable's having a non-empty value. A non-existent variable
2217   causes an expansion failure. */
2218
2219   else
2220     {
2221     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2222     if (value == NULL)
2223       {
2224       expand_string_message = (name[0] == 0)?
2225         string_sprintf("variable name omitted after \"def:\"") :
2226         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2227       check_variable_error_message(name);
2228       return NULL;
2229       }
2230     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2231     }
2232
2233   return s;
2234
2235
2236   /* first_delivery tests for first delivery attempt */
2237
2238   case ECOND_FIRST_DELIVERY:
2239   if (yield != NULL) *yield = deliver_firsttime == testfor;
2240   return s;
2241
2242
2243   /* queue_running tests for any process started by a queue runner */
2244
2245   case ECOND_QUEUE_RUNNING:
2246   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2247   return s;
2248
2249
2250   /* exists:  tests for file existence
2251        isip:  tests for any IP address
2252       isip4:  tests for an IPv4 address
2253       isip6:  tests for an IPv6 address
2254         pam:  does PAM authentication
2255      radius:  does RADIUS authentication
2256    ldapauth:  does LDAP authentication
2257     pwcheck:  does Cyrus SASL pwcheck authentication
2258   */
2259
2260   case ECOND_EXISTS:
2261   case ECOND_ISIP:
2262   case ECOND_ISIP4:
2263   case ECOND_ISIP6:
2264   case ECOND_PAM:
2265   case ECOND_RADIUS:
2266   case ECOND_LDAPAUTH:
2267   case ECOND_PWCHECK:
2268
2269   while (isspace(*s)) s++;
2270   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2271
2272   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2273   if (sub[0] == NULL) return NULL;
2274   /* {-for-text-editors */
2275   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2276
2277   if (yield == NULL) return s;   /* No need to run the test if skipping */
2278
2279   switch(cond_type)
2280     {
2281     case ECOND_EXISTS:
2282     if ((expand_forbid & RDO_EXISTS) != 0)
2283       {
2284       expand_string_message = US"File existence tests are not permitted";
2285       return NULL;
2286       }
2287     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2288     break;
2289
2290     case ECOND_ISIP:
2291     case ECOND_ISIP4:
2292     case ECOND_ISIP6:
2293     rc = string_is_ip_address(sub[0], NULL);
2294     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2295              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2296     break;
2297
2298     /* Various authentication tests - all optionally compiled */
2299
2300     case ECOND_PAM:
2301     #ifdef SUPPORT_PAM
2302     rc = auth_call_pam(sub[0], &expand_string_message);
2303     goto END_AUTH;
2304     #else
2305     goto COND_FAILED_NOT_COMPILED;
2306     #endif  /* SUPPORT_PAM */
2307
2308     case ECOND_RADIUS:
2309     #ifdef RADIUS_CONFIG_FILE
2310     rc = auth_call_radius(sub[0], &expand_string_message);
2311     goto END_AUTH;
2312     #else
2313     goto COND_FAILED_NOT_COMPILED;
2314     #endif  /* RADIUS_CONFIG_FILE */
2315
2316     case ECOND_LDAPAUTH:
2317     #ifdef LOOKUP_LDAP
2318       {
2319       /* Just to keep the interface the same */
2320       BOOL do_cache;
2321       int old_pool = store_pool;
2322       store_pool = POOL_SEARCH;
2323       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2324         &expand_string_message, &do_cache);
2325       store_pool = old_pool;
2326       }
2327     goto END_AUTH;
2328     #else
2329     goto COND_FAILED_NOT_COMPILED;
2330     #endif  /* LOOKUP_LDAP */
2331
2332     case ECOND_PWCHECK:
2333     #ifdef CYRUS_PWCHECK_SOCKET
2334     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2335     goto END_AUTH;
2336     #else
2337     goto COND_FAILED_NOT_COMPILED;
2338     #endif  /* CYRUS_PWCHECK_SOCKET */
2339
2340     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2341         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2342     END_AUTH:
2343     if (rc == ERROR || rc == DEFER) return NULL;
2344     *yield = (rc == OK) == testfor;
2345     #endif
2346     }
2347   return s;
2348
2349
2350   /* call ACL (in a conditional context).  Accept true, deny false.
2351   Defer is a forced-fail.  Anything set by message= goes to $value.
2352   Up to ten parameters are used; we use the braces round the name+args
2353   like the saslauthd condition does, to permit a variable number of args.
2354   See also the expansion-item version EITEM_ACL and the traditional
2355   acl modifier ACLC_ACL.
2356   Since the ACL may allocate new global variables, tell our caller to not
2357   reclaim memory.
2358   */
2359
2360   case ECOND_ACL:
2361     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2362     {
2363     uschar *sub[10];
2364     uschar *user_msg;
2365     BOOL cond = FALSE;
2366     int size = 0;
2367     int ptr = 0;
2368
2369     while (isspace(*s)) s++;
2370     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2371
2372     switch(read_subs(sub, nelem(sub), 1,
2373       &s, yield == NULL, TRUE, US"acl", resetok))
2374       {
2375       case 1: expand_string_message = US"too few arguments or bracketing "
2376         "error for acl";
2377       case 2:
2378       case 3: return NULL;
2379       }
2380
2381     *resetok = FALSE;   /* eval_acl() might allocate; do not reclaim */
2382     if (yield != NULL) switch(eval_acl(sub, nelem(sub), &user_msg))
2383         {
2384         case OK:
2385           cond = TRUE;
2386         case FAIL:
2387           lookup_value = NULL;
2388           if (user_msg)
2389             {
2390             lookup_value = string_cat(NULL, &size, &ptr, user_msg);
2391             lookup_value[ptr] = '\0';
2392             }
2393           *yield = cond == testfor;
2394           break;
2395
2396         case DEFER:
2397           expand_string_forcedfail = TRUE;
2398           /*FALLTHROUGH*/
2399         default:
2400           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2401           return NULL;
2402         }
2403     return s;
2404     }
2405
2406
2407   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2408
2409      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2410
2411   However, the last two are optional. That is why the whole set is enclosed
2412   in their own set of braces. */
2413
2414   case ECOND_SASLAUTHD:
2415 #ifndef CYRUS_SASLAUTHD_SOCKET
2416     goto COND_FAILED_NOT_COMPILED;
2417 #else
2418     {
2419     uschar *sub[4];
2420     while (isspace(*s)) s++;
2421     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2422     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2423                     resetok))
2424       {
2425       case 1: expand_string_message = US"too few arguments or bracketing "
2426         "error for saslauthd";
2427       case 2:
2428       case 3: return NULL;
2429       }
2430     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2431     if (yield != NULL)
2432       {
2433       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2434         &expand_string_message);
2435       if (rc == ERROR || rc == DEFER) return NULL;
2436       *yield = (rc == OK) == testfor;
2437       }
2438     return s;
2439     }
2440 #endif /* CYRUS_SASLAUTHD_SOCKET */
2441
2442
2443   /* symbolic operators for numeric and string comparison, and a number of
2444   other operators, all requiring two arguments.
2445
2446   crypteq:           encrypts plaintext and compares against an encrypted text,
2447                        using crypt(), crypt16(), MD5 or SHA-1
2448   inlist/inlisti:    checks if first argument is in the list of the second
2449   match:             does a regular expression match and sets up the numerical
2450                        variables if it succeeds
2451   match_address:     matches in an address list
2452   match_domain:      matches in a domain list
2453   match_ip:          matches a host list that is restricted to IP addresses
2454   match_local_part:  matches in a local part list
2455   */
2456
2457   case ECOND_MATCH_ADDRESS:
2458   case ECOND_MATCH_DOMAIN:
2459   case ECOND_MATCH_IP:
2460   case ECOND_MATCH_LOCAL_PART:
2461 #ifndef EXPAND_LISTMATCH_RHS
2462     sub2_honour_dollar = FALSE;
2463 #endif
2464     /* FALLTHROUGH */
2465
2466   case ECOND_CRYPTEQ:
2467   case ECOND_INLIST:
2468   case ECOND_INLISTI:
2469   case ECOND_MATCH:
2470
2471   case ECOND_NUM_L:     /* Numerical comparisons */
2472   case ECOND_NUM_LE:
2473   case ECOND_NUM_E:
2474   case ECOND_NUM_EE:
2475   case ECOND_NUM_G:
2476   case ECOND_NUM_GE:
2477
2478   case ECOND_STR_LT:    /* String comparisons */
2479   case ECOND_STR_LTI:
2480   case ECOND_STR_LE:
2481   case ECOND_STR_LEI:
2482   case ECOND_STR_EQ:
2483   case ECOND_STR_EQI:
2484   case ECOND_STR_GT:
2485   case ECOND_STR_GTI:
2486   case ECOND_STR_GE:
2487   case ECOND_STR_GEI:
2488
2489   for (i = 0; i < 2; i++)
2490     {
2491     /* Sometimes, we don't expand substrings; too many insecure configurations
2492     created using match_address{}{} and friends, where the second param
2493     includes information from untrustworthy sources. */
2494     BOOL honour_dollar = TRUE;
2495     if ((i > 0) && !sub2_honour_dollar)
2496       honour_dollar = FALSE;
2497
2498     while (isspace(*s)) s++;
2499     if (*s != '{')
2500       {
2501       if (i == 0) goto COND_FAILED_CURLY_START;
2502       expand_string_message = string_sprintf("missing 2nd string in {} "
2503         "after \"%s\"", name);
2504       return NULL;
2505       }
2506     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2507         honour_dollar, resetok);
2508     if (sub[i] == NULL) return NULL;
2509     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2510
2511     /* Convert to numerical if required; we know that the names of all the
2512     conditions that compare numbers do not start with a letter. This just saves
2513     checking for them individually. */
2514
2515     if (!isalpha(name[0]) && yield != NULL)
2516       if (sub[i][0] == 0)
2517         {
2518         num[i] = 0;
2519         DEBUG(D_expand)
2520           debug_printf_indent("empty string cast to zero for numerical comparison\n");
2521         }
2522       else
2523         {
2524         num[i] = expanded_string_integer(sub[i], FALSE);
2525         if (expand_string_message != NULL) return NULL;
2526         }
2527     }
2528
2529   /* Result not required */
2530
2531   if (yield == NULL) return s;
2532
2533   /* Do an appropriate comparison */
2534
2535   switch(cond_type)
2536     {
2537     case ECOND_NUM_E:
2538     case ECOND_NUM_EE:
2539     tempcond = (num[0] == num[1]);
2540     break;
2541
2542     case ECOND_NUM_G:
2543     tempcond = (num[0] > num[1]);
2544     break;
2545
2546     case ECOND_NUM_GE:
2547     tempcond = (num[0] >= num[1]);
2548     break;
2549
2550     case ECOND_NUM_L:
2551     tempcond = (num[0] < num[1]);
2552     break;
2553
2554     case ECOND_NUM_LE:
2555     tempcond = (num[0] <= num[1]);
2556     break;
2557
2558     case ECOND_STR_LT:
2559     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2560     break;
2561
2562     case ECOND_STR_LTI:
2563     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2564     break;
2565
2566     case ECOND_STR_LE:
2567     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2568     break;
2569
2570     case ECOND_STR_LEI:
2571     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2572     break;
2573
2574     case ECOND_STR_EQ:
2575     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2576     break;
2577
2578     case ECOND_STR_EQI:
2579     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2580     break;
2581
2582     case ECOND_STR_GT:
2583     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2584     break;
2585
2586     case ECOND_STR_GTI:
2587     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2588     break;
2589
2590     case ECOND_STR_GE:
2591     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2592     break;
2593
2594     case ECOND_STR_GEI:
2595     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2596     break;
2597
2598     case ECOND_MATCH:   /* Regular expression match */
2599     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2600       NULL);
2601     if (re == NULL)
2602       {
2603       expand_string_message = string_sprintf("regular expression error in "
2604         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2605       return NULL;
2606       }
2607     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2608     break;
2609
2610     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2611     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2612     goto MATCHED_SOMETHING;
2613
2614     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2615     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2616       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2617     goto MATCHED_SOMETHING;
2618
2619     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2620     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2621       {
2622       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2623         sub[0]);
2624       return NULL;
2625       }
2626     else
2627       {
2628       unsigned int *nullcache = NULL;
2629       check_host_block cb;
2630
2631       cb.host_name = US"";
2632       cb.host_address = sub[0];
2633
2634       /* If the host address starts off ::ffff: it is an IPv6 address in
2635       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2636       addresses. */
2637
2638       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2639         cb.host_address + 7 : cb.host_address;
2640
2641       rc = match_check_list(
2642              &sub[1],                   /* the list */
2643              0,                         /* separator character */
2644              &hostlist_anchor,          /* anchor pointer */
2645              &nullcache,                /* cache pointer */
2646              check_host,                /* function for testing */
2647              &cb,                       /* argument for function */
2648              MCL_HOST,                  /* type of check */
2649              sub[0],                    /* text for debugging */
2650              NULL);                     /* where to pass back data */
2651       }
2652     goto MATCHED_SOMETHING;
2653
2654     case ECOND_MATCH_LOCAL_PART:
2655     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2656       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2657     /* Fall through */
2658     /* VVVVVVVVVVVV */
2659     MATCHED_SOMETHING:
2660     switch(rc)
2661       {
2662       case OK:
2663       tempcond = TRUE;
2664       break;
2665
2666       case FAIL:
2667       tempcond = FALSE;
2668       break;
2669
2670       case DEFER:
2671       expand_string_message = string_sprintf("unable to complete match "
2672         "against \"%s\": %s", sub[1], search_error_message);
2673       return NULL;
2674       }
2675
2676     break;
2677
2678     /* Various "encrypted" comparisons. If the second string starts with
2679     "{" then an encryption type is given. Default to crypt() or crypt16()
2680     (build-time choice). */
2681     /* }-for-text-editors */
2682
2683     case ECOND_CRYPTEQ:
2684     #ifndef SUPPORT_CRYPTEQ
2685     goto COND_FAILED_NOT_COMPILED;
2686     #else
2687     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2688       {
2689       int sublen = Ustrlen(sub[1]+5);
2690       md5 base;
2691       uschar digest[16];
2692
2693       md5_start(&base);
2694       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
2695
2696       /* If the length that we are comparing against is 24, the MD5 digest
2697       is expressed as a base64 string. This is the way LDAP does it. However,
2698       some other software uses a straightforward hex representation. We assume
2699       this if the length is 32. Other lengths fail. */
2700
2701       if (sublen == 24)
2702         {
2703         uschar *coded = b64encode(digest, 16);
2704         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2705           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2706         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2707         }
2708       else if (sublen == 32)
2709         {
2710         int i;
2711         uschar coded[36];
2712         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2713         coded[32] = 0;
2714         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2715           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2716         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2717         }
2718       else
2719         {
2720         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2721           "fail\n  crypted=%s\n", sub[1]+5);
2722         tempcond = FALSE;
2723         }
2724       }
2725
2726     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2727       {
2728       int sublen = Ustrlen(sub[1]+6);
2729       hctx h;
2730       uschar digest[20];
2731
2732       sha1_start(&h);
2733       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
2734
2735       /* If the length that we are comparing against is 28, assume the SHA1
2736       digest is expressed as a base64 string. If the length is 40, assume a
2737       straightforward hex representation. Other lengths fail. */
2738
2739       if (sublen == 28)
2740         {
2741         uschar *coded = b64encode(digest, 20);
2742         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2743           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2744         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2745         }
2746       else if (sublen == 40)
2747         {
2748         int i;
2749         uschar coded[44];
2750         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2751         coded[40] = 0;
2752         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2753           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2754         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2755         }
2756       else
2757         {
2758         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2759           "fail\n  crypted=%s\n", sub[1]+6);
2760         tempcond = FALSE;
2761         }
2762       }
2763
2764     else   /* {crypt} or {crypt16} and non-{ at start */
2765            /* }-for-text-editors */
2766       {
2767       int which = 0;
2768       uschar *coded;
2769
2770       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2771         {
2772         sub[1] += 7;
2773         which = 1;
2774         }
2775       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2776         {
2777         sub[1] += 9;
2778         which = 2;
2779         }
2780       else if (sub[1][0] == '{')                /* }-for-text-editors */
2781         {
2782         expand_string_message = string_sprintf("unknown encryption mechanism "
2783           "in \"%s\"", sub[1]);
2784         return NULL;
2785         }
2786
2787       switch(which)
2788         {
2789         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2790         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2791         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2792         }
2793
2794       #define STR(s) # s
2795       #define XSTR(s) STR(s)
2796       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2797         "  subject=%s\n  crypted=%s\n",
2798         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2799         coded, sub[1]);
2800       #undef STR
2801       #undef XSTR
2802
2803       /* If the encrypted string contains fewer than two characters (for the
2804       salt), force failure. Otherwise we get false positives: with an empty
2805       string the yield of crypt() is an empty string! */
2806
2807       if (coded)
2808         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2809       else if (errno == EINVAL)
2810         tempcond = FALSE;
2811       else
2812         {
2813         expand_string_message = string_sprintf("crypt error: %s\n",
2814           US strerror(errno));
2815         return NULL;
2816         }
2817       }
2818     break;
2819     #endif  /* SUPPORT_CRYPTEQ */
2820
2821     case ECOND_INLIST:
2822     case ECOND_INLISTI:
2823       {
2824       const uschar * list = sub[1];
2825       int sep = 0;
2826       uschar *save_iterate_item = iterate_item;
2827       int (*compare)(const uschar *, const uschar *);
2828
2829       DEBUG(D_expand) debug_printf_indent("condition: %s\n", name);
2830
2831       tempcond = FALSE;
2832       compare = cond_type == ECOND_INLISTI
2833         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2834
2835       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2836         if (compare(sub[0], iterate_item) == 0)
2837           {
2838           tempcond = TRUE;
2839           break;
2840           }
2841       iterate_item = save_iterate_item;
2842       }
2843
2844     }   /* Switch for comparison conditions */
2845
2846   *yield = tempcond == testfor;
2847   return s;    /* End of comparison conditions */
2848
2849
2850   /* and/or: computes logical and/or of several conditions */
2851
2852   case ECOND_AND:
2853   case ECOND_OR:
2854   subcondptr = (yield == NULL)? NULL : &tempcond;
2855   combined_cond = (cond_type == ECOND_AND);
2856
2857   while (isspace(*s)) s++;
2858   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2859
2860   for (;;)
2861     {
2862     while (isspace(*s)) s++;
2863     /* {-for-text-editors */
2864     if (*s == '}') break;
2865     if (*s != '{')                                      /* }-for-text-editors */
2866       {
2867       expand_string_message = string_sprintf("each subcondition "
2868         "inside an \"%s{...}\" condition must be in its own {}", name);
2869       return NULL;
2870       }
2871
2872     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2873       {
2874       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2875         expand_string_message, name);
2876       return NULL;
2877       }
2878     while (isspace(*s)) s++;
2879
2880     /* {-for-text-editors */
2881     if (*s++ != '}')
2882       {
2883       /* {-for-text-editors */
2884       expand_string_message = string_sprintf("missing } at end of condition "
2885         "inside \"%s\" group", name);
2886       return NULL;
2887       }
2888
2889     if (yield != NULL)
2890       {
2891       if (cond_type == ECOND_AND)
2892         {
2893         combined_cond &= tempcond;
2894         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2895         }                                       /* evaluate any more */
2896       else
2897         {
2898         combined_cond |= tempcond;
2899         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2900         }                                       /* evaluate any more */
2901       }
2902     }
2903
2904   if (yield != NULL) *yield = (combined_cond == testfor);
2905   return ++s;
2906
2907
2908   /* forall/forany: iterates a condition with different values */
2909
2910   case ECOND_FORALL:
2911   case ECOND_FORANY:
2912     {
2913     const uschar * list;
2914     int sep = 0;
2915     uschar *save_iterate_item = iterate_item;
2916
2917     DEBUG(D_expand) debug_printf_indent("condition: %s\n", name);
2918
2919     while (isspace(*s)) s++;
2920     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2921     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2922     if (sub[0] == NULL) return NULL;
2923     /* {-for-text-editors */
2924     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2925
2926     while (isspace(*s)) s++;
2927     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2928
2929     sub[1] = s;
2930
2931     /* Call eval_condition once, with result discarded (as if scanning a
2932     "false" part). This allows us to find the end of the condition, because if
2933     the list it empty, we won't actually evaluate the condition for real. */
2934
2935     if (!(s = eval_condition(sub[1], resetok, NULL)))
2936       {
2937       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2938         expand_string_message, name);
2939       return NULL;
2940       }
2941     while (isspace(*s)) s++;
2942
2943     /* {-for-text-editors */
2944     if (*s++ != '}')
2945       {
2946       /* {-for-text-editors */
2947       expand_string_message = string_sprintf("missing } at end of condition "
2948         "inside \"%s\"", name);
2949       return NULL;
2950       }
2951
2952     if (yield != NULL) *yield = !testfor;
2953     list = sub[0];
2954     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2955       {
2956       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, iterate_item);
2957       if (!eval_condition(sub[1], resetok, &tempcond))
2958         {
2959         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2960           expand_string_message, name);
2961         iterate_item = save_iterate_item;
2962         return NULL;
2963         }
2964       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", name,
2965         tempcond? "true":"false");
2966
2967       if (yield != NULL) *yield = (tempcond == testfor);
2968       if (tempcond == (cond_type == ECOND_FORANY)) break;
2969       }
2970
2971     iterate_item = save_iterate_item;
2972     return s;
2973     }
2974
2975
2976   /* The bool{} expansion condition maps a string to boolean.
2977   The values supported should match those supported by the ACL condition
2978   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2979   of true/false.  Note that Router "condition" rules have a different
2980   interpretation, where general data can be used and only a few values
2981   map to FALSE.
2982   Note that readconf.c boolean matching, for boolean configuration options,
2983   only matches true/yes/false/no.
2984   The bool_lax{} condition matches the Router logic, which is much more
2985   liberal. */
2986   case ECOND_BOOL:
2987   case ECOND_BOOL_LAX:
2988     {
2989     uschar *sub_arg[1];
2990     uschar *t, *t2;
2991     uschar *ourname;
2992     size_t len;
2993     BOOL boolvalue = FALSE;
2994     while (isspace(*s)) s++;
2995     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2996     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2997     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2998       {
2999       case 1: expand_string_message = string_sprintf(
3000                   "too few arguments or bracketing error for %s",
3001                   ourname);
3002       /*FALLTHROUGH*/
3003       case 2:
3004       case 3: return NULL;
3005       }
3006     t = sub_arg[0];
3007     while (isspace(*t)) t++;
3008     len = Ustrlen(t);
3009     if (len)
3010       {
3011       /* trailing whitespace: seems like a good idea to ignore it too */
3012       t2 = t + len - 1;
3013       while (isspace(*t2)) t2--;
3014       if (t2 != (t + len))
3015         {
3016         *++t2 = '\0';
3017         len = t2 - t;
3018         }
3019       }
3020     DEBUG(D_expand)
3021       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3022     /* logic for the lax case from expand_check_condition(), which also does
3023     expands, and the logic is both short and stable enough that there should
3024     be no maintenance burden from replicating it. */
3025     if (len == 0)
3026       boolvalue = FALSE;
3027     else if (*t == '-'
3028              ? Ustrspn(t+1, "0123456789") == len-1
3029              : Ustrspn(t,   "0123456789") == len)
3030       {
3031       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3032       /* expand_check_condition only does a literal string "0" check */
3033       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3034         boolvalue = TRUE;
3035       }
3036     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3037       boolvalue = TRUE;
3038     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3039       boolvalue = FALSE;
3040     else if (cond_type == ECOND_BOOL_LAX)
3041       boolvalue = TRUE;
3042     else
3043       {
3044       expand_string_message = string_sprintf("unrecognised boolean "
3045        "value \"%s\"", t);
3046       return NULL;
3047       }
3048     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3049         boolvalue? "true":"false");
3050     if (yield != NULL) *yield = (boolvalue == testfor);
3051     return s;
3052     }
3053
3054   /* Unknown condition */
3055
3056   default:
3057   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3058   return NULL;
3059   }   /* End switch on condition type */
3060
3061 /* Missing braces at start and end of data */
3062
3063 COND_FAILED_CURLY_START:
3064 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3065 return NULL;
3066
3067 COND_FAILED_CURLY_END:
3068 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3069   name);
3070 return NULL;
3071
3072 /* A condition requires code that is not compiled */
3073
3074 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3075     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3076     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3077 COND_FAILED_NOT_COMPILED:
3078 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3079   name);
3080 return NULL;
3081 #endif
3082 }
3083
3084
3085
3086
3087 /*************************************************
3088 *          Save numerical variables              *
3089 *************************************************/
3090
3091 /* This function is called from items such as "if" that want to preserve and
3092 restore the numbered variables.
3093
3094 Arguments:
3095   save_expand_string    points to an array of pointers to set
3096   save_expand_nlength   points to an array of ints for the lengths
3097
3098 Returns:                the value of expand max to save
3099 */
3100
3101 static int
3102 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3103 {
3104 int i;
3105 for (i = 0; i <= expand_nmax; i++)
3106   {
3107   save_expand_nstring[i] = expand_nstring[i];
3108   save_expand_nlength[i] = expand_nlength[i];
3109   }
3110 return expand_nmax;
3111 }
3112
3113
3114
3115 /*************************************************
3116 *           Restore numerical variables          *
3117 *************************************************/
3118
3119 /* This function restored saved values of numerical strings.
3120
3121 Arguments:
3122   save_expand_nmax      the number of strings to restore
3123   save_expand_string    points to an array of pointers
3124   save_expand_nlength   points to an array of ints
3125
3126 Returns:                nothing
3127 */
3128
3129 static void
3130 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3131   int *save_expand_nlength)
3132 {
3133 int i;
3134 expand_nmax = save_expand_nmax;
3135 for (i = 0; i <= expand_nmax; i++)
3136   {
3137   expand_nstring[i] = save_expand_nstring[i];
3138   expand_nlength[i] = save_expand_nlength[i];
3139   }
3140 }
3141
3142
3143
3144
3145
3146 /*************************************************
3147 *            Handle yes/no substrings            *
3148 *************************************************/
3149
3150 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3151 alternative substrings that depend on whether or not the condition was true,
3152 or the lookup or extraction succeeded. The substrings always have to be
3153 expanded, to check their syntax, but "skipping" is set when the result is not
3154 needed - this avoids unnecessary nested lookups.
3155
3156 Arguments:
3157   skipping       TRUE if we were skipping when this item was reached
3158   yes            TRUE if the first string is to be used, else use the second
3159   save_lookup    a value to put back into lookup_value before the 2nd expansion
3160   sptr           points to the input string pointer
3161   yieldptr       points to the output string pointer
3162   sizeptr        points to the output string size
3163   ptrptr         points to the output string pointer
3164   type           "lookup", "if", "extract", "run", "env", "listextract" or
3165                  "certextract" for error message
3166   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3167                 the store.
3168
3169 Returns:         0 OK; lookup_value has been reset to save_lookup
3170                  1 expansion failed
3171                  2 expansion failed because of bracketing error
3172 */
3173
3174 static int
3175 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3176   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3177 {
3178 int rc = 0;
3179 const uschar *s = *sptr;    /* Local value */
3180 uschar *sub1, *sub2;
3181 const uschar * errwhere;
3182
3183 /* If there are no following strings, we substitute the contents of $value for
3184 lookups and for extractions in the success case. For the ${if item, the string
3185 "true" is substituted. In the fail case, nothing is substituted for all three
3186 items. */
3187
3188 while (isspace(*s)) s++;
3189 if (*s == '}')
3190   {
3191   if (type[0] == 'i')
3192     {
3193     if (yes && !skipping)
3194       *yieldptr = string_catn(*yieldptr, sizeptr, ptrptr, US"true", 4);
3195     }
3196   else
3197     {
3198     if (yes && lookup_value && !skipping)
3199       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value);
3200     lookup_value = save_lookup;
3201     }
3202   s++;
3203   goto RETURN;
3204   }
3205
3206 /* The first following string must be braced. */
3207
3208 if (*s++ != '{')
3209   {
3210   errwhere = US"'yes' part did not start with '{'";
3211   goto FAILED_CURLY;
3212   }
3213
3214 /* Expand the first substring. Forced failures are noticed only if we actually
3215 want this string. Set skipping in the call in the fail case (this will always
3216 be the case if we were already skipping). */
3217
3218 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3219 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3220 expand_string_forcedfail = FALSE;
3221 if (*s++ != '}')
3222   {
3223   errwhere = US"'yes' part did not end with '}'";
3224   goto FAILED_CURLY;
3225   }
3226
3227 /* If we want the first string, add it to the output */
3228
3229 if (yes)
3230   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1);
3231
3232 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3233 $value to what it was at the start of the item, so that it has this value
3234 during the second string expansion. For the call from "if" or "run" to this
3235 function, save_lookup is set to lookup_value, so that this statement does
3236 nothing. */
3237
3238 lookup_value = save_lookup;
3239
3240 /* There now follows either another substring, or "fail", or nothing. This
3241 time, forced failures are noticed only if we want the second string. We must
3242 set skipping in the nested call if we don't want this string, or if we were
3243 already skipping. */
3244
3245 while (isspace(*s)) s++;
3246 if (*s == '{')
3247   {
3248   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3249   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3250   expand_string_forcedfail = FALSE;
3251   if (*s++ != '}')
3252     {
3253     errwhere = US"'no' part did not start with '{'";
3254     goto FAILED_CURLY;
3255     }
3256
3257   /* If we want the second string, add it to the output */
3258
3259   if (!yes)
3260     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2);
3261   }
3262
3263 /* If there is no second string, but the word "fail" is present when the use of
3264 the second string is wanted, set a flag indicating it was a forced failure
3265 rather than a syntactic error. Swallow the terminating } in case this is nested
3266 inside another lookup or if or extract. */
3267
3268 else if (*s != '}')
3269   {
3270   uschar name[256];
3271   /* deconst cast ok here as source is s anyway */
3272   s = US read_name(name, sizeof(name), s, US"_");
3273   if (Ustrcmp(name, "fail") == 0)
3274     {
3275     if (!yes && !skipping)
3276       {
3277       while (isspace(*s)) s++;
3278       if (*s++ != '}')
3279         {
3280         errwhere = US"did not close with '}' after forcedfail";
3281         goto FAILED_CURLY;
3282         }
3283       expand_string_message =
3284         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3285       expand_string_forcedfail = TRUE;
3286       goto FAILED;
3287       }
3288     }
3289   else
3290     {
3291     expand_string_message =
3292       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3293     goto FAILED;
3294     }
3295   }
3296
3297 /* All we have to do now is to check on the final closing brace. */
3298
3299 while (isspace(*s)) s++;
3300 if (*s++ != '}')
3301   {
3302   errwhere = US"did not close with '}'";
3303   goto FAILED_CURLY;
3304   }
3305
3306
3307 RETURN:
3308 /* Update the input pointer value before returning */
3309 *sptr = s;
3310 return rc;
3311
3312 FAILED_CURLY:
3313   /* Get here if there is a bracketing failure */
3314   expand_string_message = string_sprintf(
3315     "curly-bracket problem in conditional yes/no parsing: %s\n"
3316     " remaining string is '%s'", errwhere, --s);
3317   rc = 2;
3318   goto RETURN;
3319
3320 FAILED:
3321   /* Get here for other failures */
3322   rc = 1;
3323   goto RETURN;
3324 }
3325
3326
3327
3328
3329 /*************************************************
3330 *    Handle MD5 or SHA-1 computation for HMAC    *
3331 *************************************************/
3332
3333 /* These are some wrapping functions that enable the HMAC code to be a bit
3334 cleaner. A good compiler will spot the tail recursion.
3335
3336 Arguments:
3337   type         HMAC_MD5 or HMAC_SHA1
3338   remaining    are as for the cryptographic hash functions
3339
3340 Returns:       nothing
3341 */
3342
3343 static void
3344 chash_start(int type, void *base)
3345 {
3346 if (type == HMAC_MD5)
3347   md5_start((md5 *)base);
3348 else
3349   sha1_start((hctx *)base);
3350 }
3351
3352 static void
3353 chash_mid(int type, void *base, uschar *string)
3354 {
3355 if (type == HMAC_MD5)
3356   md5_mid((md5 *)base, string);
3357 else
3358   sha1_mid((hctx *)base, string);
3359 }
3360
3361 static void
3362 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3363 {
3364 if (type == HMAC_MD5)
3365   md5_end((md5 *)base, string, length, digest);
3366 else
3367   sha1_end((hctx *)base, string, length, digest);
3368 }
3369
3370
3371
3372
3373
3374 /********************************************************
3375 * prvs: Get last three digits of days since Jan 1, 1970 *
3376 ********************************************************/
3377
3378 /* This is needed to implement the "prvs" BATV reverse
3379    path signing scheme
3380
3381 Argument: integer "days" offset to add or substract to
3382           or from the current number of days.
3383
3384 Returns:  pointer to string containing the last three
3385           digits of the number of days since Jan 1, 1970,
3386           modified by the offset argument, NULL if there
3387           was an error in the conversion.
3388
3389 */
3390
3391 static uschar *
3392 prvs_daystamp(int day_offset)
3393 {
3394 uschar *days = store_get(32);                /* Need at least 24 for cases */
3395 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3396   (time(NULL) + day_offset*86400)/86400);
3397 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3398 }
3399
3400
3401
3402 /********************************************************
3403 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3404 ********************************************************/
3405
3406 /* This is needed to implement the "prvs" BATV reverse
3407    path signing scheme
3408
3409 Arguments:
3410   address RFC2821 Address to use
3411       key The key to use (must be less than 64 characters
3412           in size)
3413   key_num Single-digit key number to use. Defaults to
3414           '0' when NULL.
3415
3416 Returns:  pointer to string containing the first three
3417           bytes of the final hash in hex format, NULL if
3418           there was an error in the process.
3419 */
3420
3421 static uschar *
3422 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3423 {
3424 uschar *hash_source, *p;
3425 int size = 0,offset = 0,i;
3426 hctx h;
3427 uschar innerhash[20];
3428 uschar finalhash[20];
3429 uschar innerkey[64];
3430 uschar outerkey[64];
3431 uschar *finalhash_hex = store_get(40);
3432
3433 if (key_num == NULL)
3434   key_num = US"0";
3435
3436 if (Ustrlen(key) > 64)
3437   return NULL;
3438
3439 hash_source = string_catn(NULL, &size, &offset, key_num, 1);
3440 hash_source = string_catn(hash_source, &size, &offset, daystamp, 3);
3441 hash_source = string_cat(hash_source, &size, &offset, address);
3442 hash_source[offset] = '\0';
3443
3444 DEBUG(D_expand) debug_printf_indent("prvs: hash source is '%s'\n", hash_source);
3445
3446 memset(innerkey, 0x36, 64);
3447 memset(outerkey, 0x5c, 64);
3448
3449 for (i = 0; i < Ustrlen(key); i++)
3450   {
3451   innerkey[i] ^= key[i];
3452   outerkey[i] ^= key[i];
3453   }
3454
3455 chash_start(HMAC_SHA1, &h);
3456 chash_mid(HMAC_SHA1, &h, innerkey);
3457 chash_end(HMAC_SHA1, &h, hash_source, offset, innerhash);
3458
3459 chash_start(HMAC_SHA1, &h);
3460 chash_mid(HMAC_SHA1, &h, outerkey);
3461 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3462
3463 p = finalhash_hex;
3464 for (i = 0; i < 3; i++)
3465   {
3466   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3467   *p++ = hex_digits[finalhash[i] & 0x0f];
3468   }
3469 *p = '\0';
3470
3471 return finalhash_hex;
3472 }
3473
3474
3475
3476
3477 /*************************************************
3478 *        Join a file onto the output string      *
3479 *************************************************/
3480
3481 /* This is used for readfile/readsock and after a run expansion.
3482 It joins the contents of a file onto the output string, globally replacing
3483 newlines with a given string (optionally).
3484
3485 Arguments:
3486   f            the FILE
3487   yield        pointer to the expandable string
3488   sizep        pointer to the current size
3489   ptrp         pointer to the current position
3490   eol          newline replacement string, or NULL
3491
3492 Returns:       new value of string pointer
3493 */
3494
3495 static uschar *
3496 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3497 {
3498 uschar buffer[1024];
3499
3500 while (Ufgets(buffer, sizeof(buffer), f))
3501   {
3502   int len = Ustrlen(buffer);
3503   if (eol && buffer[len-1] == '\n') len--;
3504   yield = string_catn(yield, sizep, ptrp, buffer, len);
3505   if (eol && buffer[len])
3506     yield = string_cat(yield, sizep, ptrp, eol);
3507   }
3508
3509 if (yield) yield[*ptrp] = 0;
3510
3511 return yield;
3512 }
3513
3514
3515
3516
3517 /*************************************************
3518 *          Evaluate numeric expression           *
3519 *************************************************/
3520
3521 /* This is a set of mutually recursive functions that evaluate an arithmetic
3522 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3523 these functions that is called from elsewhere is eval_expr, whose interface is:
3524
3525 Arguments:
3526   sptr        pointer to the pointer to the string - gets updated
3527   decimal     TRUE if numbers are to be assumed decimal
3528   error       pointer to where to put an error message - must be NULL on input
3529   endket      TRUE if ')' must terminate - FALSE for external call
3530
3531 Returns:      on success: the value of the expression, with *error still NULL
3532               on failure: an undefined value, with *error = a message
3533 */
3534
3535 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3536
3537
3538 static int_eximarith_t
3539 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3540 {
3541 uschar *s = *sptr;
3542 int_eximarith_t x = eval_op_or(&s, decimal, error);
3543 if (*error == NULL)
3544   {
3545   if (endket)
3546     {
3547     if (*s != ')')
3548       *error = US"expecting closing parenthesis";
3549     else
3550       while (isspace(*(++s)));
3551     }
3552   else if (*s != 0) *error = US"expecting operator";
3553   }
3554 *sptr = s;
3555 return x;
3556 }
3557
3558
3559 static int_eximarith_t
3560 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3561 {
3562 register int c;
3563 int_eximarith_t n;
3564 uschar *s = *sptr;
3565 while (isspace(*s)) s++;
3566 c = *s;
3567 if (isdigit(c))
3568   {
3569   int count;
3570   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3571   s += count;
3572   switch (tolower(*s))
3573     {
3574     default: break;
3575     case 'k': n *= 1024; s++; break;
3576     case 'm': n *= 1024*1024; s++; break;
3577     case 'g': n *= 1024*1024*1024; s++; break;
3578     }
3579   while (isspace (*s)) s++;
3580   }
3581 else if (c == '(')
3582   {
3583   s++;
3584   n = eval_expr(&s, decimal, error, 1);
3585   }
3586 else
3587   {
3588   *error = US"expecting number or opening parenthesis";
3589   n = 0;
3590   }
3591 *sptr = s;
3592 return n;
3593 }
3594
3595
3596 static int_eximarith_t
3597 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3598 {
3599 uschar *s = *sptr;
3600 int_eximarith_t x;
3601 while (isspace(*s)) s++;
3602 if (*s == '+' || *s == '-' || *s == '~')
3603   {
3604   int op = *s++;
3605   x = eval_op_unary(&s, decimal, error);
3606   if (op == '-') x = -x;
3607     else if (op == '~') x = ~x;
3608   }
3609 else
3610   {
3611   x = eval_number(&s, decimal, error);
3612   }
3613 *sptr = s;
3614 return x;
3615 }
3616
3617
3618 static int_eximarith_t
3619 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3620 {
3621 uschar *s = *sptr;
3622 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3623 if (*error == NULL)
3624   {
3625   while (*s == '*' || *s == '/' || *s == '%')
3626     {
3627     int op = *s++;
3628     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3629     if (*error != NULL) break;
3630     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3631      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3632      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3633      * -N*M is INT_MIN will yield INT_MIN.
3634      * Since we don't support floating point, this is somewhat simpler.
3635      * Ideally, we'd return an error, but since we overflow for all other
3636      * arithmetic, consistency suggests otherwise, but what's the correct value
3637      * to use?  There is none.
3638      * The C standard guarantees overflow for unsigned arithmetic but signed
3639      * overflow invokes undefined behaviour; in practice, this is overflow
3640      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3641      * that long/longlong larger than int are available, or we could just work
3642      * with larger types.  We should consider whether to guarantee 32bit eval
3643      * and 64-bit working variables, with errors returned.  For now ...
3644      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3645      * can just let the other invalid results occur otherwise, as they have
3646      * until now.  For this one case, we can coerce.
3647      */
3648     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3649       {
3650       DEBUG(D_expand)
3651         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3652             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3653       x = EXIM_ARITH_MAX;
3654       continue;
3655       }
3656     if (op == '*')
3657       x *= y;
3658     else
3659       {
3660       if (y == 0)
3661         {
3662         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3663         x = 0;
3664         break;
3665         }
3666       if (op == '/')
3667         x /= y;
3668       else
3669         x %= y;
3670       }
3671     }
3672   }
3673 *sptr = s;
3674 return x;
3675 }
3676
3677
3678 static int_eximarith_t
3679 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3680 {
3681 uschar *s = *sptr;
3682 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3683 if (!*error)
3684   {
3685   while (*s == '+' || *s == '-')
3686     {
3687     int op = *s++;
3688     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3689     if (*error) break;
3690     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
3691        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
3692       {                 /* over-conservative check */
3693       *error = op == '+'
3694         ? US"overflow in sum" : US"overflow in difference";
3695       break;
3696       }
3697     if (op == '+') x += y; else x -= y;
3698     }
3699   }
3700 *sptr = s;
3701 return x;
3702 }
3703
3704
3705 static int_eximarith_t
3706 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3707 {
3708 uschar *s = *sptr;
3709 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3710 if (*error == NULL)
3711   {
3712   while ((*s == '<' || *s == '>') && s[1] == s[0])
3713     {
3714     int_eximarith_t y;
3715     int op = *s++;
3716     s++;
3717     y = eval_op_sum(&s, decimal, error);
3718     if (*error != NULL) break;
3719     if (op == '<') x <<= y; else x >>= y;
3720     }
3721   }
3722 *sptr = s;
3723 return x;
3724 }
3725
3726
3727 static int_eximarith_t
3728 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3729 {
3730 uschar *s = *sptr;
3731 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3732 if (*error == NULL)
3733   {
3734   while (*s == '&')
3735     {
3736     int_eximarith_t y;
3737     s++;
3738     y = eval_op_shift(&s, decimal, error);
3739     if (*error != NULL) break;
3740     x &= y;
3741     }
3742   }
3743 *sptr = s;
3744 return x;
3745 }
3746
3747
3748 static int_eximarith_t
3749 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3750 {
3751 uschar *s = *sptr;
3752 int_eximarith_t x = eval_op_and(&s, decimal, error);
3753 if (*error == NULL)
3754   {
3755   while (*s == '^')
3756     {
3757     int_eximarith_t y;
3758     s++;
3759     y = eval_op_and(&s, decimal, error);
3760     if (*error != NULL) break;
3761     x ^= y;
3762     }
3763   }
3764 *sptr = s;
3765 return x;
3766 }
3767
3768
3769 static int_eximarith_t
3770 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3771 {
3772 uschar *s = *sptr;
3773 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3774 if (*error == NULL)
3775   {
3776   while (*s == '|')
3777     {
3778     int_eximarith_t y;
3779     s++;
3780     y = eval_op_xor(&s, decimal, error);
3781     if (*error != NULL) break;
3782     x |= y;
3783     }
3784   }
3785 *sptr = s;
3786 return x;
3787 }
3788
3789
3790
3791 /*************************************************
3792 *                 Expand string                  *
3793 *************************************************/
3794
3795 /* Returns either an unchanged string, or the expanded string in stacking pool
3796 store. Interpreted sequences are:
3797
3798    \...                    normal escaping rules
3799    $name                   substitutes the variable
3800    ${name}                 ditto
3801    ${op:string}            operates on the expanded string value
3802    ${item{arg1}{arg2}...}  expands the args and then does the business
3803                              some literal args are not enclosed in {}
3804
3805 There are now far too many operators and item types to make it worth listing
3806 them here in detail any more.
3807
3808 We use an internal routine recursively to handle embedded substrings. The
3809 external function follows. The yield is NULL if the expansion failed, and there
3810 are two cases: if something collapsed syntactically, or if "fail" was given
3811 as the action on a lookup failure. These can be distinguished by looking at the
3812 variable expand_string_forcedfail, which is TRUE in the latter case.
3813
3814 The skipping flag is set true when expanding a substring that isn't actually
3815 going to be used (after "if" or "lookup") and it prevents lookups from
3816 happening lower down.
3817
3818 Store usage: At start, a store block of the length of the input plus 64
3819 is obtained. This is expanded as necessary by string_cat(), which might have to
3820 get a new block, or might be able to expand the original. At the end of the
3821 function we can release any store above that portion of the yield block that
3822 was actually used. In many cases this will be optimal.
3823
3824 However: if the first item in the expansion is a variable name or header name,
3825 we reset the store before processing it; if the result is in fresh store, we
3826 use that without copying. This is helpful for expanding strings like
3827 $message_headers which can get very long.
3828
3829 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3830 since resetting the store at the end of the expansion will free store that was
3831 allocated by the plugin code as well as the slop after the expanded string. So
3832 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3833 and, given the acl condition, ${if }. This is an unfortunate consequence of
3834 string expansion becoming too powerful.
3835
3836 Arguments:
3837   string         the string to be expanded
3838   ket_ends       true if expansion is to stop at }
3839   left           if not NULL, a pointer to the first character after the
3840                  expansion is placed here (typically used with ket_ends)
3841   skipping       TRUE for recursive calls when the value isn't actually going
3842                  to be used (to allow for optimisation)
3843   honour_dollar  TRUE if $ is to be expanded,
3844                  FALSE if it's just another character
3845   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3846                  the store.
3847
3848 Returns:         NULL if expansion fails:
3849                    expand_string_forcedfail is set TRUE if failure was forced
3850                    expand_string_message contains a textual error message
3851                  a pointer to the expanded string on success
3852 */
3853
3854 static uschar *
3855 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3856   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3857 {
3858 int ptr = 0;
3859 int size = Ustrlen(string)+ 64;
3860 uschar *yield = store_get(size);
3861 int item_type;
3862 const uschar *s = string;
3863 uschar *save_expand_nstring[EXPAND_MAXN+1];
3864 int save_expand_nlength[EXPAND_MAXN+1];
3865 BOOL resetok = TRUE;
3866
3867 expand_level++;
3868 DEBUG(D_expand)
3869   debug_printf_indent(UTF8_DOWN_RIGHT "%s: %s\n",
3870     skipping
3871     ? UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ "scanning"
3872     : "considering",
3873     string);
3874
3875 expand_string_forcedfail = FALSE;
3876 expand_string_message = US"";
3877
3878 while (*s != 0)
3879   {
3880   uschar *value;
3881   uschar name[256];
3882
3883   /* \ escapes the next character, which must exist, or else
3884   the expansion fails. There's a special escape, \N, which causes
3885   copying of the subject verbatim up to the next \N. Otherwise,
3886   the escapes are the standard set. */
3887
3888   if (*s == '\\')
3889     {
3890     if (s[1] == 0)
3891       {
3892       expand_string_message = US"\\ at end of string";
3893       goto EXPAND_FAILED;
3894       }
3895
3896     if (s[1] == 'N')
3897       {
3898       const uschar * t = s + 2;
3899       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3900       yield = string_catn(yield, &size, &ptr, t, s - t);
3901       if (*s != 0) s += 2;
3902       }
3903
3904     else
3905       {
3906       uschar ch[1];
3907       ch[0] = string_interpret_escape(&s);
3908       s++;
3909       yield = string_catn(yield, &size, &ptr, ch, 1);
3910       }
3911
3912     continue;
3913     }
3914
3915   /*{*/
3916   /* Anything other than $ is just copied verbatim, unless we are
3917   looking for a terminating } character. */
3918
3919   /*{*/
3920   if (ket_ends && *s == '}') break;
3921
3922   if (*s != '$' || !honour_dollar)
3923     {
3924     yield = string_catn(yield, &size, &ptr, s++, 1);
3925     continue;
3926     }
3927
3928   /* No { after the $ - must be a plain name or a number for string
3929   match variable. There has to be a fudge for variables that are the
3930   names of header fields preceded by "$header_" because header field
3931   names can contain any printing characters except space and colon.
3932   For those that don't like typing this much, "$h_" is a synonym for
3933   "$header_". A non-existent header yields a NULL value; nothing is
3934   inserted. */  /*}*/
3935
3936   if (isalpha((*(++s))))
3937     {
3938     int len;
3939     int newsize = 0;
3940
3941     s = read_name(name, sizeof(name), s, US"_");
3942
3943     /* If this is the first thing to be expanded, release the pre-allocated
3944     buffer. */
3945
3946     if (ptr == 0 && yield != NULL)
3947       {
3948       if (resetok) store_reset(yield);
3949       yield = NULL;
3950       size = 0;
3951       }
3952
3953     /* Header */
3954
3955     if (Ustrncmp(name, "h_", 2) == 0 ||
3956         Ustrncmp(name, "rh_", 3) == 0 ||
3957         Ustrncmp(name, "bh_", 3) == 0 ||
3958         Ustrncmp(name, "header_", 7) == 0 ||
3959         Ustrncmp(name, "rheader_", 8) == 0 ||
3960         Ustrncmp(name, "bheader_", 8) == 0)
3961       {
3962       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3963       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3964       s = read_header_name(name, sizeof(name), s);
3965       value = find_header(name, FALSE, &newsize, want_raw, charset);
3966
3967       /* If we didn't find the header, and the header contains a closing brace
3968       character, this may be a user error where the terminating colon
3969       has been omitted. Set a flag to adjust the error message in this case.
3970       But there is no error here - nothing gets inserted. */
3971
3972       if (value == NULL)
3973         {
3974         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3975         continue;
3976         }
3977       }
3978
3979     /* Variable */
3980
3981     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
3982       {
3983       expand_string_message =
3984         string_sprintf("unknown variable name \"%s\"", name);
3985         check_variable_error_message(name);
3986       goto EXPAND_FAILED;
3987       }
3988
3989     /* If the data is known to be in a new buffer, newsize will be set to the
3990     size of that buffer. If this is the first thing in an expansion string,
3991     yield will be NULL; just point it at the new store instead of copying. Many
3992     expansion strings contain just one reference, so this is a useful
3993     optimization, especially for humungous headers. */
3994
3995     len = Ustrlen(value);
3996     if (yield == NULL && newsize != 0)
3997       {
3998       yield = value;
3999       size = newsize;
4000       ptr = len;
4001       }
4002     else yield = string_catn(yield, &size, &ptr, value, len);
4003
4004     continue;
4005     }
4006
4007   if (isdigit(*s))
4008     {
4009     int n;
4010     s = read_cnumber(&n, s);
4011     if (n >= 0 && n <= expand_nmax)
4012       yield = string_catn(yield, &size, &ptr, expand_nstring[n],
4013         expand_nlength[n]);
4014     continue;
4015     }
4016
4017   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4018
4019   if (*s != '{')                                                        /*}*/
4020     {
4021     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4022     goto EXPAND_FAILED;
4023     }
4024
4025   /* After { there can be various things, but they all start with
4026   an initial word, except for a number for a string match variable. */
4027
4028   if (isdigit((*(++s))))
4029     {
4030     int n;
4031     s = read_cnumber(&n, s);            /*{*/
4032     if (*s++ != '}')
4033       {                                 /*{*/
4034       expand_string_message = US"} expected after number";
4035       goto EXPAND_FAILED;
4036       }
4037     if (n >= 0 && n <= expand_nmax)
4038       yield = string_catn(yield, &size, &ptr, expand_nstring[n],
4039         expand_nlength[n]);
4040     continue;
4041     }
4042
4043   if (!isalpha(*s))
4044     {
4045     expand_string_message = US"letter or digit expected after ${";      /*}*/
4046     goto EXPAND_FAILED;
4047     }
4048
4049   /* Allow "-" in names to cater for substrings with negative
4050   arguments. Since we are checking for known names after { this is
4051   OK. */
4052
4053   s = read_name(name, sizeof(name), s, US"_-");
4054   item_type = chop_match(name, item_table, nelem(item_table));
4055
4056   switch(item_type)
4057     {
4058     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4059     If the ACL returns accept or reject we return content set by "message ="
4060     There is currently no limit on recursion; this would have us call
4061     acl_check_internal() directly and get a current level from somewhere.
4062     See also the acl expansion condition ECOND_ACL and the traditional
4063     acl modifier ACLC_ACL.
4064     Assume that the function has side-effects on the store that must be preserved.
4065     */
4066
4067     case EITEM_ACL:
4068       /* ${acl {name} {arg1}{arg2}...} */
4069       {
4070       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4071       uschar *user_msg;
4072
4073       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4074                       &resetok))
4075         {
4076         case 1: goto EXPAND_FAILED_CURLY;
4077         case 2:
4078         case 3: goto EXPAND_FAILED;
4079         }
4080       if (skipping) continue;
4081
4082       resetok = FALSE;
4083       switch(eval_acl(sub, nelem(sub), &user_msg))
4084         {
4085         case OK:
4086         case FAIL:
4087           DEBUG(D_expand)
4088             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4089           if (user_msg)
4090             yield = string_cat(yield, &size, &ptr, user_msg);
4091           continue;
4092
4093         case DEFER:
4094           expand_string_forcedfail = TRUE;
4095           /*FALLTHROUGH*/
4096         default:
4097           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4098           goto EXPAND_FAILED;
4099         }
4100       }
4101
4102     /* Handle conditionals - preserve the values of the numerical expansion
4103     variables in case they get changed by a regular expression match in the
4104     condition. If not, they retain their external settings. At the end
4105     of this "if" section, they get restored to their previous values. */
4106
4107     case EITEM_IF:
4108       {
4109       BOOL cond = FALSE;
4110       const uschar *next_s;
4111       int save_expand_nmax =
4112         save_expand_strings(save_expand_nstring, save_expand_nlength);
4113
4114       while (isspace(*s)) s++;
4115       next_s = eval_condition(s, &resetok, skipping ? NULL : &cond);
4116       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4117
4118       DEBUG(D_expand)
4119         {
4120         debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4121           "condition: %.*s\n",
4122           (int)(next_s - s), s);
4123         debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4124           UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
4125           "result: %s\n",
4126           cond ? "true" : "false");
4127         }
4128
4129       s = next_s;
4130
4131       /* The handling of "yes" and "no" result strings is now in a separate
4132       function that is also used by ${lookup} and ${extract} and ${run}. */
4133
4134       switch(process_yesno(
4135                skipping,                     /* were previously skipping */
4136                cond,                         /* success/failure indicator */
4137                lookup_value,                 /* value to reset for string2 */
4138                &s,                           /* input pointer */
4139                &yield,                       /* output pointer */
4140                &size,                        /* output size */
4141                &ptr,                         /* output current point */
4142                US"if",                       /* condition type */
4143                &resetok))
4144         {
4145         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4146         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4147         }
4148
4149       /* Restore external setting of expansion variables for continuation
4150       at this level. */
4151
4152       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4153         save_expand_nlength);
4154       continue;
4155       }
4156
4157 #ifdef SUPPORT_I18N
4158     case EITEM_IMAPFOLDER:
4159       {                         /* ${imapfolder {name}{sep]{specials}} */
4160       uschar *sub_arg[3];
4161       uschar *encoded;
4162
4163       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4164                       &resetok))
4165         {
4166         case 1: goto EXPAND_FAILED_CURLY;
4167         case 2:
4168         case 3: goto EXPAND_FAILED;
4169         }
4170
4171       if (sub_arg[1] == NULL)           /* One argument */
4172         {
4173         sub_arg[1] = US"/";             /* default separator */
4174         sub_arg[2] = NULL;
4175         }
4176       else if (Ustrlen(sub_arg[1]) != 1)
4177         {
4178         expand_string_message =
4179           string_sprintf(
4180                 "IMAP folder separator must be one character, found \"%s\"",
4181                 sub_arg[1]);
4182         goto EXPAND_FAILED;
4183         }
4184
4185       if (!skipping)
4186         {
4187         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4188                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4189           goto EXPAND_FAILED;
4190         yield = string_cat(yield, &size, &ptr, encoded);
4191         }
4192       continue;
4193       }
4194 #endif
4195
4196     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4197     expanding an internal string that isn't actually going to be used. All we
4198     need to do is check the syntax, so don't do a lookup at all. Preserve the
4199     values of the numerical expansion variables in case they get changed by a
4200     partial lookup. If not, they retain their external settings. At the end
4201     of this "lookup" section, they get restored to their previous values. */
4202
4203     case EITEM_LOOKUP:
4204       {
4205       int stype, partial, affixlen, starflags;
4206       int expand_setup = 0;
4207       int nameptr = 0;
4208       uschar *key, *filename;
4209       const uschar *affix;
4210       uschar *save_lookup_value = lookup_value;
4211       int save_expand_nmax =
4212         save_expand_strings(save_expand_nstring, save_expand_nlength);
4213
4214       if ((expand_forbid & RDO_LOOKUP) != 0)
4215         {
4216         expand_string_message = US"lookup expansions are not permitted";
4217         goto EXPAND_FAILED;
4218         }
4219
4220       /* Get the key we are to look up for single-key+file style lookups.
4221       Otherwise set the key NULL pro-tem. */
4222
4223       while (isspace(*s)) s++;
4224       if (*s == '{')                                    /*}*/
4225         {
4226         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4227         if (!key) goto EXPAND_FAILED;                   /*{{*/
4228         if (*s++ != '}')
4229           {
4230           expand_string_message = US"missing '}' after lookup key";
4231           goto EXPAND_FAILED_CURLY;
4232           }
4233         while (isspace(*s)) s++;
4234         }
4235       else key = NULL;
4236
4237       /* Find out the type of database */
4238
4239       if (!isalpha(*s))
4240         {
4241         expand_string_message = US"missing lookup type";
4242         goto EXPAND_FAILED;
4243         }
4244
4245       /* The type is a string that may contain special characters of various
4246       kinds. Allow everything except space or { to appear; the actual content
4247       is checked by search_findtype_partial. */         /*}*/
4248
4249       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4250         {
4251         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4252         s++;
4253         }
4254       name[nameptr] = 0;
4255       while (isspace(*s)) s++;
4256
4257       /* Now check for the individual search type and any partial or default
4258       options. Only those types that are actually in the binary are valid. */
4259
4260       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4261         &starflags);
4262       if (stype < 0)
4263         {
4264         expand_string_message = search_error_message;
4265         goto EXPAND_FAILED;
4266         }
4267
4268       /* Check that a key was provided for those lookup types that need it,
4269       and was not supplied for those that use the query style. */
4270
4271       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4272         {
4273         if (key == NULL)
4274           {
4275           expand_string_message = string_sprintf("missing {key} for single-"
4276             "key \"%s\" lookup", name);
4277           goto EXPAND_FAILED;
4278           }
4279         }
4280       else
4281         {
4282         if (key != NULL)
4283           {
4284           expand_string_message = string_sprintf("a single key was given for "
4285             "lookup type \"%s\", which is not a single-key lookup type", name);
4286           goto EXPAND_FAILED;
4287           }
4288         }
4289
4290       /* Get the next string in brackets and expand it. It is the file name for
4291       single-key+file lookups, and the whole query otherwise. In the case of
4292       queries that also require a file name (e.g. sqlite), the file name comes
4293       first. */
4294
4295       if (*s != '{')
4296         {
4297         expand_string_message = US"missing '{' for lookup file-or-query arg";
4298         goto EXPAND_FAILED_CURLY;
4299         }
4300       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4301       if (filename == NULL) goto EXPAND_FAILED;
4302       if (*s++ != '}')
4303         {
4304         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4305         goto EXPAND_FAILED_CURLY;
4306         }
4307       while (isspace(*s)) s++;
4308
4309       /* If this isn't a single-key+file lookup, re-arrange the variables
4310       to be appropriate for the search_ functions. For query-style lookups,
4311       there is just a "key", and no file name. For the special query-style +
4312       file types, the query (i.e. "key") starts with a file name. */
4313
4314       if (!key)
4315         {
4316         while (isspace(*filename)) filename++;
4317         key = filename;
4318
4319         if (mac_islookup(stype, lookup_querystyle))
4320           filename = NULL;
4321         else
4322           {
4323           if (*filename != '/')
4324             {
4325             expand_string_message = string_sprintf(
4326               "absolute file name expected for \"%s\" lookup", name);
4327             goto EXPAND_FAILED;
4328             }
4329           while (*key != 0 && !isspace(*key)) key++;
4330           if (*key != 0) *key++ = 0;
4331           }
4332         }
4333
4334       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4335       the entry was not found. Note that there is no search_close() function.
4336       Files are left open in case of re-use. At suitable places in higher logic,
4337       search_tidyup() is called to tidy all open files. This can save opening
4338       the same file several times. However, files may also get closed when
4339       others are opened, if too many are open at once. The rule is that a
4340       handle should not be used after a second search_open().
4341
4342       Request that a partial search sets up $1 and maybe $2 by passing
4343       expand_setup containing zero. If its value changes, reset expand_nmax,
4344       since new variables will have been set. Note that at the end of this
4345       "lookup" section, the old numeric variables are restored. */
4346
4347       if (skipping)
4348         lookup_value = NULL;
4349       else
4350         {
4351         void *handle = search_open(filename, stype, 0, NULL, NULL);
4352         if (handle == NULL)
4353           {
4354           expand_string_message = search_error_message;
4355           goto EXPAND_FAILED;
4356           }
4357         lookup_value = search_find(handle, filename, key, partial, affix,
4358           affixlen, starflags, &expand_setup);
4359         if (search_find_defer)
4360           {
4361           expand_string_message =
4362             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4363               string_printing2(key, FALSE), search_error_message);
4364           goto EXPAND_FAILED;
4365           }
4366         if (expand_setup > 0) expand_nmax = expand_setup;
4367         }
4368
4369       /* The handling of "yes" and "no" result strings is now in a separate
4370       function that is also used by ${if} and ${extract}. */
4371
4372       switch(process_yesno(
4373                skipping,                     /* were previously skipping */
4374                lookup_value != NULL,         /* success/failure indicator */
4375                save_lookup_value,            /* value to reset for string2 */
4376                &s,                           /* input pointer */
4377                &yield,                       /* output pointer */
4378                &size,                        /* output size */
4379                &ptr,                         /* output current point */
4380                US"lookup",                   /* condition type */
4381                &resetok))
4382         {
4383         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4384         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4385         }
4386
4387       /* Restore external setting of expansion variables for carrying on
4388       at this level, and continue. */
4389
4390       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4391         save_expand_nlength);
4392       continue;
4393       }
4394
4395     /* If Perl support is configured, handle calling embedded perl subroutines,
4396     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4397     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4398     arguments (defined below). */
4399
4400     #define EXIM_PERL_MAX_ARGS 8
4401
4402     case EITEM_PERL:
4403     #ifndef EXIM_PERL
4404     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4405       "is not included in this binary";
4406     goto EXPAND_FAILED;
4407
4408     #else   /* EXIM_PERL */
4409       {
4410       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4411       uschar *new_yield;
4412
4413       if ((expand_forbid & RDO_PERL) != 0)
4414         {
4415         expand_string_message = US"Perl calls are not permitted";
4416         goto EXPAND_FAILED;
4417         }
4418
4419       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4420            US"perl", &resetok))
4421         {
4422         case 1: goto EXPAND_FAILED_CURLY;
4423         case 2:
4424         case 3: goto EXPAND_FAILED;
4425         }
4426
4427       /* If skipping, we don't actually do anything */
4428
4429       if (skipping) continue;
4430
4431       /* Start the interpreter if necessary */
4432
4433       if (!opt_perl_started)
4434         {
4435         uschar *initerror;
4436         if (opt_perl_startup == NULL)
4437           {
4438           expand_string_message = US"A setting of perl_startup is needed when "
4439             "using the Perl interpreter";
4440           goto EXPAND_FAILED;
4441           }
4442         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4443         initerror = init_perl(opt_perl_startup);
4444         if (initerror != NULL)
4445           {
4446           expand_string_message =
4447             string_sprintf("error in perl_startup code: %s\n", initerror);
4448           goto EXPAND_FAILED;
4449           }
4450         opt_perl_started = TRUE;
4451         }
4452
4453       /* Call the function */
4454
4455       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4456       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4457         sub_arg[0], sub_arg + 1);
4458
4459       /* NULL yield indicates failure; if the message pointer has been set to
4460       NULL, the yield was undef, indicating a forced failure. Otherwise the
4461       message will indicate some kind of Perl error. */
4462
4463       if (new_yield == NULL)
4464         {
4465         if (expand_string_message == NULL)
4466           {
4467           expand_string_message =
4468             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4469               "failure", sub_arg[0]);
4470           expand_string_forcedfail = TRUE;
4471           }
4472         goto EXPAND_FAILED;
4473         }
4474
4475       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4476       set during a callback from Perl. */
4477
4478       expand_string_forcedfail = FALSE;
4479       yield = new_yield;
4480       continue;
4481       }
4482     #endif /* EXIM_PERL */
4483
4484     /* Transform email address to "prvs" scheme to use
4485        as BATV-signed return path */
4486
4487     case EITEM_PRVS:
4488       {
4489       uschar *sub_arg[3];
4490       uschar *p,*domain;
4491
4492       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4493         {
4494         case 1: goto EXPAND_FAILED_CURLY;
4495         case 2:
4496         case 3: goto EXPAND_FAILED;
4497         }
4498
4499       /* If skipping, we don't actually do anything */
4500       if (skipping) continue;
4501
4502       /* sub_arg[0] is the address */
4503       domain = Ustrrchr(sub_arg[0],'@');
4504       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4505         {
4506         expand_string_message = US"prvs first argument must be a qualified email address";
4507         goto EXPAND_FAILED;
4508         }
4509
4510       /* Calculate the hash. The second argument must be a single-digit
4511       key number, or unset. */
4512
4513       if (sub_arg[2] != NULL &&
4514           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4515         {
4516         expand_string_message = US"prvs second argument must be a single digit";
4517         goto EXPAND_FAILED;
4518         }
4519
4520       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4521       if (p == NULL)
4522         {
4523         expand_string_message = US"prvs hmac-sha1 conversion failed";
4524         goto EXPAND_FAILED;
4525         }
4526
4527       /* Now separate the domain from the local part */
4528       *domain++ = '\0';
4529
4530       yield = string_catn(yield, &size, &ptr, US"prvs=", 5);
4531       yield = string_catn(yield, &size, &ptr, sub_arg[2] ? sub_arg[2] : US"0", 1);
4532       yield = string_catn(yield, &size, &ptr, prvs_daystamp(7), 3);
4533       yield = string_catn(yield, &size, &ptr, p, 6);
4534       yield = string_catn(yield, &size, &ptr, US"=", 1);
4535       yield = string_cat (yield, &size, &ptr, sub_arg[0]);
4536       yield = string_catn(yield, &size, &ptr, US"@", 1);
4537       yield = string_cat (yield, &size, &ptr, domain);
4538
4539       continue;
4540       }
4541
4542     /* Check a prvs-encoded address for validity */
4543
4544     case EITEM_PRVSCHECK:
4545       {
4546       uschar *sub_arg[3];
4547       int mysize = 0, myptr = 0;
4548       const pcre *re;
4549       uschar *p;
4550
4551       /* TF: Ugliness: We want to expand parameter 1 first, then set
4552          up expansion variables that are used in the expansion of
4553          parameter 2. So we clone the string for the first
4554          expansion, where we only expand parameter 1.
4555
4556          PH: Actually, that isn't necessary. The read_subs() function is
4557          designed to work this way for the ${if and ${lookup expansions. I've
4558          tidied the code.
4559       */
4560
4561       /* Reset expansion variables */
4562       prvscheck_result = NULL;
4563       prvscheck_address = NULL;
4564       prvscheck_keynum = NULL;
4565
4566       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4567         {
4568         case 1: goto EXPAND_FAILED_CURLY;
4569         case 2:
4570         case 3: goto EXPAND_FAILED;
4571         }
4572
4573       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4574                               TRUE,FALSE);
4575
4576       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4577         {
4578         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4579         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4580         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4581         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4582         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4583
4584         DEBUG(D_expand) debug_printf_indent("prvscheck localpart: %s\n", local_part);
4585         DEBUG(D_expand) debug_printf_indent("prvscheck key number: %s\n", key_num);
4586         DEBUG(D_expand) debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
4587         DEBUG(D_expand) debug_printf_indent("prvscheck hash: %s\n", hash);
4588         DEBUG(D_expand) debug_printf_indent("prvscheck domain: %s\n", domain);
4589
4590         /* Set up expansion variables */
4591         prvscheck_address = string_cat (NULL, &mysize, &myptr, local_part);
4592         prvscheck_address = string_catn(prvscheck_address, &mysize, &myptr, US"@", 1);
4593         prvscheck_address = string_cat (prvscheck_address, &mysize, &myptr, domain);
4594         prvscheck_address[myptr] = '\0';
4595         prvscheck_keynum = string_copy(key_num);
4596
4597         /* Now expand the second argument */
4598         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4599           {
4600           case 1: goto EXPAND_FAILED_CURLY;
4601           case 2:
4602           case 3: goto EXPAND_FAILED;
4603           }
4604
4605         /* Now we have the key and can check the address. */
4606
4607         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4608           daystamp);
4609
4610         if (p == NULL)
4611           {
4612           expand_string_message = US"hmac-sha1 conversion failed";
4613           goto EXPAND_FAILED;
4614           }
4615
4616         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
4617         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
4618
4619         if (Ustrcmp(p,hash) == 0)
4620           {
4621           /* Success, valid BATV address. Now check the expiry date. */
4622           uschar *now = prvs_daystamp(0);
4623           unsigned int inow = 0,iexpire = 1;
4624
4625           (void)sscanf(CS now,"%u",&inow);
4626           (void)sscanf(CS daystamp,"%u",&iexpire);
4627
4628           /* When "iexpire" is < 7, a "flip" has occured.
4629              Adjust "inow" accordingly. */
4630           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4631
4632           if (iexpire >= inow)
4633             {
4634             prvscheck_result = US"1";
4635             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $pvrs_result set to 1\n");
4636             }
4637             else
4638             {
4639             prvscheck_result = NULL;
4640             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $pvrs_result unset\n");
4641             }
4642           }
4643         else
4644           {
4645           prvscheck_result = NULL;
4646           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $pvrs_result unset\n");
4647           }
4648
4649         /* Now expand the final argument. We leave this till now so that
4650         it can include $prvscheck_result. */
4651
4652         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4653           {
4654           case 1: goto EXPAND_FAILED_CURLY;
4655           case 2:
4656           case 3: goto EXPAND_FAILED;
4657           }
4658
4659         yield = string_cat(yield, &size, &ptr,
4660           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
4661
4662         /* Reset the "internal" variables afterwards, because they are in
4663         dynamic store that will be reclaimed if the expansion succeeded. */
4664
4665         prvscheck_address = NULL;
4666         prvscheck_keynum = NULL;
4667         }
4668       else
4669         /* Does not look like a prvs encoded address, return the empty string.
4670            We need to make sure all subs are expanded first, so as to skip over
4671            the entire item. */
4672
4673         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4674           {
4675           case 1: goto EXPAND_FAILED_CURLY;
4676           case 2:
4677           case 3: goto EXPAND_FAILED;
4678           }
4679
4680       continue;
4681       }
4682
4683     /* Handle "readfile" to insert an entire file */
4684
4685     case EITEM_READFILE:
4686       {
4687       FILE *f;
4688       uschar *sub_arg[2];
4689
4690       if ((expand_forbid & RDO_READFILE) != 0)
4691         {
4692         expand_string_message = US"file insertions are not permitted";
4693         goto EXPAND_FAILED;
4694         }
4695
4696       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4697         {
4698         case 1: goto EXPAND_FAILED_CURLY;
4699         case 2:
4700         case 3: goto EXPAND_FAILED;
4701         }
4702
4703       /* If skipping, we don't actually do anything */
4704
4705       if (skipping) continue;
4706
4707       /* Open the file and read it */
4708
4709       f = Ufopen(sub_arg[0], "rb");
4710       if (f == NULL)
4711         {
4712         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4713         goto EXPAND_FAILED;
4714         }
4715
4716       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4717       (void)fclose(f);
4718       continue;
4719       }
4720
4721     /* Handle "readsocket" to insert data from a Unix domain socket */
4722
4723     case EITEM_READSOCK:
4724       {
4725       int fd;
4726       int timeout = 5;
4727       int save_ptr = ptr;
4728       FILE *f;
4729       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4730       uschar *arg;
4731       uschar *sub_arg[4];
4732       BOOL do_shutdown = TRUE;
4733
4734       if (expand_forbid & RDO_READSOCK)
4735         {
4736         expand_string_message = US"socket insertions are not permitted";
4737         goto EXPAND_FAILED;
4738         }
4739
4740       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4741       because there may be a string for expansion on failure. */
4742
4743       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4744         {
4745         case 1: goto EXPAND_FAILED_CURLY;
4746         case 2:                             /* Won't occur: no end check */
4747         case 3: goto EXPAND_FAILED;
4748         }
4749
4750       /* Sort out timeout, if given.  The second arg is a list with the first element
4751       being a time value.  Any more are options of form "name=value".  Currently the
4752       only option recognised is "shutdown". */
4753
4754       if (sub_arg[2])
4755         {
4756         const uschar * list = sub_arg[2];
4757         uschar * item;
4758         int sep = 0;
4759
4760         item = string_nextinlist(&list, &sep, NULL, 0);
4761         if ((timeout = readconf_readtime(item, 0, FALSE)) < 0)
4762           {
4763           expand_string_message = string_sprintf("bad time value %s", item);
4764           goto EXPAND_FAILED;
4765           }
4766
4767         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
4768           if (Ustrncmp(item, US"shutdown=", 9) == 0)
4769             if (Ustrcmp(item + 9, US"no") == 0)
4770               do_shutdown = FALSE;
4771         }
4772       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4773
4774       /* If skipping, we don't actually do anything. Otherwise, arrange to
4775       connect to either an IP or a Unix socket. */
4776
4777       if (!skipping)
4778         {
4779         /* Handle an IP (internet) domain */
4780
4781         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4782           {
4783           int port;
4784           uschar *server_name = sub_arg[0] + 5;
4785           uschar *port_name = Ustrrchr(server_name, ':');
4786
4787           /* Sort out the port */
4788
4789           if (port_name == NULL)
4790             {
4791             expand_string_message =
4792               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4793             goto EXPAND_FAILED;
4794             }
4795           *port_name++ = 0;           /* Terminate server name */
4796
4797           if (isdigit(*port_name))
4798             {
4799             uschar *end;
4800             port = Ustrtol(port_name, &end, 0);
4801             if (end != port_name + Ustrlen(port_name))
4802               {
4803               expand_string_message =
4804                 string_sprintf("invalid port number %s", port_name);
4805               goto EXPAND_FAILED;
4806               }
4807             }
4808           else
4809             {
4810             struct servent *service_info = getservbyname(CS port_name, "tcp");
4811             if (service_info == NULL)
4812               {
4813               expand_string_message = string_sprintf("unknown port \"%s\"",
4814                 port_name);
4815               goto EXPAND_FAILED;
4816               }
4817             port = ntohs(service_info->s_port);
4818             }
4819
4820           fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4821                   timeout, NULL, &expand_string_message);
4822           callout_address = NULL;
4823           if (fd < 0)
4824               goto SOCK_FAIL;
4825           }
4826
4827         /* Handle a Unix domain socket */
4828
4829         else
4830           {
4831           int rc;
4832           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4833             {
4834             expand_string_message = string_sprintf("failed to create socket: %s",
4835               strerror(errno));
4836             goto SOCK_FAIL;
4837             }
4838
4839           sockun.sun_family = AF_UNIX;
4840           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4841             sub_arg[0]);
4842
4843           sigalrm_seen = FALSE;
4844           alarm(timeout);
4845           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4846           alarm(0);
4847           if (sigalrm_seen)
4848             {
4849             expand_string_message = US "socket connect timed out";
4850             goto SOCK_FAIL;
4851             }
4852           if (rc < 0)
4853             {
4854             expand_string_message = string_sprintf("failed to connect to socket "
4855               "%s: %s", sub_arg[0], strerror(errno));
4856             goto SOCK_FAIL;
4857             }
4858           }
4859
4860         DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
4861
4862         /* Allow sequencing of test actions */
4863         if (running_in_test_harness) millisleep(100);
4864
4865         /* Write the request string, if not empty */
4866
4867         if (sub_arg[1][0] != 0)
4868           {
4869           int len = Ustrlen(sub_arg[1]);
4870           DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
4871             sub_arg[1]);
4872           if (write(fd, sub_arg[1], len) != len)
4873             {
4874             expand_string_message = string_sprintf("request write to socket "
4875               "failed: %s", strerror(errno));
4876             goto SOCK_FAIL;
4877             }
4878           }
4879
4880         /* Shut down the sending side of the socket. This helps some servers to
4881         recognise that it is their turn to do some work. Just in case some
4882         system doesn't have this function, make it conditional. */
4883
4884 #ifdef SHUT_WR
4885         if (do_shutdown) shutdown(fd, SHUT_WR);
4886 #endif
4887
4888         if (running_in_test_harness) millisleep(100);
4889
4890         /* Now we need to read from the socket, under a timeout. The function
4891         that reads a file can be used. */
4892
4893         f = fdopen(fd, "rb");
4894         sigalrm_seen = FALSE;
4895         alarm(timeout);
4896         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4897         alarm(0);
4898         (void)fclose(f);
4899
4900         /* After a timeout, we restore the pointer in the result, that is,
4901         make sure we add nothing from the socket. */
4902
4903         if (sigalrm_seen)
4904           {
4905           ptr = save_ptr;
4906           expand_string_message = US "socket read timed out";
4907           goto SOCK_FAIL;
4908           }
4909         }
4910
4911       /* The whole thing has worked (or we were skipping). If there is a
4912       failure string following, we need to skip it. */
4913
4914       if (*s == '{')
4915         {
4916         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4917           goto EXPAND_FAILED;
4918         if (*s++ != '}')
4919           {
4920           expand_string_message = US"missing '}' closing failstring for readsocket";
4921           goto EXPAND_FAILED_CURLY;
4922           }
4923         while (isspace(*s)) s++;
4924         }
4925
4926     READSOCK_DONE:
4927       if (*s++ != '}')
4928         {
4929         expand_string_message = US"missing '}' closing readsocket";
4930         goto EXPAND_FAILED_CURLY;
4931         }
4932       continue;
4933
4934       /* Come here on failure to create socket, connect socket, write to the
4935       socket, or timeout on reading. If another substring follows, expand and
4936       use it. Otherwise, those conditions give expand errors. */
4937
4938     SOCK_FAIL:
4939       if (*s != '{') goto EXPAND_FAILED;
4940       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4941       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
4942         goto EXPAND_FAILED;
4943       yield = string_cat(yield, &size, &ptr, arg);
4944       if (*s++ != '}')
4945         {
4946         expand_string_message = US"missing '}' closing failstring for readsocket";
4947         goto EXPAND_FAILED_CURLY;
4948         }
4949       while (isspace(*s)) s++;
4950       goto READSOCK_DONE;
4951       }
4952
4953     /* Handle "run" to execute a program. */
4954
4955     case EITEM_RUN:
4956       {
4957       FILE *f;
4958       uschar *arg;
4959       const uschar **argv;
4960       pid_t pid;
4961       int fd_in, fd_out;
4962       int lsize = 0, lptr = 0;
4963
4964       if ((expand_forbid & RDO_RUN) != 0)
4965         {
4966         expand_string_message = US"running a command is not permitted";
4967         goto EXPAND_FAILED;
4968         }
4969
4970       while (isspace(*s)) s++;
4971       if (*s != '{')
4972         {
4973         expand_string_message = US"missing '{' for command arg of run";
4974         goto EXPAND_FAILED_CURLY;
4975         }
4976       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4977       if (arg == NULL) goto EXPAND_FAILED;
4978       while (isspace(*s)) s++;
4979       if (*s++ != '}')
4980         {
4981         expand_string_message = US"missing '}' closing command arg of run";
4982         goto EXPAND_FAILED_CURLY;
4983         }
4984
4985       if (skipping)   /* Just pretend it worked when we're skipping */
4986         {
4987         runrc = 0;
4988         lookup_value = NULL;
4989         }
4990       else
4991         {
4992         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4993             arg,                                /* raw command */
4994             FALSE,                              /* don't expand the arguments */
4995             0,                                  /* not relevant when... */
4996             NULL,                               /* no transporting address */
4997             US"${run} expansion",               /* for error messages */
4998             &expand_string_message))            /* where to put error message */
4999           goto EXPAND_FAILED;
5000
5001         /* Create the child process, making it a group leader. */
5002
5003         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
5004           {
5005           expand_string_message =
5006             string_sprintf("couldn't create child process: %s", strerror(errno));
5007           goto EXPAND_FAILED;
5008           }
5009
5010         /* Nothing is written to the standard input. */
5011
5012         (void)close(fd_in);
5013
5014         /* Read the pipe to get the command's output into $value (which is kept
5015         in lookup_value). Read during execution, so that if the output exceeds
5016         the OS pipe buffer limit, we don't block forever. Remember to not release
5017         memory just allocated for $value. */
5018
5019         resetok = FALSE;
5020         f = fdopen(fd_out, "rb");
5021         sigalrm_seen = FALSE;
5022         alarm(60);
5023         lookup_value = cat_file(f, NULL, &lsize, &lptr, NULL);
5024         alarm(0);
5025         (void)fclose(f);
5026
5027         /* Wait for the process to finish, applying the timeout, and inspect its
5028         return code for serious disasters. Simple non-zero returns are passed on.
5029         */
5030
5031         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5032           {
5033           if (sigalrm_seen || runrc == -256)
5034             {
5035             expand_string_message = string_sprintf("command timed out");
5036             killpg(pid, SIGKILL);       /* Kill the whole process group */
5037             }
5038
5039           else if (runrc == -257)
5040             expand_string_message = string_sprintf("wait() failed: %s",
5041               strerror(errno));
5042
5043           else
5044             expand_string_message = string_sprintf("command killed by signal %d",
5045               -runrc);
5046
5047           goto EXPAND_FAILED;
5048           }
5049         }
5050
5051       /* Process the yes/no strings; $value may be useful in both cases */
5052
5053       switch(process_yesno(
5054                skipping,                     /* were previously skipping */
5055                runrc == 0,                   /* success/failure indicator */
5056                lookup_value,                 /* value to reset for string2 */
5057                &s,                           /* input pointer */
5058                &yield,                       /* output pointer */
5059                &size,                        /* output size */
5060                &ptr,                         /* output current point */
5061                US"run",                      /* condition type */
5062                &resetok))
5063         {
5064         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5065         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5066         }
5067
5068       continue;
5069       }
5070
5071     /* Handle character translation for "tr" */
5072
5073     case EITEM_TR:
5074       {
5075       int oldptr = ptr;
5076       int o2m;
5077       uschar *sub[3];
5078
5079       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
5080         {
5081         case 1: goto EXPAND_FAILED_CURLY;
5082         case 2:
5083         case 3: goto EXPAND_FAILED;
5084         }
5085
5086       yield = string_cat(yield, &size, &ptr, sub[0]);
5087       o2m = Ustrlen(sub[2]) - 1;
5088
5089       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
5090         {
5091         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
5092         if (m != NULL)
5093           {
5094           int o = m - sub[1];
5095           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
5096           }
5097         }
5098
5099       continue;
5100       }
5101
5102     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5103     expanded arguments. */
5104
5105     case EITEM_HASH:
5106     case EITEM_LENGTH:
5107     case EITEM_NHASH:
5108     case EITEM_SUBSTR:
5109       {
5110       int i;
5111       int len;
5112       uschar *ret;
5113       int val[2] = { 0, -1 };
5114       uschar *sub[3];
5115
5116       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5117       Ensure that sub[2] is set in the ${length } case. */
5118
5119       sub[2] = NULL;
5120       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5121              TRUE, name, &resetok))
5122         {
5123         case 1: goto EXPAND_FAILED_CURLY;
5124         case 2:
5125         case 3: goto EXPAND_FAILED;
5126         }
5127
5128       /* Juggle the arguments if there are only two of them: always move the
5129       string to the last position and make ${length{n}{str}} equivalent to
5130       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5131
5132       if (sub[2] == NULL)
5133         {
5134         sub[2] = sub[1];
5135         sub[1] = NULL;
5136         if (item_type == EITEM_LENGTH)
5137           {
5138           sub[1] = sub[0];
5139           sub[0] = NULL;
5140           }
5141         }
5142
5143       for (i = 0; i < 2; i++)
5144         {
5145         if (sub[i] == NULL) continue;
5146         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5147         if (*ret != 0 || (i != 0 && val[i] < 0))
5148           {
5149           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5150             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5151           goto EXPAND_FAILED;
5152           }
5153         }
5154
5155       ret =
5156         (item_type == EITEM_HASH)?
5157           compute_hash(sub[2], val[0], val[1], &len) :
5158         (item_type == EITEM_NHASH)?
5159           compute_nhash(sub[2], val[0], val[1], &len) :
5160           extract_substr(sub[2], val[0], val[1], &len);
5161
5162       if (ret == NULL) goto EXPAND_FAILED;
5163       yield = string_catn(yield, &size, &ptr, ret, len);
5164       continue;
5165       }
5166
5167     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5168     This code originally contributed by Steve Haslam. It currently supports
5169     the use of MD5 and SHA-1 hashes.
5170
5171     We need some workspace that is large enough to handle all the supported
5172     hash types. Use macros to set the sizes rather than be too elaborate. */
5173
5174     #define MAX_HASHLEN      20
5175     #define MAX_HASHBLOCKLEN 64
5176
5177     case EITEM_HMAC:
5178       {
5179       uschar *sub[3];
5180       md5 md5_base;
5181       hctx sha1_ctx;
5182       void *use_base;
5183       int type, i;
5184       int hashlen;      /* Number of octets for the hash algorithm's output */
5185       int hashblocklen; /* Number of octets the hash algorithm processes */
5186       uschar *keyptr, *p;
5187       unsigned int keylen;
5188
5189       uschar keyhash[MAX_HASHLEN];
5190       uschar innerhash[MAX_HASHLEN];
5191       uschar finalhash[MAX_HASHLEN];
5192       uschar finalhash_hex[2*MAX_HASHLEN];
5193       uschar innerkey[MAX_HASHBLOCKLEN];
5194       uschar outerkey[MAX_HASHBLOCKLEN];
5195
5196       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5197         {
5198         case 1: goto EXPAND_FAILED_CURLY;
5199         case 2:
5200         case 3: goto EXPAND_FAILED;
5201         }
5202
5203       if (!skipping)
5204         {
5205         if (Ustrcmp(sub[0], "md5") == 0)
5206           {
5207           type = HMAC_MD5;
5208           use_base = &md5_base;
5209           hashlen = 16;
5210           hashblocklen = 64;
5211           }
5212         else if (Ustrcmp(sub[0], "sha1") == 0)
5213           {
5214           type = HMAC_SHA1;
5215           use_base = &sha1_ctx;
5216           hashlen = 20;
5217           hashblocklen = 64;
5218           }
5219         else
5220           {
5221           expand_string_message =
5222             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5223           goto EXPAND_FAILED;
5224           }
5225
5226         keyptr = sub[1];
5227         keylen = Ustrlen(keyptr);
5228
5229         /* If the key is longer than the hash block length, then hash the key
5230         first */
5231
5232         if (keylen > hashblocklen)
5233           {
5234           chash_start(type, use_base);
5235           chash_end(type, use_base, keyptr, keylen, keyhash);
5236           keyptr = keyhash;
5237           keylen = hashlen;
5238           }
5239
5240         /* Now make the inner and outer key values */
5241
5242         memset(innerkey, 0x36, hashblocklen);
5243         memset(outerkey, 0x5c, hashblocklen);
5244
5245         for (i = 0; i < keylen; i++)
5246           {
5247           innerkey[i] ^= keyptr[i];
5248           outerkey[i] ^= keyptr[i];
5249           }
5250
5251         /* Now do the hashes */
5252
5253         chash_start(type, use_base);
5254         chash_mid(type, use_base, innerkey);
5255         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5256
5257         chash_start(type, use_base);
5258         chash_mid(type, use_base, outerkey);
5259         chash_end(type, use_base, innerhash, hashlen, finalhash);
5260
5261         /* Encode the final hash as a hex string */
5262
5263         p = finalhash_hex;
5264         for (i = 0; i < hashlen; i++)
5265           {
5266           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5267           *p++ = hex_digits[finalhash[i] & 0x0f];
5268           }
5269
5270         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5271           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5272
5273         yield = string_catn(yield, &size, &ptr, finalhash_hex, hashlen*2);
5274         }
5275       continue;
5276       }
5277
5278     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5279     We have to save the numerical variables and restore them afterwards. */
5280
5281     case EITEM_SG:
5282       {
5283       const pcre *re;
5284       int moffset, moffsetextra, slen;
5285       int roffset;
5286       int emptyopt;
5287       const uschar *rerror;
5288       uschar *subject;
5289       uschar *sub[3];
5290       int save_expand_nmax =
5291         save_expand_strings(save_expand_nstring, save_expand_nlength);
5292
5293       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5294         {
5295         case 1: goto EXPAND_FAILED_CURLY;
5296         case 2:
5297         case 3: goto EXPAND_FAILED;
5298         }
5299
5300       /* Compile the regular expression */
5301
5302       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5303         NULL);
5304
5305       if (re == NULL)
5306         {
5307         expand_string_message = string_sprintf("regular expression error in "
5308           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5309         goto EXPAND_FAILED;
5310         }
5311
5312       /* Now run a loop to do the substitutions as often as necessary. It ends
5313       when there are no more matches. Take care over matches of the null string;
5314       do the same thing as Perl does. */
5315
5316       subject = sub[0];
5317       slen = Ustrlen(sub[0]);
5318       moffset = moffsetextra = 0;
5319       emptyopt = 0;
5320
5321       for (;;)
5322         {
5323         int ovector[3*(EXPAND_MAXN+1)];
5324         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5325           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5326         int nn;
5327         uschar *insert;
5328
5329         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5330         is not necessarily the end. We want to repeat the match from one
5331         character further along, but leaving the basic offset the same (for
5332         copying below). We can't be at the end of the string - that was checked
5333         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5334         finished; copy the remaining string and end the loop. */
5335
5336         if (n < 0)
5337           {
5338           if (emptyopt != 0)
5339             {
5340             moffsetextra = 1;
5341             emptyopt = 0;
5342             continue;
5343             }
5344           yield = string_catn(yield, &size, &ptr, subject+moffset, slen-moffset);
5345           break;
5346           }
5347
5348         /* Match - set up for expanding the replacement. */
5349
5350         if (n == 0) n = EXPAND_MAXN + 1;
5351         expand_nmax = 0;
5352         for (nn = 0; nn < n*2; nn += 2)
5353           {
5354           expand_nstring[expand_nmax] = subject + ovector[nn];
5355           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5356           }
5357         expand_nmax--;
5358
5359         /* Copy the characters before the match, plus the expanded insertion. */
5360
5361         yield = string_catn(yield, &size, &ptr, subject + moffset,
5362           ovector[0] - moffset);
5363         insert = expand_string(sub[2]);
5364         if (insert == NULL) goto EXPAND_FAILED;
5365         yield = string_cat(yield, &size, &ptr, insert);
5366
5367         moffset = ovector[1];
5368         moffsetextra = 0;
5369         emptyopt = 0;
5370
5371         /* If we have matched an empty string, first check to see if we are at
5372         the end of the subject. If so, the loop is over. Otherwise, mimic
5373         what Perl's /g options does. This turns out to be rather cunning. First
5374         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5375         string at the same point. If this fails (picked up above) we advance to
5376         the next character. */
5377
5378         if (ovector[0] == ovector[1])
5379           {
5380           if (ovector[0] == slen) break;
5381           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5382           }
5383         }
5384
5385       /* All done - restore numerical variables. */
5386
5387       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5388         save_expand_nlength);
5389       continue;
5390       }
5391
5392     /* Handle keyed and numbered substring extraction. If the first argument
5393     consists entirely of digits, then a numerical extraction is assumed. */
5394
5395     case EITEM_EXTRACT:
5396       {
5397       int i;
5398       int j;
5399       int field_number = 1;
5400       BOOL field_number_set = FALSE;
5401       uschar *save_lookup_value = lookup_value;
5402       uschar *sub[3];
5403       int save_expand_nmax =
5404         save_expand_strings(save_expand_nstring, save_expand_nlength);
5405
5406       /* While skipping we cannot rely on the data for expansions being
5407       available (eg. $item) hence cannot decide on numeric vs. keyed.
5408       Read a maximum of 5 arguments (including the yes/no) */
5409
5410       if (skipping)
5411         {
5412         while (isspace(*s)) s++;
5413         for (j = 5; j > 0 && *s == '{'; j--)
5414           {
5415           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5416             goto EXPAND_FAILED;                                 /*{*/
5417           if (*s++ != '}')
5418             {
5419             expand_string_message = US"missing '{' for arg of extract";
5420             goto EXPAND_FAILED_CURLY;
5421             }
5422           while (isspace(*s)) s++;
5423           }
5424         if (  Ustrncmp(s, "fail", 4) == 0
5425            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
5426            )
5427           {
5428           s += 4;
5429           while (isspace(*s)) s++;
5430           }
5431         if (*s != '}')
5432           {
5433           expand_string_message = US"missing '}' closing extract";
5434           goto EXPAND_FAILED_CURLY;
5435           }
5436         }
5437
5438       else for (i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
5439         {
5440         while (isspace(*s)) s++;
5441         if (*s == '{')                                          /*}*/
5442           {
5443           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5444           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5445           if (*s++ != '}')
5446             {
5447             expand_string_message = string_sprintf(
5448               "missing '}' closing arg %d of extract", i+1);
5449             goto EXPAND_FAILED_CURLY;
5450             }
5451
5452           /* After removal of leading and trailing white space, the first
5453           argument must not be empty; if it consists entirely of digits
5454           (optionally preceded by a minus sign), this is a numerical
5455           extraction, and we expect 3 arguments. */
5456
5457           if (i == 0)
5458             {
5459             int len;
5460             int x = 0;
5461             uschar *p = sub[0];
5462
5463             while (isspace(*p)) p++;
5464             sub[0] = p;
5465
5466             len = Ustrlen(p);
5467             while (len > 0 && isspace(p[len-1])) len--;
5468             p[len] = 0;
5469
5470             if (*p == 0)
5471               {
5472               expand_string_message = US"first argument of \"extract\" must "
5473                 "not be empty";
5474               goto EXPAND_FAILED;
5475               }
5476
5477             if (*p == '-')
5478               {
5479               field_number = -1;
5480               p++;
5481               }
5482             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5483             if (*p == 0)
5484               {
5485               field_number *= x;
5486               j = 3;               /* Need 3 args */
5487               field_number_set = TRUE;
5488               }
5489             }
5490           }
5491         else
5492           {
5493           expand_string_message = string_sprintf(
5494             "missing '{' for arg %d of extract", i+1);
5495           goto EXPAND_FAILED_CURLY;
5496           }
5497         }
5498
5499       /* Extract either the numbered or the keyed substring into $value. If
5500       skipping, just pretend the extraction failed. */
5501
5502       lookup_value = skipping? NULL : field_number_set?
5503         expand_gettokened(field_number, sub[1], sub[2]) :
5504         expand_getkeyed(sub[0], sub[1]);
5505
5506       /* If no string follows, $value gets substituted; otherwise there can
5507       be yes/no strings, as for lookup or if. */
5508
5509       switch(process_yesno(
5510                skipping,                     /* were previously skipping */
5511                lookup_value != NULL,         /* success/failure indicator */
5512                save_lookup_value,            /* value to reset for string2 */
5513                &s,                           /* input pointer */
5514                &yield,                       /* output pointer */
5515                &size,                        /* output size */
5516                &ptr,                         /* output current point */
5517                US"extract",                  /* condition type */
5518                &resetok))
5519         {
5520         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5521         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5522         }
5523
5524       /* All done - restore numerical variables. */
5525
5526       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5527         save_expand_nlength);
5528
5529       continue;
5530       }
5531
5532     /* return the Nth item from a list */
5533
5534     case EITEM_LISTEXTRACT:
5535       {
5536       int i;
5537       int field_number = 1;
5538       uschar *save_lookup_value = lookup_value;
5539       uschar *sub[2];
5540       int save_expand_nmax =
5541         save_expand_strings(save_expand_nstring, save_expand_nlength);
5542
5543       /* Read the field & list arguments */
5544
5545       for (i = 0; i < 2; i++)
5546         {
5547         while (isspace(*s)) s++;
5548         if (*s != '{')                                  /*}*/
5549           {
5550           expand_string_message = string_sprintf(
5551             "missing '{' for arg %d of listextract", i+1);
5552           goto EXPAND_FAILED_CURLY;
5553           }
5554
5555         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5556         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5557         if (*s++ != '}')
5558           {
5559           expand_string_message = string_sprintf(
5560             "missing '}' closing arg %d of listextract", i+1);
5561           goto EXPAND_FAILED_CURLY;
5562           }
5563
5564         /* After removal of leading and trailing white space, the first
5565         argument must be numeric and nonempty. */
5566
5567         if (i == 0)
5568           {
5569           int len;
5570           int x = 0;
5571           uschar *p = sub[0];
5572
5573           while (isspace(*p)) p++;
5574           sub[0] = p;
5575
5576           len = Ustrlen(p);
5577           while (len > 0 && isspace(p[len-1])) len--;
5578           p[len] = 0;
5579
5580           if (!*p && !skipping)
5581             {
5582             expand_string_message = US"first argument of \"listextract\" must "
5583               "not be empty";
5584             goto EXPAND_FAILED;
5585             }
5586
5587           if (*p == '-')
5588             {
5589             field_number = -1;
5590             p++;
5591             }
5592           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5593           if (*p)
5594             {
5595             expand_string_message = US"first argument of \"listextract\" must "
5596               "be numeric";
5597             goto EXPAND_FAILED;
5598             }
5599           field_number *= x;
5600           }
5601         }
5602
5603       /* Extract the numbered element into $value. If
5604       skipping, just pretend the extraction failed. */
5605
5606       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5607
5608       /* If no string follows, $value gets substituted; otherwise there can
5609       be yes/no strings, as for lookup or if. */
5610
5611       switch(process_yesno(
5612                skipping,                     /* were previously skipping */
5613                lookup_value != NULL,         /* success/failure indicator */
5614                save_lookup_value,            /* value to reset for string2 */
5615                &s,                           /* input pointer */
5616                &yield,                       /* output pointer */
5617                &size,                        /* output size */
5618                &ptr,                         /* output current point */
5619                US"listextract",              /* condition type */
5620                &resetok))
5621         {
5622         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5623         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5624         }
5625
5626       /* All done - restore numerical variables. */
5627
5628       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5629         save_expand_nlength);
5630
5631       continue;
5632       }
5633
5634 #ifdef SUPPORT_TLS
5635     case EITEM_CERTEXTRACT:
5636       {
5637       uschar *save_lookup_value = lookup_value;
5638       uschar *sub[2];
5639       int save_expand_nmax =
5640         save_expand_strings(save_expand_nstring, save_expand_nlength);
5641
5642       /* Read the field argument */
5643       while (isspace(*s)) s++;
5644       if (*s != '{')                                    /*}*/
5645         {
5646         expand_string_message = US"missing '{' for field arg of certextract";
5647         goto EXPAND_FAILED_CURLY;
5648         }
5649       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5650       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5651       if (*s++ != '}')
5652         {
5653         expand_string_message = US"missing '}' closing field arg of certextract";
5654         goto EXPAND_FAILED_CURLY;
5655         }
5656       /* strip spaces fore & aft */
5657       {
5658       int len;
5659       uschar *p = sub[0];
5660
5661       while (isspace(*p)) p++;
5662       sub[0] = p;
5663
5664       len = Ustrlen(p);
5665       while (len > 0 && isspace(p[len-1])) len--;
5666       p[len] = 0;
5667       }
5668
5669       /* inspect the cert argument */
5670       while (isspace(*s)) s++;
5671       if (*s != '{')                                    /*}*/
5672         {
5673         expand_string_message = US"missing '{' for cert variable arg of certextract";
5674         goto EXPAND_FAILED_CURLY;
5675         }
5676       if (*++s != '$')
5677         {
5678         expand_string_message = US"second argument of \"certextract\" must "
5679           "be a certificate variable";
5680         goto EXPAND_FAILED;
5681         }
5682       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5683       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5684       if (*s++ != '}')
5685         {
5686         expand_string_message = US"missing '}' closing cert variable arg of certextract";
5687         goto EXPAND_FAILED_CURLY;
5688         }
5689
5690       if (skipping)
5691         lookup_value = NULL;
5692       else
5693         {
5694         lookup_value = expand_getcertele(sub[0], sub[1]);
5695         if (*expand_string_message) goto EXPAND_FAILED;
5696         }
5697       switch(process_yesno(
5698                skipping,                     /* were previously skipping */
5699                lookup_value != NULL,         /* success/failure indicator */
5700                save_lookup_value,            /* value to reset for string2 */
5701                &s,                           /* input pointer */
5702                &yield,                       /* output pointer */
5703                &size,                        /* output size */
5704                &ptr,                         /* output current point */
5705                US"certextract",              /* condition type */
5706                &resetok))
5707         {
5708         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5709         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5710         }
5711
5712       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5713         save_expand_nlength);
5714       continue;
5715       }
5716 #endif  /*SUPPORT_TLS*/
5717
5718     /* Handle list operations */
5719
5720     case EITEM_FILTER:
5721     case EITEM_MAP:
5722     case EITEM_REDUCE:
5723       {
5724       int sep = 0;
5725       int save_ptr = ptr;
5726       uschar outsep[2] = { '\0', '\0' };
5727       const uschar *list, *expr, *temp;
5728       uschar *save_iterate_item = iterate_item;
5729       uschar *save_lookup_value = lookup_value;
5730
5731       while (isspace(*s)) s++;
5732       if (*s++ != '{')
5733         {
5734         expand_string_message =
5735           string_sprintf("missing '{' for first arg of %s", name);
5736         goto EXPAND_FAILED_CURLY;
5737         }
5738
5739       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5740       if (list == NULL) goto EXPAND_FAILED;
5741       if (*s++ != '}')
5742         {
5743         expand_string_message =
5744           string_sprintf("missing '}' closing first arg of %s", name);
5745         goto EXPAND_FAILED_CURLY;
5746         }
5747
5748       if (item_type == EITEM_REDUCE)
5749         {
5750         uschar * t;
5751         while (isspace(*s)) s++;
5752         if (*s++ != '{')
5753           {
5754           expand_string_message = US"missing '{' for second arg of reduce";
5755           goto EXPAND_FAILED_CURLY;
5756           }
5757         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5758         if (!t) goto EXPAND_FAILED;
5759         lookup_value = t;
5760         if (*s++ != '}')
5761           {
5762           expand_string_message = US"missing '}' closing second arg of reduce";
5763           goto EXPAND_FAILED_CURLY;
5764           }
5765         }
5766
5767       while (isspace(*s)) s++;
5768       if (*s++ != '{')
5769         {
5770         expand_string_message =
5771           string_sprintf("missing '{' for last arg of %s", name);
5772         goto EXPAND_FAILED_CURLY;
5773         }
5774
5775       expr = s;
5776
5777       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5778       if scanning a "false" part). This allows us to find the end of the
5779       condition, because if the list is empty, we won't actually evaluate the
5780       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5781       the normal internal expansion function. */
5782
5783       if (item_type == EITEM_FILTER)
5784         {
5785         temp = eval_condition(expr, &resetok, NULL);
5786         if (temp != NULL) s = temp;
5787         }
5788       else
5789         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5790
5791       if (temp == NULL)
5792         {
5793         expand_string_message = string_sprintf("%s inside \"%s\" item",
5794           expand_string_message, name);
5795         goto EXPAND_FAILED;
5796         }
5797
5798       while (isspace(*s)) s++;
5799       if (*s++ != '}')
5800         {                                               /*{*/
5801         expand_string_message = string_sprintf("missing } at end of condition "
5802           "or expression inside \"%s\"", name);
5803         goto EXPAND_FAILED;
5804         }
5805
5806       while (isspace(*s)) s++;                          /*{*/
5807       if (*s++ != '}')
5808         {                                               /*{*/
5809         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5810           name);
5811         goto EXPAND_FAILED;
5812         }
5813
5814       /* If we are skipping, we can now just move on to the next item. When
5815       processing for real, we perform the iteration. */
5816
5817       if (skipping) continue;
5818       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
5819         {
5820         *outsep = (uschar)sep;      /* Separator as a string */
5821
5822         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
5823                           name, iterate_item, lookup_value);
5824
5825         if (item_type == EITEM_FILTER)
5826           {
5827           BOOL condresult;
5828           if (eval_condition(expr, &resetok, &condresult) == NULL)
5829             {
5830             iterate_item = save_iterate_item;
5831             lookup_value = save_lookup_value;
5832             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5833               expand_string_message, name);
5834             goto EXPAND_FAILED;
5835             }
5836           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
5837             condresult? "true":"false");
5838           if (condresult)
5839             temp = iterate_item;    /* TRUE => include this item */
5840           else
5841             continue;               /* FALSE => skip this item */
5842           }
5843
5844         /* EITEM_MAP and EITEM_REDUCE */
5845
5846         else
5847           {
5848           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5849           temp = t;
5850           if (temp == NULL)
5851             {
5852             iterate_item = save_iterate_item;
5853             expand_string_message = string_sprintf("%s inside \"%s\" item",
5854               expand_string_message, name);
5855             goto EXPAND_FAILED;
5856             }
5857           if (item_type == EITEM_REDUCE)
5858             {
5859             lookup_value = t;         /* Update the value of $value */
5860             continue;                 /* and continue the iteration */
5861             }
5862           }
5863
5864         /* We reach here for FILTER if the condition is true, always for MAP,
5865         and never for REDUCE. The value in "temp" is to be added to the output
5866         list that is being created, ensuring that any occurrences of the
5867         separator character are doubled. Unless we are dealing with the first
5868         item of the output list, add in a space if the new item begins with the
5869         separator character, or is an empty string. */
5870
5871         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5872           yield = string_catn(yield, &size, &ptr, US" ", 1);
5873
5874         /* Add the string in "temp" to the output list that we are building,
5875         This is done in chunks by searching for the separator character. */
5876
5877         for (;;)
5878           {
5879           size_t seglen = Ustrcspn(temp, outsep);
5880
5881           yield = string_catn(yield, &size, &ptr, temp, seglen + 1);
5882
5883           /* If we got to the end of the string we output one character
5884           too many; backup and end the loop. Otherwise arrange to double the
5885           separator. */
5886
5887           if (temp[seglen] == '\0') { ptr--; break; }
5888           yield = string_catn(yield, &size, &ptr, outsep, 1);
5889           temp += seglen + 1;
5890           }
5891
5892         /* Output a separator after the string: we will remove the redundant
5893         final one at the end. */
5894
5895         yield = string_catn(yield, &size, &ptr, outsep, 1);
5896         }   /* End of iteration over the list loop */
5897
5898       /* REDUCE has generated no output above: output the final value of
5899       $value. */
5900
5901       if (item_type == EITEM_REDUCE)
5902         {
5903         yield = string_cat(yield, &size, &ptr, lookup_value);
5904         lookup_value = save_lookup_value;  /* Restore $value */
5905         }
5906
5907       /* FILTER and MAP generate lists: if they have generated anything, remove
5908       the redundant final separator. Even though an empty item at the end of a
5909       list does not count, this is tidier. */
5910
5911       else if (ptr != save_ptr) ptr--;
5912
5913       /* Restore preserved $item */
5914
5915       iterate_item = save_iterate_item;
5916       continue;
5917       }
5918
5919     case EITEM_SORT:
5920       {
5921       int sep = 0;
5922       const uschar *srclist, *cmp, *xtract;
5923       uschar *srcitem;
5924       const uschar *dstlist = NULL, *dstkeylist = NULL;
5925       uschar * tmp;
5926       uschar *save_iterate_item = iterate_item;
5927
5928       while (isspace(*s)) s++;
5929       if (*s++ != '{')
5930         {
5931         expand_string_message = US"missing '{' for list arg of sort";
5932         goto EXPAND_FAILED_CURLY;
5933         }
5934
5935       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5936       if (!srclist) goto EXPAND_FAILED;
5937       if (*s++ != '}')
5938         {
5939         expand_string_message = US"missing '}' closing list arg of sort";
5940         goto EXPAND_FAILED_CURLY;
5941         }
5942
5943       while (isspace(*s)) s++;
5944       if (*s++ != '{')
5945         {
5946         expand_string_message = US"missing '{' for comparator arg of sort";
5947         goto EXPAND_FAILED_CURLY;
5948         }
5949
5950       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5951       if (!cmp) goto EXPAND_FAILED;
5952       if (*s++ != '}')
5953         {
5954         expand_string_message = US"missing '}' closing comparator arg of sort";
5955         goto EXPAND_FAILED_CURLY;
5956         }
5957
5958       while (isspace(*s)) s++;
5959       if (*s++ != '{')
5960         {
5961         expand_string_message = US"missing '{' for extractor arg of sort";
5962         goto EXPAND_FAILED_CURLY;
5963         }
5964
5965       xtract = s;
5966       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5967       if (!tmp) goto EXPAND_FAILED;
5968       xtract = string_copyn(xtract, s - xtract);
5969
5970       if (*s++ != '}')
5971         {
5972         expand_string_message = US"missing '}' closing extractor arg of sort";
5973         goto EXPAND_FAILED_CURLY;
5974         }
5975                                                         /*{*/
5976       if (*s++ != '}')
5977         {                                               /*{*/
5978         expand_string_message = US"missing } at end of \"sort\"";
5979         goto EXPAND_FAILED;
5980         }
5981
5982       if (skipping) continue;
5983
5984       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5985         {
5986         uschar * dstitem;
5987         uschar * newlist = NULL;
5988         uschar * newkeylist = NULL;
5989         uschar * srcfield;
5990
5991         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
5992
5993         /* extract field for comparisons */
5994         iterate_item = srcitem;
5995         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5996                                           TRUE, &resetok))
5997            || !*srcfield)
5998           {
5999           expand_string_message = string_sprintf(
6000               "field-extract in sort: \"%s\"", xtract);
6001           goto EXPAND_FAILED;
6002           }
6003
6004         /* Insertion sort */
6005
6006         /* copy output list until new-item < list-item */
6007         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6008           {
6009           uschar * dstfield;
6010           uschar * expr;
6011           BOOL before;
6012
6013           /* field for comparison */
6014           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6015             goto sort_mismatch;
6016
6017           /* build and run condition string */
6018           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
6019
6020           DEBUG(D_expand) debug_printf_indent("%s: cond = \"%s\"\n", name, expr);
6021           if (!eval_condition(expr, &resetok, &before))
6022             {
6023             expand_string_message = string_sprintf("comparison in sort: %s",
6024                 expr);
6025             goto EXPAND_FAILED;
6026             }
6027
6028           if (before)
6029             {
6030             /* New-item sorts before this dst-item.  Append new-item,
6031             then dst-item, then remainder of dst list. */
6032
6033             newlist = string_append_listele(newlist, sep, srcitem);
6034             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6035             srcitem = NULL;
6036
6037             newlist = string_append_listele(newlist, sep, dstitem);
6038             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6039
6040             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6041               {
6042               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6043                 goto sort_mismatch;
6044               newlist = string_append_listele(newlist, sep, dstitem);
6045               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6046               }
6047
6048             break;
6049             }
6050
6051           newlist = string_append_listele(newlist, sep, dstitem);
6052           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6053           }
6054
6055         /* If we ran out of dstlist without consuming srcitem, append it */
6056         if (srcitem)
6057           {
6058           newlist = string_append_listele(newlist, sep, srcitem);
6059           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6060           }
6061
6062         dstlist = newlist;
6063         dstkeylist = newkeylist;
6064
6065         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6066         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6067         }
6068
6069       if (dstlist)
6070         yield = string_cat(yield, &size, &ptr, dstlist);
6071
6072       /* Restore preserved $item */
6073       iterate_item = save_iterate_item;
6074       continue;
6075
6076       sort_mismatch:
6077         expand_string_message = US"Internal error in sort (list mismatch)";
6078         goto EXPAND_FAILED;
6079       }
6080
6081
6082     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6083     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6084     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6085     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6086
6087     #define EXPAND_DLFUNC_MAX_ARGS 8
6088
6089     case EITEM_DLFUNC:
6090 #ifndef EXPAND_DLFUNC
6091       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6092         "is not included in this binary";
6093       goto EXPAND_FAILED;
6094
6095 #else   /* EXPAND_DLFUNC */
6096       {
6097       tree_node *t;
6098       exim_dlfunc_t *func;
6099       uschar *result;
6100       int status, argc;
6101       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6102
6103       if ((expand_forbid & RDO_DLFUNC) != 0)
6104         {
6105         expand_string_message =
6106           US"dynamically-loaded functions are not permitted";
6107         goto EXPAND_FAILED;
6108         }
6109
6110       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6111            TRUE, US"dlfunc", &resetok))
6112         {
6113         case 1: goto EXPAND_FAILED_CURLY;
6114         case 2:
6115         case 3: goto EXPAND_FAILED;
6116         }
6117
6118       /* If skipping, we don't actually do anything */
6119
6120       if (skipping) continue;
6121
6122       /* Look up the dynamically loaded object handle in the tree. If it isn't
6123       found, dlopen() the file and put the handle in the tree for next time. */
6124
6125       t = tree_search(dlobj_anchor, argv[0]);
6126       if (t == NULL)
6127         {
6128         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6129         if (handle == NULL)
6130           {
6131           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6132             argv[0], dlerror());
6133           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6134           goto EXPAND_FAILED;
6135           }
6136         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
6137         Ustrcpy(t->name, argv[0]);
6138         t->data.ptr = handle;
6139         (void)tree_insertnode(&dlobj_anchor, t);
6140         }
6141
6142       /* Having obtained the dynamically loaded object handle, look up the
6143       function pointer. */
6144
6145       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
6146       if (func == NULL)
6147         {
6148         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6149           "%s", argv[1], argv[0], dlerror());
6150         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6151         goto EXPAND_FAILED;
6152         }
6153
6154       /* Call the function and work out what to do with the result. If it
6155       returns OK, we have a replacement string; if it returns DEFER then
6156       expansion has failed in a non-forced manner; if it returns FAIL then
6157       failure was forced; if it returns ERROR or any other value there's a
6158       problem, so panic slightly. In any case, assume that the function has
6159       side-effects on the store that must be preserved. */
6160
6161       resetok = FALSE;
6162       result = NULL;
6163       for (argc = 0; argv[argc] != NULL; argc++);
6164       status = func(&result, argc - 2, &argv[2]);
6165       if(status == OK)
6166         {
6167         if (result == NULL) result = US"";
6168         yield = string_cat(yield, &size, &ptr, result);
6169         continue;
6170         }
6171       else
6172         {
6173         expand_string_message = result == NULL ? US"(no message)" : result;
6174         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
6175           else if(status != FAIL)
6176             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6177               argv[0], argv[1], status, expand_string_message);
6178         goto EXPAND_FAILED;
6179         }
6180       }
6181 #endif /* EXPAND_DLFUNC */
6182
6183     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6184       {
6185       uschar * key;
6186       uschar *save_lookup_value = lookup_value;
6187
6188       while (isspace(*s)) s++;
6189       if (*s != '{')                                    /*}*/
6190         goto EXPAND_FAILED;
6191
6192       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6193       if (!key) goto EXPAND_FAILED;                     /*{*/
6194       if (*s++ != '}')
6195         {
6196         expand_string_message = US"missing '{' for name arg of env";
6197         goto EXPAND_FAILED_CURLY;
6198         }
6199
6200       lookup_value = US getenv(CS key);
6201
6202       switch(process_yesno(
6203                skipping,                     /* were previously skipping */
6204                lookup_value != NULL,         /* success/failure indicator */
6205                save_lookup_value,            /* value to reset for string2 */
6206                &s,                           /* input pointer */
6207                &yield,                       /* output pointer */
6208                &size,                        /* output size */
6209                &ptr,                         /* output current point */
6210                US"env",                      /* condition type */
6211                &resetok))
6212         {
6213         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6214         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6215         }
6216       continue;
6217       }
6218     }   /* EITEM_* switch */
6219
6220   /* Control reaches here if the name is not recognized as one of the more
6221   complicated expansion items. Check for the "operator" syntax (name terminated
6222   by a colon). Some of the operators have arguments, separated by _ from the
6223   name. */
6224
6225   if (*s == ':')
6226     {
6227     int c;
6228     uschar *arg = NULL;
6229     uschar *sub;
6230     var_entry *vp = NULL;
6231
6232     /* Owing to an historical mis-design, an underscore may be part of the
6233     operator name, or it may introduce arguments.  We therefore first scan the
6234     table of names that contain underscores. If there is no match, we cut off
6235     the arguments and then scan the main table. */
6236
6237     if ((c = chop_match(name, op_table_underscore,
6238                         nelem(op_table_underscore))) < 0)
6239       {
6240       arg = Ustrchr(name, '_');
6241       if (arg != NULL) *arg = 0;
6242       c = chop_match(name, op_table_main, nelem(op_table_main));
6243       if (c >= 0) c += nelem(op_table_underscore);
6244       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6245       }
6246
6247     /* Deal specially with operators that might take a certificate variable
6248     as we do not want to do the usual expansion. For most, expand the string.*/
6249     switch(c)
6250       {
6251 #ifdef SUPPORT_TLS
6252       case EOP_MD5:
6253       case EOP_SHA1:
6254       case EOP_SHA256:
6255       case EOP_BASE64:
6256         if (s[1] == '$')
6257           {
6258           const uschar * s1 = s;
6259           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6260                   FALSE, &resetok);
6261           if (!sub)       goto EXPAND_FAILED;           /*{*/
6262           if (*s1 != '}')
6263             {
6264             expand_string_message =
6265               string_sprintf("missing '}' closing cert arg of %s", name);
6266             goto EXPAND_FAILED_CURLY;
6267             }
6268           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6269             {
6270             s = s1+1;
6271             break;
6272             }
6273           vp = NULL;
6274           }
6275         /*FALLTHROUGH*/
6276 #endif
6277       default:
6278         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6279         if (!sub) goto EXPAND_FAILED;
6280         s++;
6281         break;
6282       }
6283
6284     /* If we are skipping, we don't need to perform the operation at all.
6285     This matters for operations like "mask", because the data may not be
6286     in the correct format when skipping. For example, the expression may test
6287     for the existence of $sender_host_address before trying to mask it. For
6288     other operations, doing them may not fail, but it is a waste of time. */
6289
6290     if (skipping && c >= 0) continue;
6291
6292     /* Otherwise, switch on the operator type */
6293
6294     switch(c)
6295       {
6296       case EOP_BASE32:
6297         {
6298         uschar *t;
6299         unsigned long int n = Ustrtoul(sub, &t, 10);
6300         uschar * s = NULL;
6301         int sz = 0, i = 0;
6302
6303         if (*t != 0)
6304           {
6305           expand_string_message = string_sprintf("argument for base32 "
6306             "operator is \"%s\", which is not a decimal number", sub);
6307           goto EXPAND_FAILED;
6308           }
6309         for ( ; n; n >>= 5)
6310           s = string_catn(s, &sz, &i, &base32_chars[n & 0x1f], 1);
6311
6312         while (i > 0) yield = string_catn(yield, &size, &ptr, &s[--i], 1);
6313         continue;
6314         }
6315
6316       case EOP_BASE32D:
6317         {
6318         uschar *tt = sub;
6319         unsigned long int n = 0;
6320         uschar * s;
6321         while (*tt)
6322           {
6323           uschar * t = Ustrchr(base32_chars, *tt++);
6324           if (t == NULL)
6325             {
6326             expand_string_message = string_sprintf("argument for base32d "
6327               "operator is \"%s\", which is not a base 32 number", sub);
6328             goto EXPAND_FAILED;
6329             }
6330           n = n * 32 + (t - base32_chars);
6331           }
6332         s = string_sprintf("%ld", n);
6333         yield = string_cat(yield, &size, &ptr, s);
6334         continue;
6335         }
6336
6337       case EOP_BASE62:
6338         {
6339         uschar *t;
6340         unsigned long int n = Ustrtoul(sub, &t, 10);
6341         if (*t != 0)
6342           {
6343           expand_string_message = string_sprintf("argument for base62 "
6344             "operator is \"%s\", which is not a decimal number", sub);
6345           goto EXPAND_FAILED;
6346           }
6347         t = string_base62(n);
6348         yield = string_cat(yield, &size, &ptr, t);
6349         continue;
6350         }
6351
6352       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6353
6354       case EOP_BASE62D:
6355         {
6356         uschar buf[16];
6357         uschar *tt = sub;
6358         unsigned long int n = 0;
6359         while (*tt != 0)
6360           {
6361           uschar *t = Ustrchr(base62_chars, *tt++);
6362           if (t == NULL)
6363             {
6364             expand_string_message = string_sprintf("argument for base62d "
6365               "operator is \"%s\", which is not a base %d number", sub,
6366               BASE_62);
6367             goto EXPAND_FAILED;
6368             }
6369           n = n * BASE_62 + (t - base62_chars);
6370           }
6371         (void)sprintf(CS buf, "%ld", n);
6372         yield = string_cat(yield, &size, &ptr, buf);
6373         continue;
6374         }
6375
6376       case EOP_EXPAND:
6377         {
6378         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6379         if (expanded == NULL)
6380           {
6381           expand_string_message =
6382             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6383               expand_string_message);
6384           goto EXPAND_FAILED;
6385           }
6386         yield = string_cat(yield, &size, &ptr, expanded);
6387         continue;
6388         }
6389
6390       case EOP_LC:
6391         {
6392         int count = 0;
6393         uschar *t = sub - 1;
6394         while (*(++t) != 0) { *t = tolower(*t); count++; }
6395         yield = string_catn(yield, &size, &ptr, sub, count);
6396         continue;
6397         }
6398
6399       case EOP_UC:
6400         {
6401         int count = 0;
6402         uschar *t = sub - 1;
6403         while (*(++t) != 0) { *t = toupper(*t); count++; }
6404         yield = string_catn(yield, &size, &ptr, sub, count);
6405         continue;
6406         }
6407
6408       case EOP_MD5:
6409 #ifdef SUPPORT_TLS
6410         if (vp && *(void **)vp->value)
6411           {
6412           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6413           yield = string_cat(yield, &size, &ptr, cp);
6414           }
6415         else
6416 #endif
6417           {
6418           md5 base;
6419           uschar digest[16];
6420           int j;
6421           char st[33];
6422           md5_start(&base);
6423           md5_end(&base, sub, Ustrlen(sub), digest);
6424           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6425           yield = string_cat(yield, &size, &ptr, US st);
6426           }
6427         continue;
6428
6429       case EOP_SHA1:
6430 #ifdef SUPPORT_TLS
6431         if (vp && *(void **)vp->value)
6432           {
6433           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6434           yield = string_cat(yield, &size, &ptr, cp);
6435           }
6436         else
6437 #endif
6438           {
6439           hctx h;
6440           uschar digest[20];
6441           int j;
6442           char st[41];
6443           sha1_start(&h);
6444           sha1_end(&h, sub, Ustrlen(sub), digest);
6445           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6446           yield = string_catn(yield, &size, &ptr, US st, 40);
6447           }
6448         continue;
6449
6450       case EOP_SHA256:
6451 #ifdef EXIM_HAVE_SHA2
6452         if (vp && *(void **)vp->value)
6453           {
6454           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6455           yield = string_cat(yield, &size, &ptr, cp);
6456           }
6457         else
6458           {
6459           hctx h;
6460           blob b;
6461           char st[3];
6462
6463           if (!exim_sha_init(&h, HASH_SHA256))
6464             {
6465             expand_string_message = US"unrecognised sha256 variant";
6466             goto EXPAND_FAILED;
6467             }
6468           exim_sha_update(&h, sub, Ustrlen(sub));
6469           exim_sha_finish(&h, &b);
6470           while (b.len-- > 0)
6471             {
6472             sprintf(st, "%02X", *b.data++);
6473             yield = string_catn(yield, &size, &ptr, US st, 2);
6474             }
6475           }
6476 #else
6477           expand_string_message = US"sha256 only supported with TLS";
6478 #endif
6479         continue;
6480
6481       case EOP_SHA3:
6482 #ifdef EXIM_HAVE_SHA3
6483         {
6484         hctx h;
6485         blob b;
6486         char st[3];
6487         hashmethod m = !arg ? HASH_SHA3_256
6488           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
6489           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
6490           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
6491           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
6492           : HASH_BADTYPE;
6493
6494         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
6495           {
6496           expand_string_message = US"unrecognised sha3 variant";
6497           goto EXPAND_FAILED;
6498           }
6499
6500         exim_sha_update(&h, sub, Ustrlen(sub));
6501         exim_sha_finish(&h, &b);
6502         while (b.len-- > 0)
6503           {
6504           sprintf(st, "%02X", *b.data++);
6505           yield = string_catn(yield, &size, &ptr, US st, 2);
6506           }
6507         }
6508         continue;
6509 #else
6510         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 +";
6511         goto EXPAND_FAILED;
6512 #endif
6513
6514       /* Convert hex encoding to base64 encoding */
6515
6516       case EOP_HEX2B64:
6517         {
6518         int c = 0;
6519         int b = -1;
6520         uschar *in = sub;
6521         uschar *out = sub;
6522         uschar *enc;
6523
6524         for (enc = sub; *enc != 0; enc++)
6525           {
6526           if (!isxdigit(*enc))
6527             {
6528             expand_string_message = string_sprintf("\"%s\" is not a hex "
6529               "string", sub);
6530             goto EXPAND_FAILED;
6531             }
6532           c++;
6533           }
6534
6535         if ((c & 1) != 0)
6536           {
6537           expand_string_message = string_sprintf("\"%s\" contains an odd "
6538             "number of characters", sub);
6539           goto EXPAND_FAILED;
6540           }
6541
6542         while ((c = *in++) != 0)
6543           {
6544           if (isdigit(c)) c -= '0';
6545           else c = toupper(c) - 'A' + 10;
6546           if (b == -1)
6547             {
6548             b = c << 4;
6549             }
6550           else
6551             {
6552             *out++ = b | c;
6553             b = -1;
6554             }
6555           }
6556
6557         enc = b64encode(sub, out - sub);
6558         yield = string_cat(yield, &size, &ptr, enc);
6559         continue;
6560         }
6561
6562       /* Convert octets outside 0x21..0x7E to \xXX form */
6563
6564       case EOP_HEXQUOTE:
6565         {
6566         uschar *t = sub - 1;
6567         while (*(++t) != 0)
6568           {
6569           if (*t < 0x21 || 0x7E < *t)
6570             yield = string_catn(yield, &size, &ptr,
6571               string_sprintf("\\x%02x", *t), 4);
6572           else
6573             yield = string_catn(yield, &size, &ptr, t, 1);
6574           }
6575         continue;
6576         }
6577
6578       /* count the number of list elements */
6579
6580       case EOP_LISTCOUNT:
6581         {
6582         int cnt = 0;
6583         int sep = 0;
6584         uschar * cp;
6585         uschar buffer[256];
6586
6587         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6588         cp = string_sprintf("%d", cnt);
6589         yield = string_cat(yield, &size, &ptr, cp);
6590         continue;
6591         }
6592
6593       /* expand a named list given the name */
6594       /* handles nested named lists; requotes as colon-sep list */
6595
6596       case EOP_LISTNAMED:
6597         {
6598         tree_node *t = NULL;
6599         const uschar * list;
6600         int sep = 0;
6601         uschar * item;
6602         uschar * suffix = US"";
6603         BOOL needsep = FALSE;
6604         uschar buffer[256];
6605
6606         if (*sub == '+') sub++;
6607         if (arg == NULL)        /* no-argument version */
6608           {
6609           if (!(t = tree_search(addresslist_anchor, sub)) &&
6610               !(t = tree_search(domainlist_anchor,  sub)) &&
6611               !(t = tree_search(hostlist_anchor,    sub)))
6612             t = tree_search(localpartlist_anchor, sub);
6613           }
6614         else switch(*arg)       /* specific list-type version */
6615           {
6616           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6617           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6618           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6619           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6620           default:
6621             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6622             goto EXPAND_FAILED;
6623           }
6624
6625         if(!t)
6626           {
6627           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6628             sub, !arg?""
6629               : *arg=='a'?"address "
6630               : *arg=='d'?"domain "
6631               : *arg=='h'?"host "
6632               : *arg=='l'?"localpart "
6633               : 0);
6634           goto EXPAND_FAILED;
6635           }
6636
6637         list = ((namedlist_block *)(t->data.ptr))->string;
6638
6639         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6640           {
6641           uschar * buf = US" : ";
6642           if (needsep)
6643             yield = string_catn(yield, &size, &ptr, buf, 3);
6644           else
6645             needsep = TRUE;
6646
6647           if (*item == '+')     /* list item is itself a named list */
6648             {
6649             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6650             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6651             }
6652           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6653             {
6654             char * cp;
6655             char tok[3];
6656             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6657             while ((cp= strpbrk((const char *)item, tok)))
6658               {
6659               yield = string_catn(yield, &size, &ptr, item, cp-(char *)item);
6660               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6661                 {
6662                 yield = string_catn(yield, &size, &ptr, US"::", 2);
6663                 item = (uschar *)cp;
6664                 }
6665               else              /* sep in item; should already be doubled; emit once */
6666                 {
6667                 yield = string_catn(yield, &size, &ptr, (uschar *)tok, 1);
6668                 if (*cp == sep) cp++;
6669                 item = (uschar *)cp;
6670                 }
6671               }
6672             }
6673           yield = string_cat(yield, &size, &ptr, item);
6674           }
6675         continue;
6676         }
6677
6678       /* mask applies a mask to an IP address; for example the result of
6679       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6680
6681       case EOP_MASK:
6682         {
6683         int count;
6684         uschar *endptr;
6685         int binary[4];
6686         int mask, maskoffset;
6687         int type = string_is_ip_address(sub, &maskoffset);
6688         uschar buffer[64];
6689
6690         if (type == 0)
6691           {
6692           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6693            sub);
6694           goto EXPAND_FAILED;
6695           }
6696
6697         if (maskoffset == 0)
6698           {
6699           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6700             sub);
6701           goto EXPAND_FAILED;
6702           }
6703
6704         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6705
6706         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6707           {
6708           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6709             sub);
6710           goto EXPAND_FAILED;
6711           }
6712
6713         /* Convert the address to binary integer(s) and apply the mask */
6714
6715         sub[maskoffset] = 0;
6716         count = host_aton(sub, binary);
6717         host_mask(count, binary, mask);
6718
6719         /* Convert to masked textual format and add to output. */
6720
6721         yield = string_catn(yield, &size, &ptr, buffer,
6722           host_nmtoa(count, binary, mask, buffer, '.'));
6723         continue;
6724         }
6725
6726       case EOP_IPV6NORM:
6727       case EOP_IPV6DENORM:
6728         {
6729         int type = string_is_ip_address(sub, NULL);
6730         int binary[4];
6731         uschar buffer[44];
6732
6733         switch (type)
6734           {
6735           case 6:
6736             (void) host_aton(sub, binary);
6737             break;
6738
6739           case 4:       /* convert to IPv4-mapped IPv6 */
6740             binary[0] = binary[1] = 0;
6741             binary[2] = 0x0000ffff;
6742             (void) host_aton(sub, binary+3);
6743             break;
6744
6745           case 0:
6746             expand_string_message =
6747               string_sprintf("\"%s\" is not an IP address", sub);
6748             goto EXPAND_FAILED;
6749           }
6750
6751         yield = string_catn(yield, &size, &ptr, buffer,
6752                   c == EOP_IPV6NORM
6753                     ? ipv6_nmtoa(binary, buffer)
6754                     : host_nmtoa(4, binary, -1, buffer, ':')
6755                   );
6756         continue;
6757         }
6758
6759       case EOP_ADDRESS:
6760       case EOP_LOCAL_PART:
6761       case EOP_DOMAIN:
6762         {
6763         uschar * error;
6764         int start, end, domain;
6765         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
6766           FALSE);
6767         if (t)
6768           if (c != EOP_DOMAIN)
6769             {
6770             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6771             yield = string_catn(yield, &size, &ptr, sub+start, end-start);
6772             }
6773           else if (domain != 0)
6774             {
6775             domain += start;
6776             yield = string_catn(yield, &size, &ptr, sub+domain, end-domain);
6777             }
6778         continue;
6779         }
6780
6781       case EOP_ADDRESSES:
6782         {
6783         uschar outsep[2] = { ':', '\0' };
6784         uschar *address, *error;
6785         int save_ptr = ptr;
6786         int start, end, domain;  /* Not really used */
6787
6788         while (isspace(*sub)) sub++;
6789         if (*sub == '>') { *outsep = *++sub; ++sub; }
6790         parse_allow_group = TRUE;
6791
6792         for (;;)
6793           {
6794           uschar *p = parse_find_address_end(sub, FALSE);
6795           uschar saveend = *p;
6796           *p = '\0';
6797           address = parse_extract_address(sub, &error, &start, &end, &domain,
6798             FALSE);
6799           *p = saveend;
6800
6801           /* Add the address to the output list that we are building. This is
6802           done in chunks by searching for the separator character. At the
6803           start, unless we are dealing with the first address of the output
6804           list, add in a space if the new address begins with the separator
6805           character, or is an empty string. */
6806
6807           if (address != NULL)
6808             {
6809             if (ptr != save_ptr && address[0] == *outsep)
6810               yield = string_catn(yield, &size, &ptr, US" ", 1);
6811
6812             for (;;)
6813               {
6814               size_t seglen = Ustrcspn(address, outsep);
6815               yield = string_catn(yield, &size, &ptr, address, seglen + 1);
6816
6817               /* If we got to the end of the string we output one character
6818               too many. */
6819
6820               if (address[seglen] == '\0') { ptr--; break; }
6821               yield = string_catn(yield, &size, &ptr, outsep, 1);
6822               address += seglen + 1;
6823               }
6824
6825             /* Output a separator after the string: we will remove the
6826             redundant final one at the end. */
6827
6828             yield = string_catn(yield, &size, &ptr, outsep, 1);
6829             }
6830
6831           if (saveend == '\0') break;
6832           sub = p + 1;
6833           }
6834
6835         /* If we have generated anything, remove the redundant final
6836         separator. */
6837
6838         if (ptr != save_ptr) ptr--;
6839         parse_allow_group = FALSE;
6840         continue;
6841         }
6842
6843
6844       /* quote puts a string in quotes if it is empty or contains anything
6845       other than alphamerics, underscore, dot, or hyphen.
6846
6847       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6848       be quoted in order to be a valid local part.
6849
6850       In both cases, newlines and carriage returns are converted into \n and \r
6851       respectively */
6852
6853       case EOP_QUOTE:
6854       case EOP_QUOTE_LOCAL_PART:
6855       if (arg == NULL)
6856         {
6857         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6858         uschar *t = sub - 1;
6859
6860         if (c == EOP_QUOTE)
6861           {
6862           while (!needs_quote && *(++t) != 0)
6863             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6864           }
6865         else  /* EOP_QUOTE_LOCAL_PART */
6866           {
6867           while (!needs_quote && *(++t) != 0)
6868             needs_quote = !isalnum(*t) &&
6869               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6870               (*t != '.' || t == sub || t[1] == 0);
6871           }
6872
6873         if (needs_quote)
6874           {
6875           yield = string_catn(yield, &size, &ptr, US"\"", 1);
6876           t = sub - 1;
6877           while (*(++t) != 0)
6878             {
6879             if (*t == '\n')
6880               yield = string_catn(yield, &size, &ptr, US"\\n", 2);
6881             else if (*t == '\r')
6882               yield = string_catn(yield, &size, &ptr, US"\\r", 2);
6883             else
6884               {
6885               if (*t == '\\' || *t == '"')
6886                 yield = string_catn(yield, &size, &ptr, US"\\", 1);
6887               yield = string_catn(yield, &size, &ptr, t, 1);
6888               }
6889             }
6890           yield = string_catn(yield, &size, &ptr, US"\"", 1);
6891           }
6892         else yield = string_cat(yield, &size, &ptr, sub);
6893         continue;
6894         }
6895
6896       /* quote_lookuptype does lookup-specific quoting */
6897
6898       else
6899         {
6900         int n;
6901         uschar *opt = Ustrchr(arg, '_');
6902
6903         if (opt != NULL) *opt++ = 0;
6904
6905         n = search_findtype(arg, Ustrlen(arg));
6906         if (n < 0)
6907           {
6908           expand_string_message = search_error_message;
6909           goto EXPAND_FAILED;
6910           }
6911
6912         if (lookup_list[n]->quote != NULL)
6913           sub = (lookup_list[n]->quote)(sub, opt);
6914         else if (opt != NULL) sub = NULL;
6915
6916         if (sub == NULL)
6917           {
6918           expand_string_message = string_sprintf(
6919             "\"%s\" unrecognized after \"${quote_%s\"",
6920             opt, arg);
6921           goto EXPAND_FAILED;
6922           }
6923
6924         yield = string_cat(yield, &size, &ptr, sub);
6925         continue;
6926         }
6927
6928       /* rx quote sticks in \ before any non-alphameric character so that
6929       the insertion works in a regular expression. */
6930
6931       case EOP_RXQUOTE:
6932         {
6933         uschar *t = sub - 1;
6934         while (*(++t) != 0)
6935           {
6936           if (!isalnum(*t))
6937             yield = string_catn(yield, &size, &ptr, US"\\", 1);
6938           yield = string_catn(yield, &size, &ptr, t, 1);
6939           }
6940         continue;
6941         }
6942
6943       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6944       prescribed by the RFC, if there are characters that need to be encoded */
6945
6946       case EOP_RFC2047:
6947         {
6948         uschar buffer[2048];
6949         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6950           buffer, sizeof(buffer), FALSE);
6951         yield = string_cat(yield, &size, &ptr, string);
6952         continue;
6953         }
6954
6955       /* RFC 2047 decode */
6956
6957       case EOP_RFC2047D:
6958         {
6959         int len;
6960         uschar *error;
6961         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6962           headers_charset, '?', &len, &error);
6963         if (error != NULL)
6964           {
6965           expand_string_message = error;
6966           goto EXPAND_FAILED;
6967           }
6968         yield = string_catn(yield, &size, &ptr, decoded, len);
6969         continue;
6970         }
6971
6972       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6973       underscores */
6974
6975       case EOP_FROM_UTF8:
6976         {
6977         while (*sub != 0)
6978           {
6979           int c;
6980           uschar buff[4];
6981           GETUTF8INC(c, sub);
6982           if (c > 255) c = '_';
6983           buff[0] = c;
6984           yield = string_catn(yield, &size, &ptr, buff, 1);
6985           }
6986         continue;
6987         }
6988
6989           /* replace illegal UTF-8 sequences by replacement character  */
6990
6991       #define UTF8_REPLACEMENT_CHAR US"?"
6992
6993       case EOP_UTF8CLEAN:
6994         {
6995         int seq_len = 0, index = 0;
6996         int bytes_left = 0;
6997         long codepoint = -1;
6998         uschar seq_buff[4];                     /* accumulate utf-8 here */
6999
7000         while (*sub != 0)
7001           {
7002           int complete = 0;
7003           uschar c = *sub++;
7004
7005           if (bytes_left)
7006             {
7007             if ((c & 0xc0) != 0x80)
7008                     /* wrong continuation byte; invalidate all bytes */
7009               complete = 1; /* error */
7010             else
7011               {
7012               codepoint = (codepoint << 6) | (c & 0x3f);
7013               seq_buff[index++] = c;
7014               if (--bytes_left == 0)            /* codepoint complete */
7015                 if(codepoint > 0x10FFFF)        /* is it too large? */
7016                   complete = -1;        /* error (RFC3629 limit) */
7017                 else
7018                   {             /* finished; output utf-8 sequence */
7019                   yield = string_catn(yield, &size, &ptr, seq_buff, seq_len);
7020                   index = 0;
7021                   }
7022               }
7023             }
7024           else  /* no bytes left: new sequence */
7025             {
7026             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
7027               {
7028               yield = string_catn(yield, &size, &ptr, &c, 1);
7029               continue;
7030               }
7031             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7032               {
7033               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7034                 complete = -1;
7035               else
7036                 {
7037                   bytes_left = 1;
7038                   codepoint = c & 0x1f;
7039                 }
7040               }
7041             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7042               {
7043               bytes_left = 2;
7044               codepoint = c & 0x0f;
7045               }
7046             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7047               {
7048               bytes_left = 3;
7049               codepoint = c & 0x07;
7050               }
7051             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7052               complete = -1;
7053
7054             seq_buff[index++] = c;
7055             seq_len = bytes_left + 1;
7056             }           /* if(bytes_left) */
7057
7058           if (complete != 0)
7059             {
7060             bytes_left = index = 0;
7061             yield = string_catn(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
7062             }
7063           if ((complete == 1) && ((c & 0x80) == 0))
7064                         /* ASCII character follows incomplete sequence */
7065               yield = string_catn(yield, &size, &ptr, &c, 1);
7066           }
7067         continue;
7068         }
7069
7070 #ifdef SUPPORT_I18N
7071       case EOP_UTF8_DOMAIN_TO_ALABEL:
7072         {
7073         uschar * error = NULL;
7074         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7075         if (error)
7076           {
7077           expand_string_message = string_sprintf(
7078             "error converting utf8 (%s) to alabel: %s",
7079             string_printing(sub), error);
7080           goto EXPAND_FAILED;
7081           }
7082         yield = string_cat(yield, &size, &ptr, s);
7083         continue;
7084         }
7085
7086       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7087         {
7088         uschar * error = NULL;
7089         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7090         if (error)
7091           {
7092           expand_string_message = string_sprintf(
7093             "error converting alabel (%s) to utf8: %s",
7094             string_printing(sub), error);
7095           goto EXPAND_FAILED;
7096           }
7097         yield = string_cat(yield, &size, &ptr, s);
7098         continue;
7099         }
7100
7101       case EOP_UTF8_LOCALPART_TO_ALABEL:
7102         {
7103         uschar * error = NULL;
7104         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7105         if (error)
7106           {
7107           expand_string_message = string_sprintf(
7108             "error converting utf8 (%s) to alabel: %s",
7109             string_printing(sub), error);
7110           goto EXPAND_FAILED;
7111           }
7112         yield = string_cat(yield, &size, &ptr, s);
7113         DEBUG(D_expand) debug_printf_indent("yield: '%s'\n", yield);
7114         continue;
7115         }
7116
7117       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7118         {
7119         uschar * error = NULL;
7120         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7121         if (error)
7122           {
7123           expand_string_message = string_sprintf(
7124             "error converting alabel (%s) to utf8: %s",
7125             string_printing(sub), error);
7126           goto EXPAND_FAILED;
7127           }
7128         yield = string_cat(yield, &size, &ptr, s);
7129         continue;
7130         }
7131 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7132
7133       /* escape turns all non-printing characters into escape sequences. */
7134
7135       case EOP_ESCAPE:
7136         {
7137         const uschar * t = string_printing(sub);
7138         yield = string_cat(yield, &size, &ptr, t);
7139         continue;
7140         }
7141
7142       case EOP_ESCAPE8BIT:
7143         {
7144         const uschar * s = sub;
7145         uschar c;
7146
7147         for (s = sub; (c = *s); s++)
7148           yield = c < 127 && c != '\\'
7149             ? string_catn(yield, &size, &ptr, s, 1)
7150             : string_catn(yield, &size, &ptr, string_sprintf("\\%03o", c), 4);
7151         continue;
7152         }
7153
7154       /* Handle numeric expression evaluation */
7155
7156       case EOP_EVAL:
7157       case EOP_EVAL10:
7158         {
7159         uschar *save_sub = sub;
7160         uschar *error = NULL;
7161         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7162         if (error != NULL)
7163           {
7164           expand_string_message = string_sprintf("error in expression "
7165             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
7166               save_sub);
7167           goto EXPAND_FAILED;
7168           }
7169         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
7170         yield = string_cat(yield, &size, &ptr, var_buffer);
7171         continue;
7172         }
7173
7174       /* Handle time period formating */
7175
7176       case EOP_TIME_EVAL:
7177         {
7178         int n = readconf_readtime(sub, 0, FALSE);
7179         if (n < 0)
7180           {
7181           expand_string_message = string_sprintf("string \"%s\" is not an "
7182             "Exim time interval in \"%s\" operator", sub, name);
7183           goto EXPAND_FAILED;
7184           }
7185         sprintf(CS var_buffer, "%d", n);
7186         yield = string_cat(yield, &size, &ptr, var_buffer);
7187         continue;
7188         }
7189
7190       case EOP_TIME_INTERVAL:
7191         {
7192         int n;
7193         uschar *t = read_number(&n, sub);
7194         if (*t != 0) /* Not A Number*/
7195           {
7196           expand_string_message = string_sprintf("string \"%s\" is not a "
7197             "positive number in \"%s\" operator", sub, name);
7198           goto EXPAND_FAILED;
7199           }
7200         t = readconf_printtime(n);
7201         yield = string_cat(yield, &size, &ptr, t);
7202         continue;
7203         }
7204
7205       /* Convert string to base64 encoding */
7206
7207       case EOP_STR2B64:
7208       case EOP_BASE64:
7209         {
7210 #ifdef SUPPORT_TLS
7211         uschar * s = vp && *(void **)vp->value
7212           ? tls_cert_der_b64(*(void **)vp->value)
7213           : b64encode(sub, Ustrlen(sub));
7214 #else
7215         uschar * s = b64encode(sub, Ustrlen(sub));
7216 #endif
7217         yield = string_cat(yield, &size, &ptr, s);
7218         continue;
7219         }
7220
7221       case EOP_BASE64D:
7222         {
7223         uschar * s;
7224         int len = b64decode(sub, &s);
7225         if (len < 0)
7226           {
7227           expand_string_message = string_sprintf("string \"%s\" is not "
7228             "well-formed for \"%s\" operator", sub, name);
7229           goto EXPAND_FAILED;
7230           }
7231         yield = string_cat(yield, &size, &ptr, s);
7232         continue;
7233         }
7234
7235       /* strlen returns the length of the string */
7236
7237       case EOP_STRLEN:
7238         {
7239         uschar buff[24];
7240         (void)sprintf(CS buff, "%d", Ustrlen(sub));
7241         yield = string_cat(yield, &size, &ptr, buff);
7242         continue;
7243         }
7244
7245       /* length_n or l_n takes just the first n characters or the whole string,
7246       whichever is the shorter;
7247
7248       substr_m_n, and s_m_n take n characters from offset m; negative m take
7249       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
7250       takes the rest, either to the right or to the left.
7251
7252       hash_n or h_n makes a hash of length n from the string, yielding n
7253       characters from the set a-z; hash_n_m makes a hash of length n, but
7254       uses m characters from the set a-zA-Z0-9.
7255
7256       nhash_n returns a single number between 0 and n-1 (in text form), while
7257       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
7258       between 0 and n-1 and the second between 0 and m-1. */
7259
7260       case EOP_LENGTH:
7261       case EOP_L:
7262       case EOP_SUBSTR:
7263       case EOP_S:
7264       case EOP_HASH:
7265       case EOP_H:
7266       case EOP_NHASH:
7267       case EOP_NH:
7268         {
7269         int sign = 1;
7270         int value1 = 0;
7271         int value2 = -1;
7272         int *pn;
7273         int len;
7274         uschar *ret;
7275
7276         if (arg == NULL)
7277           {
7278           expand_string_message = string_sprintf("missing values after %s",
7279             name);
7280           goto EXPAND_FAILED;
7281           }
7282
7283         /* "length" has only one argument, effectively being synonymous with
7284         substr_0_n. */
7285
7286         if (c == EOP_LENGTH || c == EOP_L)
7287           {
7288           pn = &value2;
7289           value2 = 0;
7290           }
7291
7292         /* The others have one or two arguments; for "substr" the first may be
7293         negative. The second being negative means "not supplied". */
7294
7295         else
7296           {
7297           pn = &value1;
7298           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7299           }
7300
7301         /* Read up to two numbers, separated by underscores */
7302
7303         ret = arg;
7304         while (*arg != 0)
7305           {
7306           if (arg != ret && *arg == '_' && pn == &value1)
7307             {
7308             pn = &value2;
7309             value2 = 0;
7310             if (arg[1] != 0) arg++;
7311             }
7312           else if (!isdigit(*arg))
7313             {
7314             expand_string_message =
7315               string_sprintf("non-digit after underscore in \"%s\"", name);
7316             goto EXPAND_FAILED;
7317             }
7318           else *pn = (*pn)*10 + *arg++ - '0';
7319           }
7320         value1 *= sign;
7321
7322         /* Perform the required operation */
7323
7324         ret =
7325           (c == EOP_HASH || c == EOP_H)?
7326              compute_hash(sub, value1, value2, &len) :
7327           (c == EOP_NHASH || c == EOP_NH)?
7328              compute_nhash(sub, value1, value2, &len) :
7329              extract_substr(sub, value1, value2, &len);
7330
7331         if (ret == NULL) goto EXPAND_FAILED;
7332         yield = string_catn(yield, &size, &ptr, ret, len);
7333         continue;
7334         }
7335
7336       /* Stat a path */
7337
7338       case EOP_STAT:
7339         {
7340         uschar *s;
7341         uschar smode[12];
7342         uschar **modetable[3];
7343         int i;
7344         mode_t mode;
7345         struct stat st;
7346
7347         if ((expand_forbid & RDO_EXISTS) != 0)
7348           {
7349           expand_string_message = US"Use of the stat() expansion is not permitted";
7350           goto EXPAND_FAILED;
7351           }
7352
7353         if (stat(CS sub, &st) < 0)
7354           {
7355           expand_string_message = string_sprintf("stat(%s) failed: %s",
7356             sub, strerror(errno));
7357           goto EXPAND_FAILED;
7358           }
7359         mode = st.st_mode;
7360         switch (mode & S_IFMT)
7361           {
7362           case S_IFIFO: smode[0] = 'p'; break;
7363           case S_IFCHR: smode[0] = 'c'; break;
7364           case S_IFDIR: smode[0] = 'd'; break;
7365           case S_IFBLK: smode[0] = 'b'; break;
7366           case S_IFREG: smode[0] = '-'; break;
7367           default: smode[0] = '?'; break;
7368           }
7369
7370         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7371         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7372         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7373
7374         for (i = 0; i < 3; i++)
7375           {
7376           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7377           mode >>= 3;
7378           }
7379
7380         smode[10] = 0;
7381         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7382           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7383           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7384           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7385           (long)st.st_gid, st.st_size, (long)st.st_atime,
7386           (long)st.st_mtime, (long)st.st_ctime);
7387         yield = string_cat(yield, &size, &ptr, s);
7388         continue;
7389         }
7390
7391       /* vaguely random number less than N */
7392
7393       case EOP_RANDINT:
7394         {
7395         int_eximarith_t max;
7396         uschar *s;
7397
7398         max = expanded_string_integer(sub, TRUE);
7399         if (expand_string_message != NULL)
7400           goto EXPAND_FAILED;
7401         s = string_sprintf("%d", vaguely_random_number((int)max));
7402         yield = string_cat(yield, &size, &ptr, s);
7403         continue;
7404         }
7405
7406       /* Reverse IP, including IPv6 to dotted-nibble */
7407
7408       case EOP_REVERSE_IP:
7409         {
7410         int family, maskptr;
7411         uschar reversed[128];
7412
7413         family = string_is_ip_address(sub, &maskptr);
7414         if (family == 0)
7415           {
7416           expand_string_message = string_sprintf(
7417               "reverse_ip() not given an IP address [%s]", sub);
7418           goto EXPAND_FAILED;
7419           }
7420         invert_address(reversed, sub);
7421         yield = string_cat(yield, &size, &ptr, reversed);
7422         continue;
7423         }
7424
7425       /* Unknown operator */
7426
7427       default:
7428       expand_string_message =
7429         string_sprintf("unknown expansion operator \"%s\"", name);
7430       goto EXPAND_FAILED;
7431       }
7432     }
7433
7434   /* Handle a plain name. If this is the first thing in the expansion, release
7435   the pre-allocated buffer. If the result data is known to be in a new buffer,
7436   newsize will be set to the size of that buffer, and we can just point at that
7437   store instead of copying. Many expansion strings contain just one reference,
7438   so this is a useful optimization, especially for humungous headers
7439   ($message_headers). */
7440                                                 /*{*/
7441   if (*s++ == '}')
7442     {
7443     int len;
7444     int newsize = 0;
7445     if (ptr == 0)
7446       {
7447       if (resetok) store_reset(yield);
7448       yield = NULL;
7449       size = 0;
7450       }
7451     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
7452       {
7453       expand_string_message =
7454         string_sprintf("unknown variable in \"${%s}\"", name);
7455       check_variable_error_message(name);
7456       goto EXPAND_FAILED;
7457       }
7458     len = Ustrlen(value);
7459     if (!yield && newsize)
7460       {
7461       yield = value;
7462       size = newsize;
7463       ptr = len;
7464       }
7465     else
7466       yield = string_catn(yield, &size, &ptr, value, len);
7467     continue;
7468     }
7469
7470   /* Else there's something wrong */
7471
7472   expand_string_message =
7473     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7474     "in a variable reference)", name);
7475   goto EXPAND_FAILED;
7476   }
7477
7478 /* If we hit the end of the string when ket_ends is set, there is a missing
7479 terminating brace. */
7480
7481 if (ket_ends && *s == 0)
7482   {
7483   expand_string_message = malformed_header?
7484     US"missing } at end of string - could be header name not terminated by colon"
7485     :
7486     US"missing } at end of string";
7487   goto EXPAND_FAILED;
7488   }
7489
7490 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7491 added to the string. If so, set up an empty string. Add a terminating zero. If
7492 left != NULL, return a pointer to the terminator. */
7493
7494 if (yield == NULL) yield = store_get(1);
7495 yield[ptr] = 0;
7496 if (left != NULL) *left = s;
7497
7498 /* Any stacking store that was used above the final string is no longer needed.
7499 In many cases the final string will be the first one that was got and so there
7500 will be optimal store usage. */
7501
7502 if (resetok) store_reset(yield + ptr + 1);
7503 else if (resetok_p) *resetok_p = FALSE;
7504
7505 DEBUG(D_expand)
7506   {
7507   debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
7508     "expanding: %.*s\n",
7509     (int)(s - string), string);
7510   debug_printf_indent("%s"
7511     UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7512     "result: %s\n",
7513     skipping ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
7514     yield);
7515   if (skipping)
7516     debug_printf_indent(UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7517       "skipping: result is not used\n");
7518   }
7519 expand_level--;
7520 return yield;
7521
7522 /* This is the failure exit: easiest to program with a goto. We still need
7523 to update the pointer to the terminator, for cases of nested calls with "fail".
7524 */
7525
7526 EXPAND_FAILED_CURLY:
7527 if (malformed_header)
7528   expand_string_message =
7529     US"missing or misplaced { or } - could be header name not terminated by colon";
7530
7531 else if (!expand_string_message || !*expand_string_message)
7532   expand_string_message = US"missing or misplaced { or }";
7533
7534 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7535 that is a bad idea, because expand_string_message is in dynamic store. */
7536
7537 EXPAND_FAILED:
7538 if (left != NULL) *left = s;
7539 DEBUG(D_expand)
7540   {
7541   debug_printf_indent(UTF8_VERT_RIGHT "failed to expand: %s\n",
7542     string);
7543   debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7544     "error message: %s\n",
7545     expand_string_forcedfail ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
7546     expand_string_message);
7547   if (expand_string_forcedfail)
7548     debug_printf_indent(UTF8_UP_RIGHT "failure was forced\n");
7549   }
7550 if (resetok_p) *resetok_p = resetok;
7551 expand_level--;
7552 return NULL;
7553 }
7554
7555
7556 /* This is the external function call. Do a quick check for any expansion
7557 metacharacters, and if there are none, just return the input string.
7558
7559 Argument: the string to be expanded
7560 Returns:  the expanded string, or NULL if expansion failed; if failure was
7561           due to a lookup deferring, search_find_defer will be TRUE
7562 */
7563
7564 uschar *
7565 expand_string(uschar *string)
7566 {
7567 search_find_defer = FALSE;
7568 malformed_header = FALSE;
7569 return (Ustrpbrk(string, "$\\") == NULL)? string :
7570   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7571 }
7572
7573
7574
7575 const uschar *
7576 expand_cstring(const uschar *string)
7577 {
7578 search_find_defer = FALSE;
7579 malformed_header = FALSE;
7580 return (Ustrpbrk(string, "$\\") == NULL)? string :
7581   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7582 }
7583
7584
7585
7586 /*************************************************
7587 *              Expand and copy                   *
7588 *************************************************/
7589
7590 /* Now and again we want to expand a string and be sure that the result is in a
7591 new bit of store. This function does that.
7592 Since we know it has been copied, the de-const cast is safe.
7593
7594 Argument: the string to be expanded
7595 Returns:  the expanded string, always in a new bit of store, or NULL
7596 */
7597
7598 uschar *
7599 expand_string_copy(const uschar *string)
7600 {
7601 const uschar *yield = expand_cstring(string);
7602 if (yield == string) yield = string_copy(string);
7603 return US yield;
7604 }
7605
7606
7607
7608 /*************************************************
7609 *        Expand and interpret as an integer      *
7610 *************************************************/
7611
7612 /* Expand a string, and convert the result into an integer.
7613
7614 Arguments:
7615   string  the string to be expanded
7616   isplus  TRUE if a non-negative number is expected
7617
7618 Returns:  the integer value, or
7619           -1 for an expansion error               ) in both cases, message in
7620           -2 for an integer interpretation error  ) expand_string_message
7621           expand_string_message is set NULL for an OK integer
7622 */
7623
7624 int_eximarith_t
7625 expand_string_integer(uschar *string, BOOL isplus)
7626 {
7627 return expanded_string_integer(expand_string(string), isplus);
7628 }
7629
7630
7631 /*************************************************
7632  *         Interpret string as an integer        *
7633  *************************************************/
7634
7635 /* Convert a string (that has already been expanded) into an integer.
7636
7637 This function is used inside the expansion code.
7638
7639 Arguments:
7640   s       the string to be expanded
7641   isplus  TRUE if a non-negative number is expected
7642
7643 Returns:  the integer value, or
7644           -1 if string is NULL (which implies an expansion error)
7645           -2 for an integer interpretation error
7646           expand_string_message is set NULL for an OK integer
7647 */
7648
7649 static int_eximarith_t
7650 expanded_string_integer(const uschar *s, BOOL isplus)
7651 {
7652 int_eximarith_t value;
7653 uschar *msg = US"invalid integer \"%s\"";
7654 uschar *endptr;
7655
7656 /* If expansion failed, expand_string_message will be set. */
7657
7658 if (s == NULL) return -1;
7659
7660 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7661 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7662 systems, so we set it zero ourselves. */
7663
7664 errno = 0;
7665 expand_string_message = NULL;               /* Indicates no error */
7666
7667 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7668 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7669 the behaviour explicitly.  Stripping leading whitespace is a harmless
7670 noop change since strtol skips it anyway (provided that there is a number
7671 to find at all). */
7672 if (isspace(*s))
7673   {
7674   while (isspace(*s)) ++s;
7675   if (*s == '\0')
7676     {
7677       DEBUG(D_expand)
7678        debug_printf_indent("treating blank string as number 0\n");
7679       return 0;
7680     }
7681   }
7682
7683 value = strtoll(CS s, CSS &endptr, 10);
7684
7685 if (endptr == s)
7686   {
7687   msg = US"integer expected but \"%s\" found";
7688   }
7689 else if (value < 0 && isplus)
7690   {
7691   msg = US"non-negative integer expected but \"%s\" found";
7692   }
7693 else
7694   {
7695   switch (tolower(*endptr))
7696     {
7697     default:
7698       break;
7699     case 'k':
7700       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7701       else value *= 1024;
7702       endptr++;
7703       break;
7704     case 'm':
7705       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7706       else value *= 1024*1024;
7707       endptr++;
7708       break;
7709     case 'g':
7710       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7711       else value *= 1024*1024*1024;
7712       endptr++;
7713       break;
7714     }
7715   if (errno == ERANGE)
7716     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7717   else
7718     {
7719     while (isspace(*endptr)) endptr++;
7720     if (*endptr == 0) return value;
7721     }
7722   }
7723
7724 expand_string_message = string_sprintf(CS msg, s);
7725 return -2;
7726 }
7727
7728
7729 /* These values are usually fixed boolean values, but they are permitted to be
7730 expanded strings.
7731
7732 Arguments:
7733   addr       address being routed
7734   mtype      the module type
7735   mname      the module name
7736   dbg_opt    debug selectors
7737   oname      the option name
7738   bvalue     the router's boolean value
7739   svalue     the router's string value
7740   rvalue     where to put the returned value
7741
7742 Returns:     OK     value placed in rvalue
7743              DEFER  expansion failed
7744 */
7745
7746 int
7747 exp_bool(address_item *addr,
7748   uschar *mtype, uschar *mname, unsigned dbg_opt,
7749   uschar *oname, BOOL bvalue,
7750   uschar *svalue, BOOL *rvalue)
7751 {
7752 uschar *expanded;
7753 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7754
7755 expanded = expand_string(svalue);
7756 if (expanded == NULL)
7757   {
7758   if (expand_string_forcedfail)
7759     {
7760     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7761     *rvalue = bvalue;
7762     return OK;
7763     }
7764   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7765       oname, mname, mtype, expand_string_message);
7766   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7767   return DEFER;
7768   }
7769
7770 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7771   expanded);
7772
7773 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7774   *rvalue = TRUE;
7775 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7776   *rvalue = FALSE;
7777 else
7778   {
7779   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7780     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7781   return DEFER;
7782   }
7783
7784 return OK;
7785 }
7786
7787
7788
7789 /* Avoid potentially exposing a password in a string about to be logged */
7790
7791 uschar *
7792 expand_hide_passwords(uschar * s)
7793 {
7794 return (  (  Ustrstr(s, "failed to expand") != NULL
7795           || Ustrstr(s, "expansion of ")    != NULL
7796           ) 
7797        && (  Ustrstr(s, "mysql")   != NULL
7798           || Ustrstr(s, "pgsql")   != NULL
7799           || Ustrstr(s, "redis")   != NULL
7800           || Ustrstr(s, "sqlite")  != NULL
7801           || Ustrstr(s, "ldap:")   != NULL
7802           || Ustrstr(s, "ldaps:")  != NULL
7803           || Ustrstr(s, "ldapi:")  != NULL
7804           || Ustrstr(s, "ldapdn:") != NULL
7805           || Ustrstr(s, "ldapm:")  != NULL
7806        )  ) 
7807   ? US"Temporary internal error" : s;
7808 }
7809
7810
7811
7812 /*************************************************
7813 * Error-checking for testsuite                   *
7814 *************************************************/
7815 typedef struct {
7816   const char *  filename;
7817   int           linenumber;
7818   uschar *      region_start;
7819   uschar *      region_end;
7820   const uschar *var_name;
7821   const uschar *var_data;
7822 } err_ctx;
7823
7824 static void
7825 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
7826 {
7827 err_ctx * e = ctx;
7828 if (var_data >= e->region_start  &&  var_data < e->region_end)
7829   {
7830   e->var_name = CUS var_name;
7831   e->var_data = CUS var_data;
7832   }
7833 }
7834
7835 void
7836 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
7837 {
7838 err_ctx e = {filename, linenumber, ptr, US ptr + len, NULL };
7839 int i;
7840 var_entry * v;
7841
7842 /* check acl_ variables */
7843 tree_walk(acl_var_c, assert_variable_notin, &e);
7844 tree_walk(acl_var_m, assert_variable_notin, &e);
7845
7846 /* check auth<n> variables */
7847 for (i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
7848   assert_variable_notin(US"auth<n>", auth_vars[i], &e);
7849
7850 /* check regex<n> variables */
7851 for (i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
7852   assert_variable_notin(US"regex<n>", regex_vars[i], &e);
7853
7854 /* check known-name variables */
7855 for (v = var_table; v < var_table + var_table_size; v++)
7856   if (v->type == vtype_stringptr)
7857     assert_variable_notin(US v->name, *(USS v->value), &e);
7858
7859 if (e.var_name)
7860   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
7861     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
7862     e.var_name, e.filename, e.linenumber, e.var_data);
7863 }
7864
7865
7866
7867 /*************************************************
7868 **************************************************
7869 *             Stand-alone test program           *
7870 **************************************************
7871 *************************************************/
7872
7873 #ifdef STAND_ALONE
7874
7875
7876 BOOL
7877 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7878 {
7879 int ovector[3*(EXPAND_MAXN+1)];
7880 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7881   ovector, nelem(ovector));
7882 BOOL yield = n >= 0;
7883 if (n == 0) n = EXPAND_MAXN + 1;
7884 if (yield)
7885   {
7886   int nn;
7887   expand_nmax = (setup < 0)? 0 : setup + 1;
7888   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7889     {
7890     expand_nstring[expand_nmax] = subject + ovector[nn];
7891     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7892     }
7893   expand_nmax--;
7894   }
7895 return yield;
7896 }
7897
7898
7899 int main(int argc, uschar **argv)
7900 {
7901 int i;
7902 uschar buffer[1024];
7903
7904 debug_selector = D_v;
7905 debug_file = stderr;
7906 debug_fd = fileno(debug_file);
7907 big_buffer = malloc(big_buffer_size);
7908
7909 for (i = 1; i < argc; i++)
7910   {
7911   if (argv[i][0] == '+')
7912     {
7913     debug_trace_memory = 2;
7914     argv[i]++;
7915     }
7916   if (isdigit(argv[i][0]))
7917     debug_selector = Ustrtol(argv[i], NULL, 0);
7918   else
7919     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7920         Ustrlen(argv[i]))
7921       {
7922 #ifdef LOOKUP_LDAP
7923       eldap_default_servers = argv[i];
7924 #endif
7925 #ifdef LOOKUP_MYSQL
7926       mysql_servers = argv[i];
7927 #endif
7928 #ifdef LOOKUP_PGSQL
7929       pgsql_servers = argv[i];
7930 #endif
7931 #ifdef LOOKUP_REDIS
7932       redis_servers = argv[i];
7933 #endif
7934       }
7935 #ifdef EXIM_PERL
7936   else opt_perl_startup = argv[i];
7937 #endif
7938   }
7939
7940 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7941
7942 expand_nstring[1] = US"string 1....";
7943 expand_nlength[1] = 8;
7944 expand_nmax = 1;
7945
7946 #ifdef EXIM_PERL
7947 if (opt_perl_startup != NULL)
7948   {
7949   uschar *errstr;
7950   printf("Starting Perl interpreter\n");
7951   errstr = init_perl(opt_perl_startup);
7952   if (errstr != NULL)
7953     {
7954     printf("** error in perl_startup code: %s\n", errstr);
7955     return EXIT_FAILURE;
7956     }
7957   }
7958 #endif /* EXIM_PERL */
7959
7960 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7961   {
7962   void *reset_point = store_get(0);
7963   uschar *yield = expand_string(buffer);
7964   if (yield != NULL)
7965     {
7966     printf("%s\n", yield);
7967     store_reset(reset_point);
7968     }
7969   else
7970     {
7971     if (search_find_defer) printf("search_find deferred\n");
7972     printf("Failed: %s\n", expand_string_message);
7973     if (expand_string_forcedfail) printf("Forced failure\n");
7974     printf("\n");
7975     }
7976   }
7977
7978 search_tidyup();
7979
7980 return 0;
7981 }
7982
7983 #endif
7984
7985 /* vi: aw ai sw=2
7986 */
7987 /* End of expand.c */