1d121756da4db75df3a8e4f9b1873d11576d46ed
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2023 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-or-later */
9
10
11 /* Functions for handling string expansion. */
12
13
14 #include "exim.h"
15
16 #ifdef MACRO_PREDEF
17 # include "macro_predef.h"
18 #endif
19
20 typedef unsigned esi_flags;
21 #define ESI_NOFLAGS             0
22 #define ESI_BRACE_ENDS          BIT(0)  /* expansion should stop at } */
23 #define ESI_HONOR_DOLLAR        BIT(1)  /* $ is meaningfull */
24 #define ESI_SKIPPING            BIT(2)  /* value will not be needed */
25
26 #ifdef STAND_ALONE
27 # ifndef SUPPORT_CRYPTEQ
28 #  define SUPPORT_CRYPTEQ
29 # endif
30 #endif  /*!STAND_ALONE*/
31
32 #ifdef LOOKUP_LDAP
33 # include "lookups/ldap.h"
34 #endif
35
36 #ifdef SUPPORT_CRYPTEQ
37 # ifdef CRYPT_H
38 #  include <crypt.h>
39 # endif
40 # ifndef HAVE_CRYPT16
41 extern char* crypt16(char*, char*);
42 # endif
43 #endif
44
45 /* The handling of crypt16() is a mess. I will record below the analysis of the
46 mess that was sent to me. We decided, however, to make changing this very low
47 priority, because in practice people are moving away from the crypt()
48 algorithms nowadays, so it doesn't seem worth it.
49
50 <quote>
51 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
52 the first 8 characters of the password using a 20-round version of crypt
53 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
54 or an empty block if the password is less than 9 characters, using a
55 20-round version of crypt and the same salt as was used for the first
56 block.  Characters after the first 16 are ignored.  It always generates
57 a 16-byte hash, which is expressed together with the salt as a string
58 of 24 base 64 digits.  Here are some links to peruse:
59
60         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
61         http://seclists.org/bugtraq/1999/Mar/0076.html
62
63 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
64 and OSF/1.  This is the same as the standard crypt if given a password
65 of 8 characters or less.  If given more, it first does the same as crypt
66 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
67 using as salt the first two base 64 digits from the first hash block.
68 If the password is more than 16 characters then it crypts the 17th to 24th
69 characters using as salt the first two base 64 digits from the second hash
70 block.  And so on: I've seen references to it cutting off the password at
71 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
72
73         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
74         http://seclists.org/bugtraq/1999/Mar/0109.html
75         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
76              TET1_html/sec.c222.html#no_id_208
77
78 Exim has something it calls "crypt16".  It will either use a native
79 crypt16 or its own implementation.  A native crypt16 will presumably
80 be the one that I called "crypt16" above.  The internal "crypt16"
81 function, however, is a two-block-maximum implementation of what I called
82 "bigcrypt".  The documentation matches the internal code.
83
84 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
85 that crypt16 and bigcrypt were different things.
86
87 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
88 to whatever it is using under that name.  This unfortunately sets a
89 precedent for using "{crypt16}" to identify two incompatible algorithms
90 whose output can't be distinguished.  With "{crypt16}" thus rendered
91 ambiguous, I suggest you deprecate it and invent two new identifiers
92 for the two algorithms.
93
94 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
95 of the password separately means they can be cracked separately, so
96 the double-length hash only doubles the cracking effort instead of
97 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
98 bcrypt ({CRYPT}$2a$).
99 </quote>
100 */
101
102
103
104 /*************************************************
105 *            Local statics and tables            *
106 *************************************************/
107
108 /* Table of item names, and corresponding switch numbers. The names must be in
109 alphabetical order. */
110
111 static uschar *item_table[] = {
112   US"acl",
113   US"authresults",
114   US"certextract",
115   US"dlfunc",
116   US"env",
117   US"extract",
118   US"filter",
119   US"hash",
120   US"hmac",
121   US"if",
122 #ifdef SUPPORT_I18N
123   US"imapfolder",
124 #endif
125   US"length",
126   US"listextract",
127   US"listquote",
128   US"lookup",
129   US"map",
130   US"nhash",
131   US"perl",
132   US"prvs",
133   US"prvscheck",
134   US"readfile",
135   US"readsocket",
136   US"reduce",
137   US"run",
138   US"sg",
139   US"sort",
140 #ifdef SUPPORT_SRS
141   US"srs_encode",
142 #endif
143   US"substr",
144   US"tr" };
145
146 enum {
147   EITEM_ACL,
148   EITEM_AUTHRESULTS,
149   EITEM_CERTEXTRACT,
150   EITEM_DLFUNC,
151   EITEM_ENV,
152   EITEM_EXTRACT,
153   EITEM_FILTER,
154   EITEM_HASH,
155   EITEM_HMAC,
156   EITEM_IF,
157 #ifdef SUPPORT_I18N
158   EITEM_IMAPFOLDER,
159 #endif
160   EITEM_LENGTH,
161   EITEM_LISTEXTRACT,
162   EITEM_LISTQUOTE,
163   EITEM_LOOKUP,
164   EITEM_MAP,
165   EITEM_NHASH,
166   EITEM_PERL,
167   EITEM_PRVS,
168   EITEM_PRVSCHECK,
169   EITEM_READFILE,
170   EITEM_READSOCK,
171   EITEM_REDUCE,
172   EITEM_RUN,
173   EITEM_SG,
174   EITEM_SORT,
175 #ifdef SUPPORT_SRS
176   EITEM_SRS_ENCODE,
177 #endif
178   EITEM_SUBSTR,
179   EITEM_TR };
180
181 /* Tables of operator names, and corresponding switch numbers. The names must be
182 in alphabetical order. There are two tables, because underscore is used in some
183 cases to introduce arguments, whereas for other it is part of the name. This is
184 an historical mis-design. */
185
186 static uschar * op_table_underscore[] = {
187   US"from_utf8",
188   US"local_part",
189   US"quote_local_part",
190   US"reverse_ip",
191   US"time_eval",
192   US"time_interval"
193 #ifdef SUPPORT_I18N
194  ,US"utf8_domain_from_alabel",
195   US"utf8_domain_to_alabel",
196   US"utf8_localpart_from_alabel",
197   US"utf8_localpart_to_alabel"
198 #endif
199   };
200
201 enum {
202   EOP_FROM_UTF8,
203   EOP_LOCAL_PART,
204   EOP_QUOTE_LOCAL_PART,
205   EOP_REVERSE_IP,
206   EOP_TIME_EVAL,
207   EOP_TIME_INTERVAL
208 #ifdef SUPPORT_I18N
209  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
210   EOP_UTF8_DOMAIN_TO_ALABEL,
211   EOP_UTF8_LOCALPART_FROM_ALABEL,
212   EOP_UTF8_LOCALPART_TO_ALABEL
213 #endif
214   };
215
216 static uschar *op_table_main[] = {
217   US"address",
218   US"addresses",
219   US"base32",
220   US"base32d",
221   US"base62",
222   US"base62d",
223   US"base64",
224   US"base64d",
225   US"domain",
226   US"escape",
227   US"escape8bit",
228   US"eval",
229   US"eval10",
230   US"expand",
231   US"h",
232   US"hash",
233   US"headerwrap",
234   US"hex2b64",
235   US"hexquote",
236   US"ipv6denorm",
237   US"ipv6norm",
238   US"l",
239   US"lc",
240   US"length",
241   US"listcount",
242   US"listnamed",
243   US"mask",
244   US"md5",
245   US"nh",
246   US"nhash",
247   US"quote",
248   US"randint",
249   US"rfc2047",
250   US"rfc2047d",
251   US"rxquote",
252   US"s",
253   US"sha1",
254   US"sha2",
255   US"sha256",
256   US"sha3",
257   US"stat",
258   US"str2b64",
259   US"strlen",
260   US"substr",
261   US"uc",
262   US"utf8clean" };
263
264 enum {
265   EOP_ADDRESS =  nelem(op_table_underscore),
266   EOP_ADDRESSES,
267   EOP_BASE32,
268   EOP_BASE32D,
269   EOP_BASE62,
270   EOP_BASE62D,
271   EOP_BASE64,
272   EOP_BASE64D,
273   EOP_DOMAIN,
274   EOP_ESCAPE,
275   EOP_ESCAPE8BIT,
276   EOP_EVAL,
277   EOP_EVAL10,
278   EOP_EXPAND,
279   EOP_H,
280   EOP_HASH,
281   EOP_HEADERWRAP,
282   EOP_HEX2B64,
283   EOP_HEXQUOTE,
284   EOP_IPV6DENORM,
285   EOP_IPV6NORM,
286   EOP_L,
287   EOP_LC,
288   EOP_LENGTH,
289   EOP_LISTCOUNT,
290   EOP_LISTNAMED,
291   EOP_MASK,
292   EOP_MD5,
293   EOP_NH,
294   EOP_NHASH,
295   EOP_QUOTE,
296   EOP_RANDINT,
297   EOP_RFC2047,
298   EOP_RFC2047D,
299   EOP_RXQUOTE,
300   EOP_S,
301   EOP_SHA1,
302   EOP_SHA2,
303   EOP_SHA256,
304   EOP_SHA3,
305   EOP_STAT,
306   EOP_STR2B64,
307   EOP_STRLEN,
308   EOP_SUBSTR,
309   EOP_UC,
310   EOP_UTF8CLEAN };
311
312
313 /* Table of condition names, and corresponding switch numbers. The names must
314 be in alphabetical order. */
315
316 static uschar *cond_table[] = {
317   US"<",
318   US"<=",
319   US"=",
320   US"==",     /* Backward compatibility */
321   US">",
322   US">=",
323   US"acl",
324   US"and",
325   US"bool",
326   US"bool_lax",
327   US"crypteq",
328   US"def",
329   US"eq",
330   US"eqi",
331   US"exists",
332   US"first_delivery",
333   US"forall",
334   US"forall_json",
335   US"forall_jsons",
336   US"forany",
337   US"forany_json",
338   US"forany_jsons",
339   US"ge",
340   US"gei",
341   US"gt",
342   US"gti",
343 #ifdef SUPPORT_SRS
344   US"inbound_srs",
345 #endif
346   US"inlist",
347   US"inlisti",
348   US"isip",
349   US"isip4",
350   US"isip6",
351   US"ldapauth",
352   US"le",
353   US"lei",
354   US"lt",
355   US"lti",
356   US"match",
357   US"match_address",
358   US"match_domain",
359   US"match_ip",
360   US"match_local_part",
361   US"or",
362   US"pam",
363   US"pwcheck",
364   US"queue_running",
365   US"radius",
366   US"saslauthd"
367 };
368
369 enum {
370   ECOND_NUM_L,
371   ECOND_NUM_LE,
372   ECOND_NUM_E,
373   ECOND_NUM_EE,
374   ECOND_NUM_G,
375   ECOND_NUM_GE,
376   ECOND_ACL,
377   ECOND_AND,
378   ECOND_BOOL,
379   ECOND_BOOL_LAX,
380   ECOND_CRYPTEQ,
381   ECOND_DEF,
382   ECOND_STR_EQ,
383   ECOND_STR_EQI,
384   ECOND_EXISTS,
385   ECOND_FIRST_DELIVERY,
386   ECOND_FORALL,
387   ECOND_FORALL_JSON,
388   ECOND_FORALL_JSONS,
389   ECOND_FORANY,
390   ECOND_FORANY_JSON,
391   ECOND_FORANY_JSONS,
392   ECOND_STR_GE,
393   ECOND_STR_GEI,
394   ECOND_STR_GT,
395   ECOND_STR_GTI,
396 #ifdef SUPPORT_SRS
397   ECOND_INBOUND_SRS,
398 #endif
399   ECOND_INLIST,
400   ECOND_INLISTI,
401   ECOND_ISIP,
402   ECOND_ISIP4,
403   ECOND_ISIP6,
404   ECOND_LDAPAUTH,
405   ECOND_STR_LE,
406   ECOND_STR_LEI,
407   ECOND_STR_LT,
408   ECOND_STR_LTI,
409   ECOND_MATCH,
410   ECOND_MATCH_ADDRESS,
411   ECOND_MATCH_DOMAIN,
412   ECOND_MATCH_IP,
413   ECOND_MATCH_LOCAL_PART,
414   ECOND_OR,
415   ECOND_PAM,
416   ECOND_PWCHECK,
417   ECOND_QUEUE_RUNNING,
418   ECOND_RADIUS,
419   ECOND_SASLAUTHD
420 };
421
422
423 /* Types of table entry */
424
425 enum vtypes {
426   vtype_int,            /* value is address of int */
427   vtype_filter_int,     /* ditto, but recognized only when filtering */
428   vtype_ino,            /* value is address of ino_t (not always an int) */
429   vtype_uid,            /* value is address of uid_t (not always an int) */
430   vtype_gid,            /* value is address of gid_t (not always an int) */
431   vtype_bool,           /* value is address of bool */
432   vtype_stringptr,      /* value is address of pointer to string */
433   vtype_msgbody,        /* as stringptr, but read when first required */
434   vtype_msgbody_end,    /* ditto, the end of the message */
435   vtype_msgheaders,     /* the message's headers, processed */
436   vtype_msgheaders_raw, /* the message's headers, unprocessed */
437   vtype_localpart,      /* extract local part from string */
438   vtype_domain,         /* extract domain from string */
439   vtype_string_func,    /* value is string returned by given function */
440   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
441   vtype_tode,           /* value not used; generate tod in epoch format */
442   vtype_todel,          /* value not used; generate tod in epoch/usec format */
443   vtype_todf,           /* value not used; generate full tod */
444   vtype_todl,           /* value not used; generate log tod */
445   vtype_todlf,          /* value not used; generate log file datestamp tod */
446   vtype_todzone,        /* value not used; generate time zone only */
447   vtype_todzulu,        /* value not used; generate zulu tod */
448   vtype_reply,          /* value not used; get reply from headers */
449   vtype_pid,            /* value not used; result is pid */
450   vtype_host_lookup,    /* value not used; get host name */
451   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
452   vtype_pspace,         /* partition space; value is T/F for spool/log */
453   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
454   vtype_cert            /* SSL certificate */
455 #ifndef DISABLE_DKIM
456   ,vtype_dkim           /* Lookup of value in DKIM signature */
457 #endif
458 };
459
460 /* Type for main variable table */
461
462 typedef struct {
463   const char *name;
464   enum vtypes type;
465   void       *value;
466 } var_entry;
467
468 /* Type for entries pointing to address/length pairs. Not currently
469 in use. */
470
471 typedef struct {
472   uschar **address;
473   int  *length;
474 } alblock;
475
476 typedef uschar * stringptr_fn_t(void);
477 static uschar * fn_recipients(void);
478 static uschar * fn_recipients_list(void);
479 static uschar * fn_queue_size(void);
480
481 /* This table must be kept in alphabetical order. */
482
483 static var_entry var_table[] = {
484   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
485      they will be confused with user-creatable ACL variables. */
486   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
487   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
488   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
489   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
490   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
491   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
492   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
493   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
494   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
495   { "acl_narg",            vtype_int,         &acl_narg },
496   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
497   { "address_data",        vtype_stringptr,   &deliver_address_data },
498   { "address_file",        vtype_stringptr,   &address_file },
499   { "address_pipe",        vtype_stringptr,   &address_pipe },
500 #ifdef EXPERIMENTAL_ARC
501   { "arc_domains",         vtype_string_func, (void *) &fn_arc_domains },
502   { "arc_oldest_pass",     vtype_int,         &arc_oldest_pass },
503   { "arc_state",           vtype_stringptr,   &arc_state },
504   { "arc_state_reason",    vtype_stringptr,   &arc_state_reason },
505 #endif
506   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
507   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
508   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
509   { "authentication_failed",vtype_int,        &authentication_failed },
510 #ifdef WITH_CONTENT_SCAN
511   { "av_failed",           vtype_int,         &av_failed },
512 #endif
513 #ifdef EXPERIMENTAL_BRIGHTMAIL
514   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
515   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
516   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
517   { "bmi_deliver",         vtype_int,         &bmi_deliver },
518 #endif
519   { "body_linecount",      vtype_int,         &body_linecount },
520   { "body_zerocount",      vtype_int,         &body_zerocount },
521   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
522   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
523   { "caller_gid",          vtype_gid,         &real_gid },
524   { "caller_uid",          vtype_uid,         &real_uid },
525   { "callout_address",     vtype_stringptr,   &callout_address },
526   { "compile_date",        vtype_stringptr,   &version_date },
527   { "compile_number",      vtype_stringptr,   &version_cnumber },
528   { "config_dir",          vtype_stringptr,   &config_main_directory },
529   { "config_file",         vtype_stringptr,   &config_main_filename },
530   { "csa_status",          vtype_stringptr,   &csa_status },
531 #ifdef EXPERIMENTAL_DCC
532   { "dcc_header",          vtype_stringptr,   &dcc_header },
533   { "dcc_result",          vtype_stringptr,   &dcc_result },
534 #endif
535 #ifndef DISABLE_DKIM
536   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
537   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
538   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
539   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
540   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
541   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
542   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
543   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
544   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
545   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
546   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
547   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
548   { "dkim_key_length",     vtype_int,         &dkim_key_length },
549   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
550   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
551   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
552   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
553   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
554   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
555   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
556   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
557 #endif
558 #ifdef SUPPORT_DMARC
559   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
560   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
561   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
562   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
563 #endif
564   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
565   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
566   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
567   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
568   { "domain",              vtype_stringptr,   &deliver_domain },
569   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
570 #ifndef DISABLE_EVENT
571   { "event_data",          vtype_stringptr,   &event_data },
572
573   /*XXX want to use generic vars for as many of these as possible*/
574   { "event_defer_errno",   vtype_int,         &event_defer_errno },
575
576   { "event_name",          vtype_stringptr,   &event_name },
577 #endif
578   { "exim_gid",            vtype_gid,         &exim_gid },
579   { "exim_path",           vtype_stringptr,   &exim_path },
580   { "exim_uid",            vtype_uid,         &exim_uid },
581   { "exim_version",        vtype_stringptr,   &version_string },
582   { "headers_added",       vtype_string_func, (void *) &fn_hdrs_added },
583   { "home",                vtype_stringptr,   &deliver_home },
584   { "host",                vtype_stringptr,   &deliver_host },
585   { "host_address",        vtype_stringptr,   &deliver_host_address },
586   { "host_data",           vtype_stringptr,   &host_data },
587   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
588   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
589   { "host_port",           vtype_int,         &deliver_host_port },
590   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
591   { "inode",               vtype_ino,         &deliver_inode },
592   { "interface_address",   vtype_stringptr,   &interface_address },
593   { "interface_port",      vtype_int,         &interface_port },
594   { "item",                vtype_stringptr,   &iterate_item },
595 #ifdef LOOKUP_LDAP
596   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
597 #endif
598   { "load_average",        vtype_load_avg,    NULL },
599   { "local_part",          vtype_stringptr,   &deliver_localpart },
600   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
601   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
602   { "local_part_prefix_v", vtype_stringptr,   &deliver_localpart_prefix_v },
603   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
604   { "local_part_suffix_v", vtype_stringptr,   &deliver_localpart_suffix_v },
605 #ifdef HAVE_LOCAL_SCAN
606   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
607 #endif
608   { "local_user_gid",      vtype_gid,         &local_user_gid },
609   { "local_user_uid",      vtype_uid,         &local_user_uid },
610   { "localhost_number",    vtype_int,         &host_number },
611   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
612   { "log_space",           vtype_pspace,      (void *)FALSE },
613   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
614   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
615 #ifdef WITH_CONTENT_SCAN
616   { "malware_name",        vtype_stringptr,   &malware_name },
617 #endif
618   { "max_received_linelength", vtype_int,     &max_received_linelength },
619   { "message_age",         vtype_int,         &message_age },
620   { "message_body",        vtype_msgbody,     &message_body },
621   { "message_body_end",    vtype_msgbody_end, &message_body_end },
622   { "message_body_size",   vtype_int,         &message_body_size },
623   { "message_exim_id",     vtype_stringptr,   &message_id },
624   { "message_headers",     vtype_msgheaders,  NULL },
625   { "message_headers_raw", vtype_msgheaders_raw, NULL },
626   { "message_id",          vtype_stringptr,   &message_id },
627   { "message_linecount",   vtype_int,         &message_linecount },
628   { "message_size",        vtype_int,         &message_size },
629 #ifdef SUPPORT_I18N
630   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
631 #endif
632 #ifdef WITH_CONTENT_SCAN
633   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
634   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
635   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
636   { "mime_charset",        vtype_stringptr,   &mime_charset },
637   { "mime_content_description", vtype_stringptr, &mime_content_description },
638   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
639   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
640   { "mime_content_size",   vtype_int,         &mime_content_size },
641   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
642   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
643   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
644   { "mime_filename",       vtype_stringptr,   &mime_filename },
645   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
646   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
647   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
648   { "mime_part_count",     vtype_int,         &mime_part_count },
649 #endif
650   { "n0",                  vtype_filter_int,  &filter_n[0] },
651   { "n1",                  vtype_filter_int,  &filter_n[1] },
652   { "n2",                  vtype_filter_int,  &filter_n[2] },
653   { "n3",                  vtype_filter_int,  &filter_n[3] },
654   { "n4",                  vtype_filter_int,  &filter_n[4] },
655   { "n5",                  vtype_filter_int,  &filter_n[5] },
656   { "n6",                  vtype_filter_int,  &filter_n[6] },
657   { "n7",                  vtype_filter_int,  &filter_n[7] },
658   { "n8",                  vtype_filter_int,  &filter_n[8] },
659   { "n9",                  vtype_filter_int,  &filter_n[9] },
660   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
661   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
662   { "originator_gid",      vtype_gid,         &originator_gid },
663   { "originator_uid",      vtype_uid,         &originator_uid },
664   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
665   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
666   { "pid",                 vtype_pid,         NULL },
667 #ifndef DISABLE_PRDR
668   { "prdr_requested",      vtype_bool,        &prdr_requested },
669 #endif
670   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
671 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
672   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
673   { "proxy_external_port", vtype_int,         &proxy_external_port },
674   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
675   { "proxy_local_port",    vtype_int,         &proxy_local_port },
676   { "proxy_session",       vtype_bool,        &proxy_session },
677 #endif
678   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
679   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
680   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
681   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
682   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
683   { "queue_name",          vtype_stringptr,   &queue_name },
684   { "queue_size",          vtype_string_func, (void *) &fn_queue_size },
685   { "rcpt_count",          vtype_int,         &rcpt_count },
686   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
687   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
688   { "received_count",      vtype_int,         &received_count },
689   { "received_for",        vtype_stringptr,   &received_for },
690   { "received_ip_address", vtype_stringptr,   &interface_address },
691   { "received_port",       vtype_int,         &interface_port },
692   { "received_protocol",   vtype_stringptr,   &received_protocol },
693   { "received_time",       vtype_int,         &received_time.tv_sec },
694   { "recipient_data",      vtype_stringptr,   &recipient_data },
695   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
696   { "recipients",          vtype_string_func, (void *) &fn_recipients },
697   { "recipients_count",    vtype_int,         &recipients_count },
698   { "recipients_list",     vtype_string_func, (void *) &fn_recipients_list },
699   { "regex_cachesize",     vtype_int,         &regex_cachesize },/* undocumented; devel observability */
700 #ifdef WITH_CONTENT_SCAN
701   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
702 #endif
703   { "reply_address",       vtype_reply,       NULL },
704   { "return_path",         vtype_stringptr,   &return_path },
705   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
706   { "router_name",         vtype_stringptr,   &router_name },
707   { "runrc",               vtype_int,         &runrc },
708   { "self_hostname",       vtype_stringptr,   &self_hostname },
709   { "sender_address",      vtype_stringptr,   &sender_address },
710   { "sender_address_data", vtype_stringptr,   &sender_address_data },
711   { "sender_address_domain", vtype_domain,    &sender_address },
712   { "sender_address_local_part", vtype_localpart, &sender_address },
713   { "sender_data",         vtype_stringptr,   &sender_data },
714   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
715   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
716   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
717   { "sender_helo_verified",vtype_string_func, (void *) &sender_helo_verified_boolstr },
718   { "sender_host_address", vtype_stringptr,   &sender_host_address },
719   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
720   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
721   { "sender_host_name",    vtype_host_lookup, NULL },
722   { "sender_host_port",    vtype_int,         &sender_host_port },
723   { "sender_ident",        vtype_stringptr,   &sender_ident },
724   { "sender_rate",         vtype_stringptr,   &sender_rate },
725   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
726   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
727   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
728   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
729   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
730   { "sending_port",        vtype_int,         &sending_port },
731   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
732   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
733   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
734   { "smtp_command_history", vtype_string_func, (void *) &smtp_cmd_hist },
735   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
736   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
737   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
738   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
739   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
740   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
741   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
742   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
743   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
744   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
745   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
746   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
747 #ifdef WITH_CONTENT_SCAN
748   { "spam_action",         vtype_stringptr,   &spam_action },
749   { "spam_bar",            vtype_stringptr,   &spam_bar },
750   { "spam_report",         vtype_stringptr,   &spam_report },
751   { "spam_score",          vtype_stringptr,   &spam_score },
752   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
753 #endif
754 #ifdef SUPPORT_SPF
755   { "spf_guess",           vtype_stringptr,   &spf_guess },
756   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
757   { "spf_received",        vtype_stringptr,   &spf_received },
758   { "spf_result",          vtype_stringptr,   &spf_result },
759   { "spf_result_guessed",  vtype_bool,        &spf_result_guessed },
760   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
761 #endif
762   { "spool_directory",     vtype_stringptr,   &spool_directory },
763   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
764   { "spool_space",         vtype_pspace,      (void *)TRUE },
765 #ifdef SUPPORT_SRS
766   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
767 #endif
768   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
769
770   /* The non-(in,out) variables are now deprecated */
771   { "tls_bits",            vtype_int,         &tls_in.bits },
772   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
773   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
774
775   { "tls_in_bits",         vtype_int,         &tls_in.bits },
776   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
777   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
778   { "tls_in_cipher_std",   vtype_stringptr,   &tls_in.cipher_stdname },
779   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
780   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
781   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
782   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
783 #ifndef DISABLE_TLS_RESUME
784   { "tls_in_resumption",   vtype_int,         &tls_in.resumption },
785 #endif
786 #ifndef DISABLE_TLS
787   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
788 #endif
789   { "tls_in_ver",          vtype_stringptr,   &tls_in.ver },
790   { "tls_out_bits",        vtype_int,         &tls_out.bits },
791   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
792   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
793   { "tls_out_cipher_std",  vtype_stringptr,   &tls_out.cipher_stdname },
794 #ifdef SUPPORT_DANE
795   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
796 #endif
797   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
798   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
799   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
800   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
801 #ifndef DISABLE_TLS_RESUME
802   { "tls_out_resumption",  vtype_int,         &tls_out.resumption },
803 #endif
804 #ifndef DISABLE_TLS
805   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
806 #endif
807 #ifdef SUPPORT_DANE
808   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
809 #endif
810   { "tls_out_ver",         vtype_stringptr,   &tls_out.ver },
811
812   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
813 #ifndef DISABLE_TLS
814   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
815 #endif
816
817   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
818   { "tod_epoch",           vtype_tode,        NULL },
819   { "tod_epoch_l",         vtype_todel,       NULL },
820   { "tod_full",            vtype_todf,        NULL },
821   { "tod_log",             vtype_todl,        NULL },
822   { "tod_logfile",         vtype_todlf,       NULL },
823   { "tod_zone",            vtype_todzone,     NULL },
824   { "tod_zulu",            vtype_todzulu,     NULL },
825   { "transport_name",      vtype_stringptr,   &transport_name },
826   { "value",               vtype_stringptr,   &lookup_value },
827   { "verify_mode",         vtype_stringptr,   &verify_mode },
828   { "version_number",      vtype_stringptr,   &version_string },
829   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
830   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
831   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
832   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
833   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
834   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
835 };
836
837 #ifdef MACRO_PREDEF
838
839 /* dummies */
840 uschar * fn_arc_domains(void) {return NULL;}
841 uschar * fn_hdrs_added(void) {return NULL;}
842 uschar * fn_queue_size(void) {return NULL;}
843 uschar * fn_recipients(void) {return NULL;}
844 uschar * fn_recipients_list(void) {return NULL;}
845 uschar * sender_helo_verified_boolstr(void) {return NULL;}
846 uschar * smtp_cmd_hist(void) {return NULL;}
847
848
849
850 static void
851 expansion_items(void)
852 {
853 uschar buf[64];
854 for (int i = 0; i < nelem(item_table); i++)
855   {
856   spf(buf, sizeof(buf), CUS"_EXP_ITEM_%T", item_table[i]);
857   builtin_macro_create(buf);
858   }
859 }
860 static void
861 expansion_operators(void)
862 {
863 uschar buf[64];
864 for (int i = 0; i < nelem(op_table_underscore); i++)
865   {
866   spf(buf, sizeof(buf), CUS"_EXP_OP_%T", op_table_underscore[i]);
867   builtin_macro_create(buf);
868   }
869 for (int i = 0; i < nelem(op_table_main); i++)
870   {
871   spf(buf, sizeof(buf), CUS"_EXP_OP_%T", op_table_main[i]);
872   builtin_macro_create(buf);
873   }
874 }
875 static void
876 expansion_conditions(void)
877 {
878 uschar buf[64];
879 for (int i = 0; i < nelem(cond_table); i++)
880   {
881   spf(buf, sizeof(buf), CUS"_EXP_COND_%T", cond_table[i]);
882   builtin_macro_create(buf);
883   }
884 }
885 static void
886 expansion_variables(void)
887 {
888 uschar buf[64];
889 for (int i = 0; i < nelem(var_table); i++)
890   {
891   spf(buf, sizeof(buf), CUS"_EXP_VAR_%T", var_table[i].name);
892   builtin_macro_create(buf);
893   }
894 }
895
896 void
897 expansions(void)
898 {
899 expansion_items();
900 expansion_operators();
901 expansion_conditions();
902 expansion_variables();
903 }
904
905 #else   /*!MACRO_PREDEF*/
906
907 static uschar var_buffer[256];
908 static BOOL malformed_header;
909
910 /* For textual hashes */
911
912 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
913                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
914                                "0123456789";
915
916 enum { HMAC_MD5, HMAC_SHA1 };
917
918 /* For numeric hashes */
919
920 static unsigned int prime[] = {
921   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
922  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
923  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
924
925 /* For printing modes in symbolic form */
926
927 static uschar *mtable_normal[] =
928   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
929
930 static uschar *mtable_setid[] =
931   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
932
933 static uschar *mtable_sticky[] =
934   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
935
936 /* flags for find_header() */
937 #define FH_EXISTS_ONLY  BIT(0)
938 #define FH_WANT_RAW     BIT(1)
939 #define FH_WANT_LIST    BIT(2)
940
941 /* Recursively called function */
942 static uschar *expand_string_internal(const uschar *, esi_flags, const uschar **, BOOL *, BOOL *);
943 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
944
945
946 /*************************************************
947 *           Tables for UTF-8 support             *
948 *************************************************/
949
950 /* Table of the number of extra characters, indexed by the first character
951 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
952 0x3d. */
953
954 static uschar utf8_table1[] = {
955   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
956   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
957   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
958   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
959
960 /* These are the masks for the data bits in the first byte of a character,
961 indexed by the number of additional bytes. */
962
963 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
964
965 /* Get the next UTF-8 character, advancing the pointer. */
966
967 #define GETUTF8INC(c, ptr) \
968   c = *ptr++; \
969   if ((c & 0xc0) == 0xc0) \
970     { \
971     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
972     int s = 6*a; \
973     c = (c & utf8_table2[a]) << s; \
974     while (a-- > 0) \
975       { \
976       s -= 6; \
977       c |= (*ptr++ & 0x3f) << s; \
978       } \
979     }
980
981
982
983 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
984
985 /*************************************************
986 *           Binary chop search on a table        *
987 *************************************************/
988
989 /* This is used for matching expansion items and operators.
990
991 Arguments:
992   name        the name that is being sought
993   table       the table to search
994   table_size  the number of items in the table
995
996 Returns:      the offset in the table, or -1
997 */
998
999 static int
1000 chop_match(uschar *name, uschar **table, int table_size)
1001 {
1002 uschar **bot = table;
1003 uschar **top = table + table_size;
1004
1005 while (top > bot)
1006   {
1007   uschar **mid = bot + (top - bot)/2;
1008   int c = Ustrcmp(name, *mid);
1009   if (c == 0) return mid - table;
1010   if (c > 0) bot = mid + 1; else top = mid;
1011   }
1012
1013 return -1;
1014 }
1015
1016
1017
1018 /*************************************************
1019 *          Check a condition string              *
1020 *************************************************/
1021
1022 /* This function is called to expand a string, and test the result for a "true"
1023 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
1024 forced fail or lookup defer.
1025
1026 We used to release all store used, but this is not not safe due
1027 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
1028 is reasonably careful to release what it can.
1029
1030 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
1031
1032 Arguments:
1033   condition     the condition string
1034   m1            text to be incorporated in panic error
1035   m2            ditto
1036
1037 Returns:        TRUE if condition is met, FALSE if not
1038 */
1039
1040 BOOL
1041 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
1042 {
1043 uschar * ss = expand_string(condition);
1044 if (!ss)
1045   {
1046   if (!f.expand_string_forcedfail && !f.search_find_defer)
1047     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
1048       "for %s %s: %s", condition, m1, m2, expand_string_message);
1049   return FALSE;
1050   }
1051 return *ss && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
1052   strcmpic(ss, US"false") != 0;
1053 }
1054
1055
1056
1057
1058 /*************************************************
1059 *        Pseudo-random number generation         *
1060 *************************************************/
1061
1062 /* Pseudo-random number generation.  The result is not "expected" to be
1063 cryptographically strong but not so weak that someone will shoot themselves
1064 in the foot using it as a nonce in some email header scheme or whatever
1065 weirdness they'll twist this into.  The result should ideally handle fork().
1066
1067 However, if we're stuck unable to provide this, then we'll fall back to
1068 appallingly bad randomness.
1069
1070 If DISABLE_TLS is not defined then this will not be used except as an emergency
1071 fallback.
1072
1073 Arguments:
1074   max       range maximum
1075 Returns     a random number in range [0, max-1]
1076 */
1077
1078 #ifndef DISABLE_TLS
1079 # define vaguely_random_number vaguely_random_number_fallback
1080 #endif
1081 int
1082 vaguely_random_number(int max)
1083 {
1084 #ifndef DISABLE_TLS
1085 # undef vaguely_random_number
1086 #endif
1087 static pid_t pid = 0;
1088 pid_t p2;
1089
1090 if ((p2 = getpid()) != pid)
1091   {
1092   if (pid != 0)
1093     {
1094
1095 #ifdef HAVE_ARC4RANDOM
1096     /* cryptographically strong randomness, common on *BSD platforms, not
1097     so much elsewhere.  Alas. */
1098 # ifndef NOT_HAVE_ARC4RANDOM_STIR
1099     arc4random_stir();
1100 # endif
1101 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1102 # ifdef HAVE_SRANDOMDEV
1103     /* uses random(4) for seeding */
1104     srandomdev();
1105 # else
1106     {
1107     struct timeval tv;
1108     gettimeofday(&tv, NULL);
1109     srandom(tv.tv_sec | tv.tv_usec | getpid());
1110     }
1111 # endif
1112 #else
1113     /* Poor randomness and no seeding here */
1114 #endif
1115
1116     }
1117   pid = p2;
1118   }
1119
1120 #ifdef HAVE_ARC4RANDOM
1121 return arc4random() % max;
1122 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1123 return random() % max;
1124 #else
1125 /* This one returns a 16-bit number, definitely not crypto-strong */
1126 return random_number(max);
1127 #endif
1128 }
1129
1130
1131
1132
1133 /*************************************************
1134 *             Pick out a name from a string      *
1135 *************************************************/
1136
1137 /* If the name is too long, it is silently truncated.
1138
1139 Arguments:
1140   name      points to a buffer into which to put the name
1141   max       is the length of the buffer
1142   s         points to the first alphabetic character of the name
1143   extras    chars other than alphanumerics to permit
1144
1145 Returns:    pointer to the first character after the name
1146
1147 Note: The test for *s != 0 in the while loop is necessary because
1148 Ustrchr() yields non-NULL if the character is zero (which is not something
1149 I expected). */
1150
1151 static const uschar *
1152 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1153 {
1154 int ptr = 0;
1155 while (*s && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1156   {
1157   if (ptr < max-1) name[ptr++] = *s;
1158   s++;
1159   }
1160 name[ptr] = 0;
1161 return s;
1162 }
1163
1164
1165
1166 /*************************************************
1167 *     Pick out the rest of a header name         *
1168 *************************************************/
1169
1170 /* A variable name starting $header_ (or just $h_ for those who like
1171 abbreviations) might not be the complete header name because headers can
1172 contain any printing characters in their names, except ':'. This function is
1173 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1174 on the end, if the name was terminated by white space.
1175
1176 Arguments:
1177   name      points to a buffer in which the name read so far exists
1178   max       is the length of the buffer
1179   s         points to the first character after the name so far, i.e. the
1180             first non-alphameric character after $header_xxxxx
1181
1182 Returns:    a pointer to the first character after the header name
1183 */
1184
1185 static const uschar *
1186 read_header_name(uschar *name, int max, const uschar *s)
1187 {
1188 int prelen = Ustrchr(name, '_') - name + 1;
1189 int ptr = Ustrlen(name) - prelen;
1190 if (ptr > 0) memmove(name, name+prelen, ptr);
1191 while (mac_isgraph(*s) && *s != ':')
1192   {
1193   if (ptr < max-1) name[ptr++] = *s;
1194   s++;
1195   }
1196 if (*s == ':') s++;
1197 name[ptr++] = ':';
1198 name[ptr] = 0;
1199 return s;
1200 }
1201
1202
1203
1204 /*************************************************
1205 *           Pick out a number from a string      *
1206 *************************************************/
1207
1208 /* Arguments:
1209   n     points to an integer into which to put the number
1210   s     points to the first digit of the number
1211
1212 Returns:  a pointer to the character after the last digit
1213 */
1214 /*XXX consider expanding to int_eximarith_t.  But the test for
1215 "overbig numbers" in 0002 still needs to overflow it. */
1216
1217 static uschar *
1218 read_number(int *n, uschar *s)
1219 {
1220 *n = 0;
1221 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1222 return s;
1223 }
1224
1225 static const uschar *
1226 read_cnumber(int *n, const uschar *s)
1227 {
1228 *n = 0;
1229 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1230 return s;
1231 }
1232
1233
1234
1235 /*************************************************
1236 *        Extract keyed subfield from a string    *
1237 *************************************************/
1238
1239 /* The yield is in dynamic store; NULL means that the key was not found.
1240
1241 Arguments:
1242   key       points to the name of the key
1243   s         points to the string from which to extract the subfield
1244
1245 Returns:    NULL if the subfield was not found, or
1246             a pointer to the subfield's data
1247 */
1248
1249 uschar *
1250 expand_getkeyed(const uschar * key, const uschar * s)
1251 {
1252 int length = Ustrlen(key);
1253 Uskip_whitespace(&s);
1254
1255 /* Loop to search for the key */
1256
1257 while (*s)
1258   {
1259   int dkeylength;
1260   uschar * data;
1261   const uschar * dkey = s;
1262
1263   while (*s && *s != '=' && !isspace(*s)) s++;
1264   dkeylength = s - dkey;
1265   if (Uskip_whitespace(&s) == '=')
1266     while (isspace(*++s)) ;
1267
1268   data = string_dequote(&s);
1269   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1270     return data;
1271
1272   Uskip_whitespace(&s);
1273   }
1274
1275 return NULL;
1276 }
1277
1278
1279
1280 static var_entry *
1281 find_var_ent(uschar * name)
1282 {
1283 int first = 0;
1284 int last = nelem(var_table);
1285
1286 while (last > first)
1287   {
1288   int middle = (first + last)/2;
1289   int c = Ustrcmp(name, var_table[middle].name);
1290
1291   if (c > 0) { first = middle + 1; continue; }
1292   if (c < 0) { last = middle; continue; }
1293   return &var_table[middle];
1294   }
1295 return NULL;
1296 }
1297
1298 /*************************************************
1299 *   Extract numbered subfield from string        *
1300 *************************************************/
1301
1302 /* Extracts a numbered field from a string that is divided by tokens - for
1303 example a line from /etc/passwd is divided by colon characters.  First field is
1304 numbered one.  Negative arguments count from the right. Zero returns the whole
1305 string. Returns NULL if there are insufficient tokens in the string
1306
1307 ***WARNING***
1308 Modifies final argument - this is a dynamically generated string, so that's OK.
1309
1310 Arguments:
1311   field       number of field to be extracted,
1312                 first field = 1, whole string = 0, last field = -1
1313   separators  characters that are used to break string into tokens
1314   s           points to the string from which to extract the subfield
1315
1316 Returns:      NULL if the field was not found,
1317               a pointer to the field's data inside s (modified to add 0)
1318 */
1319
1320 static uschar *
1321 expand_gettokened (int field, uschar *separators, uschar *s)
1322 {
1323 int sep = 1;
1324 int count;
1325 uschar *ss = s;
1326 uschar *fieldtext = NULL;
1327
1328 if (field == 0) return s;
1329
1330 /* Break the line up into fields in place; for field > 0 we stop when we have
1331 done the number of fields we want. For field < 0 we continue till the end of
1332 the string, counting the number of fields. */
1333
1334 count = (field > 0)? field : INT_MAX;
1335
1336 while (count-- > 0)
1337   {
1338   size_t len;
1339
1340   /* Previous field was the last one in the string. For a positive field
1341   number, this means there are not enough fields. For a negative field number,
1342   check that there are enough, and scan back to find the one that is wanted. */
1343
1344   if (sep == 0)
1345     {
1346     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1347     if ((-field) == (INT_MAX - count - 1)) return s;
1348     while (field++ < 0)
1349       {
1350       ss--;
1351       while (ss[-1] != 0) ss--;
1352       }
1353     fieldtext = ss;
1354     break;
1355     }
1356
1357   /* Previous field was not last in the string; save its start and put a
1358   zero at its end. */
1359
1360   fieldtext = ss;
1361   len = Ustrcspn(ss, separators);
1362   sep = ss[len];
1363   ss[len] = 0;
1364   ss += len + 1;
1365   }
1366
1367 return fieldtext;
1368 }
1369
1370
1371 static uschar *
1372 expand_getlistele(int field, const uschar * list)
1373 {
1374 const uschar * tlist = list;
1375 int sep = 0;
1376 /* Tainted mem for the throwaway element copies */
1377 uschar * dummy = store_get(2, GET_TAINTED);
1378
1379 if (field < 0)
1380   {
1381   for (field++; string_nextinlist(&tlist, &sep, dummy, 1); ) field++;
1382   sep = 0;
1383   }
1384 if (field == 0) return NULL;
1385 while (--field > 0 && (string_nextinlist(&list, &sep, dummy, 1))) ;
1386 return string_nextinlist(&list, &sep, NULL, 0);
1387 }
1388
1389
1390 /* Certificate fields, by name.  Worry about by-OID later */
1391 /* Names are chosen to not have common prefixes */
1392
1393 #ifndef DISABLE_TLS
1394 typedef struct
1395 {
1396 uschar * name;
1397 int      namelen;
1398 uschar * (*getfn)(void * cert, uschar * mod);
1399 } certfield;
1400 static certfield certfields[] =
1401 {                       /* linear search; no special order */
1402   { US"version",         7,  &tls_cert_version },
1403   { US"serial_number",   13, &tls_cert_serial_number },
1404   { US"subject",         7,  &tls_cert_subject },
1405   { US"notbefore",       9,  &tls_cert_not_before },
1406   { US"notafter",        8,  &tls_cert_not_after },
1407   { US"issuer",          6,  &tls_cert_issuer },
1408   { US"signature",       9,  &tls_cert_signature },
1409   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1410   { US"subj_altname",    12, &tls_cert_subject_altname },
1411   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1412   { US"crl_uri",         7,  &tls_cert_crl_uri },
1413 };
1414
1415 static uschar *
1416 expand_getcertele(uschar * field, uschar * certvar)
1417 {
1418 var_entry * vp;
1419
1420 if (!(vp = find_var_ent(certvar)))
1421   {
1422   expand_string_message =
1423     string_sprintf("no variable named \"%s\"", certvar);
1424   return NULL;          /* Unknown variable name */
1425   }
1426 /* NB this stops us passing certs around in variable.  Might
1427 want to do that in future */
1428 if (vp->type != vtype_cert)
1429   {
1430   expand_string_message =
1431     string_sprintf("\"%s\" is not a certificate", certvar);
1432   return NULL;          /* Unknown variable name */
1433   }
1434 if (!*(void **)vp->value)
1435   return NULL;
1436
1437 if (*field >= '0' && *field <= '9')
1438   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1439
1440 for (certfield * cp = certfields;
1441      cp < certfields + nelem(certfields);
1442      cp++)
1443   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1444     {
1445     uschar * modifier = *(field += cp->namelen) == ','
1446       ? ++field : NULL;
1447     return (*cp->getfn)( *(void **)vp->value, modifier );
1448     }
1449
1450 expand_string_message =
1451   string_sprintf("bad field selector \"%s\" for certextract", field);
1452 return NULL;
1453 }
1454 #endif  /*DISABLE_TLS*/
1455
1456 /*************************************************
1457 *        Extract a substring from a string       *
1458 *************************************************/
1459
1460 /* Perform the ${substr or ${length expansion operations.
1461
1462 Arguments:
1463   subject     the input string
1464   value1      the offset from the start of the input string to the start of
1465                 the output string; if negative, count from the right.
1466   value2      the length of the output string, or negative (-1) for unset
1467                 if value1 is positive, unset means "all after"
1468                 if value1 is negative, unset means "all before"
1469   len         set to the length of the returned string
1470
1471 Returns:      pointer to the output string, or NULL if there is an error
1472 */
1473
1474 static uschar *
1475 extract_substr(uschar *subject, int value1, int value2, int *len)
1476 {
1477 int sublen = Ustrlen(subject);
1478
1479 if (value1 < 0)    /* count from right */
1480   {
1481   value1 += sublen;
1482
1483   /* If the position is before the start, skip to the start, and adjust the
1484   length. If the length ends up negative, the substring is null because nothing
1485   can precede. This falls out naturally when the length is unset, meaning "all
1486   to the left". */
1487
1488   if (value1 < 0)
1489     {
1490     value2 += value1;
1491     if (value2 < 0) value2 = 0;
1492     value1 = 0;
1493     }
1494
1495   /* Otherwise an unset length => characters before value1 */
1496
1497   else if (value2 < 0)
1498     {
1499     value2 = value1;
1500     value1 = 0;
1501     }
1502   }
1503
1504 /* For a non-negative offset, if the starting position is past the end of the
1505 string, the result will be the null string. Otherwise, an unset length means
1506 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1507
1508 else
1509   {
1510   if (value1 > sublen)
1511     {
1512     value1 = sublen;
1513     value2 = 0;
1514     }
1515   else if (value2 < 0) value2 = sublen;
1516   }
1517
1518 /* Cut the length down to the maximum possible for the offset value, and get
1519 the required characters. */
1520
1521 if (value1 + value2 > sublen) value2 = sublen - value1;
1522 *len = value2;
1523 return subject + value1;
1524 }
1525
1526
1527
1528
1529 /*************************************************
1530 *            Old-style hash of a string          *
1531 *************************************************/
1532
1533 /* Perform the ${hash expansion operation.
1534
1535 Arguments:
1536   subject     the input string (an expanded substring)
1537   value1      the length of the output string; if greater or equal to the
1538                 length of the input string, the input string is returned
1539   value2      the number of hash characters to use, or 26 if negative
1540   len         set to the length of the returned string
1541
1542 Returns:      pointer to the output string, or NULL if there is an error
1543 */
1544
1545 static uschar *
1546 compute_hash(uschar *subject, int value1, int value2, int *len)
1547 {
1548 int sublen = Ustrlen(subject);
1549
1550 if (value2 < 0) value2 = 26;
1551 else if (value2 > Ustrlen(hashcodes))
1552   {
1553   expand_string_message =
1554     string_sprintf("hash count \"%d\" too big", value2);
1555   return NULL;
1556   }
1557
1558 /* Calculate the hash text. We know it is shorter than the original string, so
1559 can safely place it in subject[] (we know that subject is always itself an
1560 expanded substring). */
1561
1562 if (value1 < sublen)
1563   {
1564   int c;
1565   int i = 0;
1566   int j = value1;
1567   while ((c = (subject[j])) != 0)
1568     {
1569     int shift = (c + j++) & 7;
1570     subject[i] ^= (c << shift) | (c >> (8-shift));
1571     if (++i >= value1) i = 0;
1572     }
1573   for (i = 0; i < value1; i++)
1574     subject[i] = hashcodes[(subject[i]) % value2];
1575   }
1576 else value1 = sublen;
1577
1578 *len = value1;
1579 return subject;
1580 }
1581
1582
1583
1584
1585 /*************************************************
1586 *             Numeric hash of a string           *
1587 *************************************************/
1588
1589 /* Perform the ${nhash expansion operation. The first characters of the
1590 string are treated as most important, and get the highest prime numbers.
1591
1592 Arguments:
1593   subject     the input string
1594   value1      the maximum value of the first part of the result
1595   value2      the maximum value of the second part of the result,
1596                 or negative to produce only a one-part result
1597   len         set to the length of the returned string
1598
1599 Returns:  pointer to the output string, or NULL if there is an error.
1600 */
1601
1602 static uschar *
1603 compute_nhash (uschar *subject, int value1, int value2, int *len)
1604 {
1605 uschar *s = subject;
1606 int i = 0;
1607 unsigned long int total = 0; /* no overflow */
1608
1609 while (*s != 0)
1610   {
1611   if (i == 0) i = nelem(prime) - 1;
1612   total += prime[i--] * (unsigned int)(*s++);
1613   }
1614
1615 /* If value2 is unset, just compute one number */
1616
1617 if (value2 < 0)
1618   s = string_sprintf("%lu", total % value1);
1619
1620 /* Otherwise do a div/mod hash */
1621
1622 else
1623   {
1624   total = total % (value1 * value2);
1625   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1626   }
1627
1628 *len = Ustrlen(s);
1629 return s;
1630 }
1631
1632
1633
1634
1635
1636 /*************************************************
1637 *     Find the value of a header or headers      *
1638 *************************************************/
1639
1640 /* Multiple instances of the same header get concatenated, and this function
1641 can also return a concatenation of all the header lines. When concatenating
1642 specific headers that contain lists of addresses, a comma is inserted between
1643 them. Otherwise we use a straight concatenation. Because some messages can have
1644 pathologically large number of lines, there is a limit on the length that is
1645 returned.
1646
1647 Arguments:
1648   name          the name of the header, without the leading $header_ or $h_,
1649                 or NULL if a concatenation of all headers is required
1650   newsize       return the size of memory block that was obtained; may be NULL
1651                 if exists_only is TRUE
1652   flags         FH_EXISTS_ONLY
1653                   set if called from a def: test; don't need to build a string;
1654                   just return a string that is not "" and not "0" if the header
1655                   exists
1656                 FH_WANT_RAW
1657                   set if called for $rh_ or $rheader_ items; no processing,
1658                   other than concatenating, will be done on the header. Also used
1659                   for $message_headers_raw.
1660                 FH_WANT_LIST
1661                   Double colon chars in the content, and replace newline with
1662                   colon between each element when concatenating; returning a
1663                   colon-sep list (elements might contain newlines)
1664   charset       name of charset to translate MIME words to; used only if
1665                 want_raw is false; if NULL, no translation is done (this is
1666                 used for $bh_ and $bheader_)
1667
1668 Returns:        NULL if the header does not exist, else a pointer to a new
1669                 store block
1670 */
1671
1672 static uschar *
1673 find_header(uschar * name, int * newsize, unsigned flags, const uschar * charset)
1674 {
1675 BOOL found = !name;
1676 int len = name ? Ustrlen(name) : 0;
1677 BOOL comma = FALSE;
1678 gstring * g = NULL;
1679 uschar * rawhdr;
1680
1681 for (header_line * h = header_list; h; h = h->next)
1682   if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1683     if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1684       {
1685       uschar * s, * t;
1686       size_t inc;
1687
1688       if (flags & FH_EXISTS_ONLY)
1689         return US"1";  /* don't need actual string */
1690
1691       found = TRUE;
1692       s = h->text + len;                /* text to insert */
1693       if (!(flags & FH_WANT_RAW))       /* unless wanted raw, */
1694         Uskip_whitespace(&s);           /* remove leading white space */
1695       t = h->text + h->slen;            /* end-point */
1696
1697       /* Unless wanted raw, remove trailing whitespace, including the
1698       newline. */
1699
1700       if (flags & FH_WANT_LIST)
1701         while (t > s && t[-1] == '\n') t--;
1702       else if (!(flags & FH_WANT_RAW))
1703         {
1704         while (t > s && isspace(t[-1])) t--;
1705
1706         /* Set comma if handling a single header and it's one of those
1707         that contains an address list, except when asked for raw headers. Only
1708         need to do this once. */
1709
1710         if (name && !comma && Ustrchr("BCFRST", h->type)) comma = TRUE;
1711         }
1712
1713       /* Trim the header roughly if we're approaching limits */
1714       inc = t - s;
1715       if (gstring_length(g) + inc > header_insert_maxlen)
1716         inc = header_insert_maxlen - gstring_length(g);
1717
1718       /* For raw just copy the data; for a list, add the data as a colon-sep
1719       list-element; for comma-list add as an unchecked comma,newline sep
1720       list-elemment; for other nonraw add as an unchecked newline-sep list (we
1721       stripped trailing WS above including the newline). We ignore the potential
1722       expansion due to colon-doubling, just leaving the loop if the limit is met
1723       or exceeded. */
1724
1725       if (flags & FH_WANT_LIST)
1726         g = string_append_listele_n(g, ':', s, (unsigned)inc);
1727       else if (flags & FH_WANT_RAW)
1728         g = string_catn(g, s, (unsigned)inc);
1729       else if (inc > 0)
1730         g = string_append2_listele_n(g, comma ? US",\n" : US"\n",
1731           s, (unsigned)inc);
1732
1733       if (gstring_length(g) >= header_insert_maxlen) break;
1734       }
1735
1736 if (!found) return NULL;        /* No header found */
1737 if (!g) return US"";
1738
1739 /* That's all we do for raw header expansion. */
1740
1741 *newsize = g->size;
1742 rawhdr = string_from_gstring(g);
1743 if (flags & FH_WANT_RAW)
1744   return rawhdr;
1745
1746 /* Otherwise do RFC 2047 decoding, translating the charset if requested.
1747 The rfc2047_decode2() function can return an error with decoded data if the
1748 charset translation fails. If decoding fails, it returns NULL. */
1749
1750 else
1751   {
1752   uschar * error, * decoded = rfc2047_decode2(rawhdr,
1753     check_rfc2047_length, charset, '?', NULL, newsize, &error);
1754   if (error)
1755     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1756       "    input was: %s\n", error, rawhdr);
1757   return decoded ? decoded : rawhdr;
1758   }
1759 }
1760
1761
1762
1763
1764 /* Append a "local" element to an Authentication-Results: header
1765 if this was a non-smtp message.
1766 */
1767
1768 static gstring *
1769 authres_local(gstring * g, const uschar * sysname)
1770 {
1771 if (!f.authentication_local)
1772   return g;
1773 g = string_append(g, 3, US";\n\tlocal=pass (non-smtp, ", sysname, US")");
1774 if (authenticated_id) g = string_append(g, 2, " u=", authenticated_id);
1775 return g;
1776 }
1777
1778
1779 /* Append an "iprev" element to an Authentication-Results: header
1780 if we have attempted to get the calling host's name.
1781 */
1782
1783 static gstring *
1784 authres_iprev(gstring * g)
1785 {
1786 if (sender_host_name)
1787   g = string_append(g, 3, US";\n\tiprev=pass (", sender_host_name, US")");
1788 else if (host_lookup_deferred)
1789   g = string_cat(g, US";\n\tiprev=temperror");
1790 else if (host_lookup_failed)
1791   g = string_cat(g, US";\n\tiprev=fail");
1792 else
1793   return g;
1794
1795 if (sender_host_address)
1796   g = string_append(g, 2, US" smtp.remote-ip=", sender_host_address);
1797 return g;
1798 }
1799
1800
1801
1802 /*************************************************
1803 *               Return list of recipients        *
1804 *************************************************/
1805 /* A recipients list is available only during system message filtering,
1806 during ACL processing after DATA, and while expanding pipe commands
1807 generated from a system filter, but not elsewhere.  Note that this does
1808 not check for commas in the elements, and uses comma-space as seperator -
1809 so cannot be used as an exim list as-is. */
1810
1811 static uschar *
1812 fn_recipients(void)
1813 {
1814 gstring * g = NULL;
1815
1816 if (!f.enable_dollar_recipients) return NULL;
1817
1818 for (int i = 0; i < recipients_count; i++)
1819   {
1820   const uschar * s = recipients_list[i].address;
1821   g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
1822   }
1823 gstring_release_unused(g);
1824 return string_from_gstring(g);
1825 }
1826
1827 /* Similar, but as a properly-quoted exim list */
1828
1829
1830 static uschar *
1831 fn_recipients_list(void)
1832 {
1833 gstring * g = NULL;
1834
1835 if (!f.enable_dollar_recipients) return NULL;
1836
1837 for (int i = 0; i < recipients_count; i++)
1838   g = string_append_listele(g, ':', recipients_list[i].address);
1839 gstring_release_unused(g);
1840 return string_from_gstring(g);
1841 }
1842
1843
1844 /*************************************************
1845 *               Return size of queue             *
1846 *************************************************/
1847 /* Ask the daemon for the queue size */
1848
1849 static uschar *
1850 fn_queue_size(void)
1851 {
1852 struct sockaddr_un sa_un = {.sun_family = AF_UNIX};
1853 uschar buf[16];
1854 int fd;
1855 ssize_t len;
1856 const uschar * where;
1857 uschar * sname;
1858
1859 if ((fd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
1860   {
1861   DEBUG(D_expand) debug_printf(" socket: %s\n", strerror(errno));
1862   return NULL;
1863   }
1864
1865 len = daemon_client_sockname(&sa_un, &sname);
1866
1867 if (bind(fd, (const struct sockaddr *)&sa_un, (socklen_t)len) < 0)
1868   { where = US"bind"; goto bad; }
1869
1870 #ifdef notdef
1871 debug_printf("local addr '%s%s'\n",
1872   *sa_un.sun_path ? "" : "@",
1873   sa_un.sun_path + (*sa_un.sun_path ? 0 : 1));
1874 #endif
1875
1876 len = daemon_notifier_sockname(&sa_un);
1877 if (connect(fd, (const struct sockaddr *)&sa_un, len) < 0)
1878   { where = US"connect"; goto bad2; }
1879
1880 buf[0] = NOTIFY_QUEUE_SIZE_REQ;
1881 if (send(fd, buf, 1, 0) < 0) { where = US"send"; goto bad; }
1882
1883 if (poll_one_fd(fd, POLLIN, 2 * 1000) != 1)
1884   {
1885   DEBUG(D_expand) debug_printf("no daemon response; using local evaluation\n");
1886   len = snprintf(CS buf, sizeof(buf), "%u", queue_count_cached());
1887   }
1888 else if ((len = recv(fd, buf, sizeof(buf), 0)) < 0)
1889   { where = US"recv"; goto bad2; }
1890
1891 close(fd);
1892 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1893 Uunlink(sname);
1894 #endif
1895 return string_copyn(buf, len);
1896
1897 bad2:
1898 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1899   Uunlink(sname);
1900 #endif
1901 bad:
1902   close(fd);
1903   DEBUG(D_expand) debug_printf(" %s: %s\n", where, strerror(errno));
1904   return NULL;
1905 }
1906
1907
1908 /*************************************************
1909 *               Find value of a variable         *
1910 *************************************************/
1911
1912 /* The table of variables is kept in alphabetic order, so we can search it
1913 using a binary chop. The "choplen" variable is nothing to do with the binary
1914 chop.
1915
1916 Arguments:
1917   name          the name of the variable being sought
1918   exists_only   TRUE if this is a def: test; passed on to find_header()
1919   skipping      TRUE => skip any processing evaluation; this is not the same as
1920                   exists_only because def: may test for values that are first
1921                   evaluated here
1922   newsize       pointer to an int which is initially zero; if the answer is in
1923                 a new memory buffer, *newsize is set to its size
1924
1925 Returns:        NULL if the variable does not exist, or
1926                 a pointer to the variable's contents, or
1927                 something non-NULL if exists_only is TRUE
1928 */
1929
1930 static const uschar *
1931 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1932 {
1933 var_entry * vp;
1934 uschar *s, *domain;
1935 uschar **ss;
1936 void * val;
1937
1938 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1939 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1940 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1941 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1942 (this gave backwards compatibility at the changeover). There may be built-in
1943 variables whose names start acl_ but they should never start in this way. This
1944 slightly messy specification is a consequence of the history, needless to say.
1945
1946 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1947 set, in which case give an error. */
1948
1949 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1950      !isalpha(name[5]))
1951   {
1952   tree_node * node =
1953     tree_search(name[4] == 'c' ? acl_var_c : acl_var_m, name + 4);
1954   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1955   }
1956 else if (Ustrncmp(name, "r_", 2) == 0)
1957   {
1958   tree_node * node = tree_search(router_var, name + 2);
1959   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1960   }
1961
1962 /* Handle $auth<n>, $regex<n> variables. */
1963
1964 if (Ustrncmp(name, "auth", 4) == 0)
1965   {
1966   uschar *endptr;
1967   int n = Ustrtoul(name + 4, &endptr, 10);
1968   if (!*endptr && n != 0 && n <= AUTH_VARS)
1969     return auth_vars[n-1] ? auth_vars[n-1] : US"";
1970   }
1971 #ifdef WITH_CONTENT_SCAN
1972 else if (Ustrncmp(name, "regex", 5) == 0)
1973   {
1974   uschar *endptr;
1975   int n = Ustrtoul(name + 5, &endptr, 10);
1976   if (!*endptr && n != 0 && n <= REGEX_VARS)
1977     return regex_vars[n-1] ? regex_vars[n-1] : US"";
1978   }
1979 #endif
1980
1981 /* For all other variables, search the table */
1982
1983 if (!(vp = find_var_ent(name)))
1984   return NULL;          /* Unknown variable name */
1985
1986 /* Found an existing variable. If in skipping state, the value isn't needed,
1987 and we want to avoid processing (such as looking up the host name). */
1988
1989 if (skipping)
1990   return US"";
1991
1992 val = vp->value;
1993 switch (vp->type)
1994   {
1995   case vtype_filter_int:
1996     if (!f.filter_running) return NULL;
1997     /* Fall through */
1998     /* VVVVVVVVVVVV */
1999   case vtype_int:
2000     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
2001     return var_buffer;
2002
2003   case vtype_ino:
2004     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
2005     return var_buffer;
2006
2007   case vtype_gid:
2008     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
2009     return var_buffer;
2010
2011   case vtype_uid:
2012     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
2013     return var_buffer;
2014
2015   case vtype_bool:
2016     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
2017     return var_buffer;
2018
2019   case vtype_stringptr:                      /* Pointer to string */
2020     return (s = *((uschar **)(val))) ? s : US"";
2021
2022   case vtype_pid:
2023     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
2024     return var_buffer;
2025
2026   case vtype_load_avg:
2027     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
2028     return var_buffer;
2029
2030   case vtype_host_lookup:                    /* Lookup if not done so */
2031     if (  !sender_host_name && sender_host_address
2032        && !host_lookup_failed && host_name_lookup() == OK)
2033       host_build_sender_fullhost();
2034     return sender_host_name ? sender_host_name : US"";
2035
2036   case vtype_localpart:                      /* Get local part from address */
2037     if (!(s = *((uschar **)(val)))) return US"";
2038     if (!(domain = Ustrrchr(s, '@'))) return s;
2039     if (domain - s > sizeof(var_buffer) - 1)
2040       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
2041           " in string expansion", sizeof(var_buffer));
2042     return string_copyn(s, domain - s);
2043
2044   case vtype_domain:                         /* Get domain from address */
2045     if (!(s = *((uschar **)(val)))) return US"";
2046     domain = Ustrrchr(s, '@');
2047     return domain ? domain + 1 : US"";
2048
2049   case vtype_msgheaders:
2050     return find_header(NULL, newsize, exists_only ? FH_EXISTS_ONLY : 0, NULL);
2051
2052   case vtype_msgheaders_raw:
2053     return find_header(NULL, newsize,
2054                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW, NULL);
2055
2056   case vtype_msgbody:                        /* Pointer to msgbody string */
2057   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
2058     ss = (uschar **)(val);
2059     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
2060       {
2061       uschar * body;
2062       off_t start_offset_o = spool_data_start_offset(message_id);
2063       off_t start_offset = start_offset_o;
2064       int len = message_body_visible;
2065
2066       if (len > message_size) len = message_size;
2067       *ss = body = store_get(len+1, GET_TAINTED);
2068       body[0] = 0;
2069       if (vp->type == vtype_msgbody_end)
2070         {
2071         struct stat statbuf;
2072         if (fstat(deliver_datafile, &statbuf) == 0)
2073           {
2074           start_offset = statbuf.st_size - len;
2075           if (start_offset < start_offset_o)
2076             start_offset = start_offset_o;
2077           }
2078         }
2079       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
2080         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
2081           strerror(errno));
2082       if ((len = read(deliver_datafile, body, len)) > 0)
2083         {
2084         body[len] = 0;
2085         if (message_body_newlines)   /* Separate loops for efficiency */
2086           while (len > 0)
2087             { if (body[--len] == 0) body[len] = ' '; }
2088         else
2089           while (len > 0)
2090             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
2091         }
2092       }
2093     return *ss ? *ss : US"";
2094
2095   case vtype_todbsdin:                       /* BSD inbox time of day */
2096     return tod_stamp(tod_bsdin);
2097
2098   case vtype_tode:                           /* Unix epoch time of day */
2099     return tod_stamp(tod_epoch);
2100
2101   case vtype_todel:                          /* Unix epoch/usec time of day */
2102     return tod_stamp(tod_epoch_l);
2103
2104   case vtype_todf:                           /* Full time of day */
2105     return tod_stamp(tod_full);
2106
2107   case vtype_todl:                           /* Log format time of day */
2108     return tod_stamp(tod_log_bare);            /* (without timezone) */
2109
2110   case vtype_todzone:                        /* Time zone offset only */
2111     return tod_stamp(tod_zone);
2112
2113   case vtype_todzulu:                        /* Zulu time */
2114     return tod_stamp(tod_zulu);
2115
2116   case vtype_todlf:                          /* Log file datestamp tod */
2117     return tod_stamp(tod_log_datestamp_daily);
2118
2119   case vtype_reply:                          /* Get reply address */
2120     s = find_header(US"reply-to:", newsize,
2121                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2122                 headers_charset);
2123     if (s) Uskip_whitespace(&s);
2124     if (!s || !*s)
2125       {
2126       *newsize = 0;                            /* For the *s==0 case */
2127       s = find_header(US"from:", newsize,
2128                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2129                 headers_charset);
2130       }
2131     if (s)
2132       {
2133       uschar *t;
2134       Uskip_whitespace(&s);
2135       for (t = s; *t; t++) if (*t == '\n') *t = ' ';
2136       while (t > s && isspace(t[-1])) t--;
2137       *t = 0;
2138       }
2139     return s ? s : US"";
2140
2141   case vtype_string_func:
2142     {
2143     stringptr_fn_t * fn = (stringptr_fn_t *) val;
2144     uschar * s = fn();
2145     return s ? s : US"";
2146     }
2147
2148   case vtype_pspace:
2149     {
2150     int inodes;
2151     sprintf(CS var_buffer, PR_EXIM_ARITH,
2152       receive_statvfs(val == (void *)TRUE, &inodes));
2153     }
2154   return var_buffer;
2155
2156   case vtype_pinodes:
2157     {
2158     int inodes;
2159     (void) receive_statvfs(val == (void *)TRUE, &inodes);
2160     sprintf(CS var_buffer, "%d", inodes);
2161     }
2162   return var_buffer;
2163
2164   case vtype_cert:
2165     return *(void **)val ? US"<cert>" : US"";
2166
2167 #ifndef DISABLE_DKIM
2168   case vtype_dkim:
2169     return dkim_exim_expand_query((int)(long)val);
2170 #endif
2171
2172   }
2173
2174 return NULL;  /* Unknown variable. Silences static checkers. */
2175 }
2176
2177
2178
2179
2180 void
2181 modify_variable(uschar *name, void * value)
2182 {
2183 var_entry * vp;
2184 if ((vp = find_var_ent(name))) vp->value = value;
2185 return;          /* Unknown variable name, fail silently */
2186 }
2187
2188
2189
2190
2191
2192
2193 /*************************************************
2194 *           Read and expand substrings           *
2195 *************************************************/
2196
2197 /* This function is called to read and expand argument substrings for various
2198 expansion items. Some have a minimum requirement that is less than the maximum;
2199 in these cases, the first non-present one is set to NULL.
2200
2201 Arguments:
2202   sub        points to vector of pointers to set
2203   n          maximum number of substrings
2204   m          minimum required
2205   sptr       points to current string pointer
2206   flags
2207    skipping   the skipping flag
2208   check_end  if TRUE, check for final '}'
2209   name       name of item, for error message
2210   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
2211              the store
2212   textonly_p if not NULL, pointer to bitmask of which subs were text-only
2213              (did not change when expended)
2214
2215 Returns:     -1 OK; string pointer updated, but in "skipping" mode
2216              0 OK; string pointer updated
2217              1 curly bracketing error (too few arguments)
2218              2 too many arguments (only if check_end is set); message set
2219              3 other error (expansion failure)
2220 */
2221
2222 static int
2223 read_subs(uschar ** sub, int n, int m, const uschar ** sptr, esi_flags flags,
2224   BOOL check_end, uschar * name, BOOL * resetok, unsigned * textonly_p)
2225 {
2226 const uschar * s = *sptr;
2227 unsigned textonly_l = 0;
2228
2229 Uskip_whitespace(&s);
2230 for (int i = 0; i < n; i++)
2231   {
2232   BOOL textonly;
2233   if (*s != '{')
2234     {
2235     if (i < m)
2236       {
2237       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2238         "(min is %d)", name, m);
2239       return 1;
2240       }
2241     sub[i] = NULL;
2242     break;
2243     }
2244   if (!(sub[i] = expand_string_internal(s+1,
2245           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags & ESI_SKIPPING, &s, resetok,
2246           textonly_p ? &textonly : NULL)))
2247     return 3;
2248   if (*s++ != '}') return 1;
2249   if (textonly_p && textonly) textonly_l |= BIT(i);
2250   Uskip_whitespace(&s);
2251   }                                             /*{*/
2252 if (check_end && *s++ != '}')
2253   {
2254   if (s[-1] == '{')
2255     {
2256     expand_string_message = string_sprintf("Too many arguments for '%s' "
2257       "(max is %d)", name, n);
2258     return 2;
2259     }
2260   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2261   return 1;
2262   }
2263
2264 if (textonly_p) *textonly_p = textonly_l;
2265 *sptr = s;
2266 return flags & ESI_SKIPPING ? -1 : 0;
2267 }
2268
2269
2270
2271
2272 /*************************************************
2273 *     Elaborate message for bad variable         *
2274 *************************************************/
2275
2276 /* For the "unknown variable" message, take a look at the variable's name, and
2277 give additional information about possible ACL variables. The extra information
2278 is added on to expand_string_message.
2279
2280 Argument:   the name of the variable
2281 Returns:    nothing
2282 */
2283
2284 static void
2285 check_variable_error_message(uschar *name)
2286 {
2287 if (Ustrncmp(name, "acl_", 4) == 0)
2288   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2289     (name[4] == 'c' || name[4] == 'm')?
2290       (isalpha(name[5])?
2291         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2292         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2293       ) :
2294       US"user-defined ACL variables must start acl_c or acl_m");
2295 }
2296
2297
2298
2299 /*
2300 Load args from sub array to globals, and call acl_check().
2301 Sub array will be corrupted on return.
2302
2303 Returns:       OK         access is granted by an ACCEPT verb
2304                DISCARD    access is (apparently) granted by a DISCARD verb
2305                FAIL       access is denied
2306                FAIL_DROP  access is denied; drop the connection
2307                DEFER      can't tell at the moment
2308                ERROR      disaster
2309 */
2310 static int
2311 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2312 {
2313 int i;
2314 int sav_narg = acl_narg;
2315 int ret;
2316 uschar * dummy_logmsg;
2317 extern int acl_where;
2318
2319 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2320 for (i = 0; i < nsub && sub[i+1]; i++)
2321   {
2322   uschar * tmp = acl_arg[i];
2323   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2324   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2325   }
2326 acl_narg = i;
2327 while (i < nsub)
2328   {
2329   sub[i+1] = acl_arg[i];
2330   acl_arg[i++] = NULL;
2331   }
2332
2333 DEBUG(D_expand)
2334   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2335     sub[0],
2336     acl_narg>0 ? acl_arg[0] : US"<none>",
2337     acl_narg>1 ? " +more"   : "");
2338
2339 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2340
2341 for (i = 0; i < nsub; i++)
2342   acl_arg[i] = sub[i+1];        /* restore old args */
2343 acl_narg = sav_narg;
2344
2345 return ret;
2346 }
2347
2348
2349
2350
2351 /* Return pointer to dewrapped string, with enclosing specified chars removed.
2352 The given string is modified on return.  Leading whitespace is skipped while
2353 looking for the opening wrap character, then the rest is scanned for the trailing
2354 (non-escaped) wrap character.  A backslash in the string will act as an escape.
2355
2356 A nul is written over the trailing wrap, and a pointer to the char after the
2357 leading wrap is returned.
2358
2359 Arguments:
2360   s     String for de-wrapping
2361   wrap  Two-char string, the first being the opener, second the closer wrapping
2362         character
2363 Return:
2364   Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
2365 */
2366
2367 static uschar *
2368 dewrap(uschar * s, const uschar * wrap)
2369 {
2370 uschar * p = s;
2371 unsigned depth = 0;
2372 BOOL quotesmode = wrap[0] == wrap[1];
2373
2374 if (Uskip_whitespace(&p) == *wrap)
2375   {
2376   s = ++p;
2377   wrap++;
2378   while (*p)
2379     {
2380     if (*p == '\\') p++;
2381     else if (!quotesmode && *p == wrap[-1]) depth++;
2382     else if (*p == *wrap)
2383       if (depth == 0)
2384         {
2385         *p = '\0';
2386         return s;
2387         }
2388       else
2389         depth--;
2390     p++;
2391     }
2392   }
2393 expand_string_message = string_sprintf("missing '%c'", *wrap);
2394 return NULL;
2395 }
2396
2397
2398 /* Pull off the leading array or object element, returning
2399 a copy in an allocated string.  Update the list pointer.
2400
2401 The element may itself be an abject or array.
2402 Return NULL when the list is empty.
2403 */
2404
2405 static uschar *
2406 json_nextinlist(const uschar ** list)
2407 {
2408 unsigned array_depth = 0, object_depth = 0;
2409 BOOL quoted = FALSE;
2410 const uschar * s = *list, * item;
2411
2412 skip_whitespace(&s);
2413
2414 for (item = s;
2415      *s && (*s != ',' || array_depth != 0 || object_depth != 0 || quoted);
2416      s++)
2417   if (!quoted) switch (*s)
2418     {
2419     case '[': array_depth++; break;
2420     case ']': array_depth--; break;
2421     case '{': object_depth++; break;
2422     case '}': object_depth--; break;
2423     case '"': quoted = TRUE;
2424     }
2425   else switch(*s)
2426     {
2427     case '\\': s++; break;              /* backslash protects one char */
2428     case '"':  quoted = FALSE; break;
2429     }
2430 *list = *s ? s+1 : s;
2431 if (item == s) return NULL;
2432 item = string_copyn(item, s - item);
2433 DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
2434 return US item;
2435 }
2436
2437
2438
2439 /************************************************/
2440 /*  Return offset in ops table, or -1 if not found.
2441 Repoint to just after the operator in the string.
2442
2443 Argument:
2444  ss     string representation of operator
2445  opname split-out operator name
2446 */
2447
2448 static int
2449 identify_operator(const uschar ** ss, uschar ** opname)
2450 {
2451 const uschar * s = *ss;
2452 uschar name[256];
2453
2454 /* Numeric comparisons are symbolic */
2455
2456 if (*s == '=' || *s == '>' || *s == '<')
2457   {
2458   int p = 0;
2459   name[p++] = *s++;
2460   if (*s == '=')
2461     {
2462     name[p++] = '=';
2463     s++;
2464     }
2465   name[p] = 0;
2466   }
2467
2468 /* All other conditions are named */
2469
2470 else
2471   s = read_name(name, sizeof(name), s, US"_");
2472 *ss = s;
2473
2474 /* If we haven't read a name, it means some non-alpha character is first. */
2475
2476 if (!name[0])
2477   {
2478   expand_string_message = string_sprintf("condition name expected, "
2479     "but found \"%.16s\"", s);
2480   return -1;
2481   }
2482 if (opname)
2483   *opname = string_copy(name);
2484
2485 return chop_match(name, cond_table, nelem(cond_table));
2486 }
2487
2488
2489 /*************************************************
2490 *    Handle MD5 or SHA-1 computation for HMAC    *
2491 *************************************************/
2492
2493 /* These are some wrapping functions that enable the HMAC code to be a bit
2494 cleaner. A good compiler will spot the tail recursion.
2495
2496 Arguments:
2497   type         HMAC_MD5 or HMAC_SHA1
2498   remaining    are as for the cryptographic hash functions
2499
2500 Returns:       nothing
2501 */
2502
2503 static void
2504 chash_start(int type, void * base)
2505 {
2506 if (type == HMAC_MD5)
2507   md5_start((md5 *)base);
2508 else
2509   sha1_start((hctx *)base);
2510 }
2511
2512 static void
2513 chash_mid(int type, void * base, const uschar * string)
2514 {
2515 if (type == HMAC_MD5)
2516   md5_mid((md5 *)base, string);
2517 else
2518   sha1_mid((hctx *)base, string);
2519 }
2520
2521 static void
2522 chash_end(int type, void * base, const uschar * string, int length,
2523   uschar * digest)
2524 {
2525 if (type == HMAC_MD5)
2526   md5_end((md5 *)base, string, length, digest);
2527 else
2528   sha1_end((hctx *)base, string, length, digest);
2529 }
2530
2531
2532
2533
2534 #ifdef SUPPORT_SRS
2535 /* Do an hmac_md5.  The result is _not_ nul-terminated, and is sized as
2536 the smaller of a full hmac_md5 result (16 bytes) or the supplied output buffer.
2537
2538 Arguments:
2539         key     encoding key, nul-terminated
2540         src     data to be hashed, nul-terminated
2541         buf     output buffer
2542         len     size of output buffer
2543 */
2544
2545 static void
2546 hmac_md5(const uschar * key, const uschar * src, uschar * buf, unsigned len)
2547 {
2548 md5 md5_base;
2549 const uschar * keyptr;
2550 uschar * p;
2551 unsigned int keylen;
2552
2553 #define MD5_HASHLEN      16
2554 #define MD5_HASHBLOCKLEN 64
2555
2556 uschar keyhash[MD5_HASHLEN];
2557 uschar innerhash[MD5_HASHLEN];
2558 uschar finalhash[MD5_HASHLEN];
2559 uschar innerkey[MD5_HASHBLOCKLEN];
2560 uschar outerkey[MD5_HASHBLOCKLEN];
2561
2562 keyptr = key;
2563 keylen = Ustrlen(keyptr);
2564
2565 /* If the key is longer than the hash block length, then hash the key
2566 first */
2567
2568 if (keylen > MD5_HASHBLOCKLEN)
2569   {
2570   chash_start(HMAC_MD5, &md5_base);
2571   chash_end(HMAC_MD5, &md5_base, keyptr, keylen, keyhash);
2572   keyptr = keyhash;
2573   keylen = MD5_HASHLEN;
2574   }
2575
2576 /* Now make the inner and outer key values */
2577
2578 memset(innerkey, 0x36, MD5_HASHBLOCKLEN);
2579 memset(outerkey, 0x5c, MD5_HASHBLOCKLEN);
2580
2581 for (int i = 0; i < keylen; i++)
2582   {
2583   innerkey[i] ^= keyptr[i];
2584   outerkey[i] ^= keyptr[i];
2585   }
2586
2587 /* Now do the hashes */
2588
2589 chash_start(HMAC_MD5, &md5_base);
2590 chash_mid(HMAC_MD5, &md5_base, innerkey);
2591 chash_end(HMAC_MD5, &md5_base, src, Ustrlen(src), innerhash);
2592
2593 chash_start(HMAC_MD5, &md5_base);
2594 chash_mid(HMAC_MD5, &md5_base, outerkey);
2595 chash_end(HMAC_MD5, &md5_base, innerhash, MD5_HASHLEN, finalhash);
2596
2597 /* Encode the final hash as a hex string, limited by output buffer size */
2598
2599 p = buf;
2600 for (int i = 0, j = len; i < MD5_HASHLEN; i++)
2601   {
2602   if (j-- <= 0) break;
2603   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2604   if (j-- <= 0) break;
2605   *p++ = hex_digits[finalhash[i] & 0x0f];
2606   }
2607 return;
2608 }
2609 #endif /*SUPPORT_SRS*/
2610
2611
2612 /*************************************************
2613 *        Read and evaluate a condition           *
2614 *************************************************/
2615
2616 /*
2617 Arguments:
2618   s        points to the start of the condition text
2619   resetok  points to a BOOL which is written false if it is unsafe to
2620            free memory. Certain condition types (acl) may have side-effect
2621            allocation which must be preserved.
2622   yield    points to a BOOL to hold the result of the condition test;
2623            if NULL, we are just reading through a condition that is
2624            part of an "or" combination to check syntax, or in a state
2625            where the answer isn't required
2626
2627 Returns:   a pointer to the first character after the condition, or
2628            NULL after an error
2629 */
2630
2631 static const uschar *
2632 eval_condition(const uschar * s, BOOL * resetok, BOOL * yield)
2633 {
2634 BOOL testfor = TRUE;
2635 BOOL tempcond, combined_cond;
2636 BOOL * subcondptr;
2637 BOOL sub2_honour_dollar = TRUE;
2638 BOOL is_forany, is_json, is_jsons;
2639 int rc, cond_type;
2640 int_eximarith_t num[2];
2641 struct stat statbuf;
2642 uschar * opname;
2643 uschar name[256];
2644 const uschar * sub[10];
2645 unsigned sub_textonly = 0;
2646
2647 for (;;)
2648   if (Uskip_whitespace(&s) == '!') { testfor = !testfor; s++; } else break;
2649
2650 switch(cond_type = identify_operator(&s, &opname))
2651   {
2652   /* def: tests for a non-empty variable, or for the existence of a header. If
2653   yield == NULL we are in a skipping state, and don't care about the answer. */
2654
2655   case ECOND_DEF:
2656     {
2657     const uschar * t;
2658
2659     if (*s != ':')
2660       {
2661       expand_string_message = US"\":\" expected after \"def\"";
2662       return NULL;
2663       }
2664
2665     s = read_name(name, sizeof(name), s+1, US"_");
2666
2667     /* Test for a header's existence. If the name contains a closing brace
2668     character, this may be a user error where the terminating colon has been
2669     omitted. Set a flag to adjust a subsequent error message in this case. */
2670
2671     if (  ( *(t = name) == 'h'
2672           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
2673           )
2674        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
2675        )
2676       {
2677       s = read_header_name(name, sizeof(name), s);
2678       /* {-for-text-editors */
2679       if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2680       if (yield) *yield =
2681         (find_header(name, NULL, FH_EXISTS_ONLY, NULL) != NULL) == testfor;
2682       }
2683
2684     /* Test for a variable's having a non-empty value. A non-existent variable
2685     causes an expansion failure. */
2686
2687     else
2688       {
2689       if (!(t = find_variable(name, TRUE, yield == NULL, NULL)))
2690         {
2691         expand_string_message = name[0]
2692           ? string_sprintf("unknown variable \"%s\" after \"def:\"", name)
2693           : US"variable name omitted after \"def:\"";
2694         check_variable_error_message(name);
2695         return NULL;
2696         }
2697       if (yield) *yield = (t[0] != 0) == testfor;
2698       }
2699
2700     return s;
2701     }
2702
2703
2704   /* first_delivery tests for first delivery attempt */
2705
2706   case ECOND_FIRST_DELIVERY:
2707   if (yield) *yield = f.deliver_firsttime == testfor;
2708   return s;
2709
2710
2711   /* queue_running tests for any process started by a queue runner */
2712
2713   case ECOND_QUEUE_RUNNING:
2714   if (yield) *yield = (queue_run_pid != (pid_t)0) == testfor;
2715   return s;
2716
2717
2718   /* exists:  tests for file existence
2719        isip:  tests for any IP address
2720       isip4:  tests for an IPv4 address
2721       isip6:  tests for an IPv6 address
2722         pam:  does PAM authentication
2723      radius:  does RADIUS authentication
2724    ldapauth:  does LDAP authentication
2725     pwcheck:  does Cyrus SASL pwcheck authentication
2726   */
2727
2728   case ECOND_EXISTS:
2729   case ECOND_ISIP:
2730   case ECOND_ISIP4:
2731   case ECOND_ISIP6:
2732   case ECOND_PAM:
2733   case ECOND_RADIUS:
2734   case ECOND_LDAPAUTH:
2735   case ECOND_PWCHECK:
2736
2737   if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START; /* }-for-text-editors */
2738
2739    {
2740     BOOL textonly;
2741     sub[0] = expand_string_internal(s+1,
2742       ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | (yield ? ESI_NOFLAGS : ESI_SKIPPING),
2743       &s, resetok, &textonly);
2744     if (!sub[0]) return NULL;
2745     if (textonly) sub_textonly |= BIT(0);
2746    }
2747   /* {-for-text-editors */
2748   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2749
2750   if (!yield) return s;   /* No need to run the test if skipping */
2751
2752   switch(cond_type)
2753     {
2754     case ECOND_EXISTS:
2755     if ((expand_forbid & RDO_EXISTS) != 0)
2756       {
2757       expand_string_message = US"File existence tests are not permitted";
2758       return NULL;
2759       }
2760     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2761     break;
2762
2763     case ECOND_ISIP:
2764     case ECOND_ISIP4:
2765     case ECOND_ISIP6:
2766     {
2767       const uschar *errp;
2768       const uschar **errpp;
2769       DEBUG(D_expand) errpp = &errp; else errpp = 0;
2770       if (0 == (rc = string_is_ip_addressX(sub[0], NULL, errpp)))
2771         DEBUG(D_expand) debug_printf("failed: %s\n", errp);
2772
2773       *yield = ( cond_type == ECOND_ISIP  ? rc != 0 :
2774                  cond_type == ECOND_ISIP4 ? rc == 4 : rc == 6) == testfor;
2775     }
2776
2777     break;
2778
2779     /* Various authentication tests - all optionally compiled */
2780
2781     case ECOND_PAM:
2782     #ifdef SUPPORT_PAM
2783     rc = auth_call_pam(sub[0], &expand_string_message);
2784     goto END_AUTH;
2785     #else
2786     goto COND_FAILED_NOT_COMPILED;
2787     #endif  /* SUPPORT_PAM */
2788
2789     case ECOND_RADIUS:
2790     #ifdef RADIUS_CONFIG_FILE
2791     rc = auth_call_radius(sub[0], &expand_string_message);
2792     goto END_AUTH;
2793     #else
2794     goto COND_FAILED_NOT_COMPILED;
2795     #endif  /* RADIUS_CONFIG_FILE */
2796
2797     case ECOND_LDAPAUTH:
2798     #ifdef LOOKUP_LDAP
2799       {
2800       /* Just to keep the interface the same */
2801       BOOL do_cache;
2802       int old_pool = store_pool;
2803       store_pool = POOL_SEARCH;
2804       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2805         &expand_string_message, &do_cache);
2806       store_pool = old_pool;
2807       }
2808     goto END_AUTH;
2809     #else
2810     goto COND_FAILED_NOT_COMPILED;
2811     #endif  /* LOOKUP_LDAP */
2812
2813     case ECOND_PWCHECK:
2814     #ifdef CYRUS_PWCHECK_SOCKET
2815     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2816     goto END_AUTH;
2817     #else
2818     goto COND_FAILED_NOT_COMPILED;
2819     #endif  /* CYRUS_PWCHECK_SOCKET */
2820
2821     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2822         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2823     END_AUTH:
2824     if (rc == ERROR || rc == DEFER) return NULL;
2825     *yield = (rc == OK) == testfor;
2826     #endif
2827     }
2828   return s;
2829
2830
2831   /* call ACL (in a conditional context).  Accept true, deny false.
2832   Defer is a forced-fail.  Anything set by message= goes to $value.
2833   Up to ten parameters are used; we use the braces round the name+args
2834   like the saslauthd condition does, to permit a variable number of args.
2835   See also the expansion-item version EITEM_ACL and the traditional
2836   acl modifier ACLC_ACL.
2837   Since the ACL may allocate new global variables, tell our caller to not
2838   reclaim memory.
2839   */
2840
2841   case ECOND_ACL:
2842     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2843     {
2844     uschar *sub[10];
2845     uschar *user_msg;
2846     BOOL cond = FALSE;
2847
2848     Uskip_whitespace(&s);
2849     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2850
2851     switch(read_subs(sub, nelem(sub), 1, &s,
2852         yield ? ESI_NOFLAGS : ESI_SKIPPING, TRUE, name, resetok, NULL))
2853       {
2854       case 1: expand_string_message = US"too few arguments or bracketing "
2855         "error for acl";
2856       case 2:
2857       case 3: return NULL;
2858       }
2859
2860     if (yield)
2861       {
2862       int rc;
2863       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2864       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
2865         {
2866         case OK:
2867           cond = TRUE;
2868         case FAIL:
2869           lookup_value = NULL;
2870           if (user_msg)
2871             lookup_value = string_copy(user_msg);
2872           *yield = cond == testfor;
2873           break;
2874
2875         case DEFER:
2876           f.expand_string_forcedfail = TRUE;
2877           /*FALLTHROUGH*/
2878         default:
2879           expand_string_message = string_sprintf("%s from acl \"%s\"",
2880             rc_names[rc], sub[0]);
2881           return NULL;
2882         }
2883       }
2884     return s;
2885     }
2886
2887
2888   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2889
2890      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2891
2892   However, the last two are optional. That is why the whole set is enclosed
2893   in their own set of braces. */
2894
2895   case ECOND_SASLAUTHD:
2896 #ifndef CYRUS_SASLAUTHD_SOCKET
2897     goto COND_FAILED_NOT_COMPILED;
2898 #else
2899     {
2900     uschar *sub[4];
2901     Uskip_whitespace(&s);
2902     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2903     switch(read_subs(sub, nelem(sub), 2, &s,
2904         yield ? ESI_NOFLAGS : ESI_SKIPPING, TRUE, name, resetok, NULL))
2905       {
2906       case 1: expand_string_message = US"too few arguments or bracketing "
2907         "error for saslauthd";
2908       case 2:
2909       case 3: return NULL;
2910       }
2911     if (!sub[2]) sub[3] = NULL;  /* realm if no service */
2912     if (yield)
2913       {
2914       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2915         &expand_string_message);
2916       if (rc == ERROR || rc == DEFER) return NULL;
2917       *yield = (rc == OK) == testfor;
2918       }
2919     return s;
2920     }
2921 #endif /* CYRUS_SASLAUTHD_SOCKET */
2922
2923
2924   /* symbolic operators for numeric and string comparison, and a number of
2925   other operators, all requiring two arguments.
2926
2927   crypteq:           encrypts plaintext and compares against an encrypted text,
2928                        using crypt(), crypt16(), MD5 or SHA-1
2929   inlist/inlisti:    checks if first argument is in the list of the second
2930   match:             does a regular expression match and sets up the numerical
2931                        variables if it succeeds
2932   match_address:     matches in an address list
2933   match_domain:      matches in a domain list
2934   match_ip:          matches a host list that is restricted to IP addresses
2935   match_local_part:  matches in a local part list
2936   */
2937
2938   case ECOND_MATCH_ADDRESS:
2939   case ECOND_MATCH_DOMAIN:
2940   case ECOND_MATCH_IP:
2941   case ECOND_MATCH_LOCAL_PART:
2942 #ifndef EXPAND_LISTMATCH_RHS
2943     sub2_honour_dollar = FALSE;
2944 #endif
2945     /* FALLTHROUGH */
2946
2947   case ECOND_CRYPTEQ:
2948   case ECOND_INLIST:
2949   case ECOND_INLISTI:
2950   case ECOND_MATCH:
2951
2952   case ECOND_NUM_L:     /* Numerical comparisons */
2953   case ECOND_NUM_LE:
2954   case ECOND_NUM_E:
2955   case ECOND_NUM_EE:
2956   case ECOND_NUM_G:
2957   case ECOND_NUM_GE:
2958
2959   case ECOND_STR_LT:    /* String comparisons */
2960   case ECOND_STR_LTI:
2961   case ECOND_STR_LE:
2962   case ECOND_STR_LEI:
2963   case ECOND_STR_EQ:
2964   case ECOND_STR_EQI:
2965   case ECOND_STR_GT:
2966   case ECOND_STR_GTI:
2967   case ECOND_STR_GE:
2968   case ECOND_STR_GEI:
2969
2970   for (int i = 0; i < 2; i++)
2971     {
2972     BOOL textonly;
2973     /* Sometimes, we don't expand substrings; too many insecure configurations
2974     created using match_address{}{} and friends, where the second param
2975     includes information from untrustworthy sources. */
2976     /*XXX is this moot given taint-tracking? */
2977
2978     esi_flags flags = ESI_BRACE_ENDS;
2979
2980     if (!(i > 0 && !sub2_honour_dollar)) flags |= ESI_HONOR_DOLLAR;
2981     if (!yield) flags |= ESI_SKIPPING;
2982
2983     if (Uskip_whitespace(&s) != '{')
2984       {
2985       if (i == 0) goto COND_FAILED_CURLY_START;
2986       expand_string_message = string_sprintf("missing 2nd string in {} "
2987         "after \"%s\"", opname);
2988       return NULL;
2989       }
2990     if (!(sub[i] = expand_string_internal(s+1, flags, &s, resetok, &textonly)))
2991       return NULL;
2992     if (textonly) sub_textonly |= BIT(i);
2993     DEBUG(D_expand) if (i == 1 && !sub2_honour_dollar && Ustrchr(sub[1], '$'))
2994       debug_printf_indent("WARNING: the second arg is NOT expanded,"
2995                         " for security reasons\n");
2996     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2997
2998     /* Convert to numerical if required; we know that the names of all the
2999     conditions that compare numbers do not start with a letter. This just saves
3000     checking for them individually. */
3001
3002     if (!isalpha(opname[0]) && yield)
3003       if (sub[i][0] == 0)
3004         {
3005         num[i] = 0;
3006         DEBUG(D_expand)
3007           debug_printf_indent("empty string cast to zero for numerical comparison\n");
3008         }
3009       else
3010         {
3011         num[i] = expanded_string_integer(sub[i], FALSE);
3012         if (expand_string_message) return NULL;
3013         }
3014     }
3015
3016   /* Result not required */
3017
3018   if (!yield) return s;
3019
3020   /* Do an appropriate comparison */
3021
3022   switch(cond_type)
3023     {
3024     case ECOND_NUM_E:
3025     case ECOND_NUM_EE:
3026       tempcond = (num[0] == num[1]); break;
3027
3028     case ECOND_NUM_G:
3029       tempcond = (num[0] > num[1]); break;
3030
3031     case ECOND_NUM_GE:
3032       tempcond = (num[0] >= num[1]); break;
3033
3034     case ECOND_NUM_L:
3035       tempcond = (num[0] < num[1]); break;
3036
3037     case ECOND_NUM_LE:
3038       tempcond = (num[0] <= num[1]); break;
3039
3040     case ECOND_STR_LT:
3041       tempcond = (Ustrcmp(sub[0], sub[1]) < 0); break;
3042
3043     case ECOND_STR_LTI:
3044       tempcond = (strcmpic(sub[0], sub[1]) < 0); break;
3045
3046     case ECOND_STR_LE:
3047       tempcond = (Ustrcmp(sub[0], sub[1]) <= 0); break;
3048
3049     case ECOND_STR_LEI:
3050       tempcond = (strcmpic(sub[0], sub[1]) <= 0); break;
3051
3052     case ECOND_STR_EQ:
3053       tempcond = (Ustrcmp(sub[0], sub[1]) == 0); break;
3054
3055     case ECOND_STR_EQI:
3056       tempcond = (strcmpic(sub[0], sub[1]) == 0); break;
3057
3058     case ECOND_STR_GT:
3059       tempcond = (Ustrcmp(sub[0], sub[1]) > 0); break;
3060
3061     case ECOND_STR_GTI:
3062       tempcond = (strcmpic(sub[0], sub[1]) > 0); break;
3063
3064     case ECOND_STR_GE:
3065       tempcond = (Ustrcmp(sub[0], sub[1]) >= 0); break;
3066
3067     case ECOND_STR_GEI:
3068       tempcond = (strcmpic(sub[0], sub[1]) >= 0); break;
3069
3070     case ECOND_MATCH:   /* Regular expression match */
3071       {
3072       const pcre2_code * re = regex_compile(sub[1],
3073                   sub_textonly & BIT(1) ? MCS_CACHEABLE : MCS_NOFLAGS,
3074                   &expand_string_message, pcre_gen_cmp_ctx);
3075       if (!re)
3076         return NULL;
3077
3078       tempcond = regex_match_and_setup(re, sub[0], 0, -1);
3079       break;
3080       }
3081
3082     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
3083       rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0,
3084                               CUSS &lookup_value);
3085       goto MATCHED_SOMETHING;
3086
3087     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
3088       rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
3089         MCL_DOMAIN + MCL_NOEXPAND, TRUE, CUSS &lookup_value);
3090       goto MATCHED_SOMETHING;
3091
3092     case ECOND_MATCH_IP:       /* Match IP address in a host list */
3093       if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
3094         {
3095         expand_string_message = string_sprintf("\"%s\" is not an IP address",
3096           sub[0]);
3097         return NULL;
3098         }
3099       else
3100         {
3101         unsigned int *nullcache = NULL;
3102         check_host_block cb;
3103
3104         cb.host_name = US"";
3105         cb.host_address = sub[0];
3106
3107         /* If the host address starts off ::ffff: it is an IPv6 address in
3108         IPv4-compatible mode. Find the IPv4 part for checking against IPv4
3109         addresses. */
3110
3111         cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
3112           cb.host_address + 7 : cb.host_address;
3113
3114         rc = match_check_list(
3115                &sub[1],                   /* the list */
3116                0,                         /* separator character */
3117                &hostlist_anchor,          /* anchor pointer */
3118                &nullcache,                /* cache pointer */
3119                check_host,                /* function for testing */
3120                &cb,                       /* argument for function */
3121                MCL_HOST,                  /* type of check */
3122                sub[0],                    /* text for debugging */
3123                CUSS &lookup_value);       /* where to pass back data */
3124         }
3125       goto MATCHED_SOMETHING;
3126
3127     case ECOND_MATCH_LOCAL_PART:
3128       rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
3129         MCL_LOCALPART + MCL_NOEXPAND, TRUE, CUSS &lookup_value);
3130       /* Fall through */
3131       /* VVVVVVVVVVVV */
3132       MATCHED_SOMETHING:
3133       switch(rc)
3134         {
3135         case OK:   tempcond = TRUE;  break;
3136         case FAIL: tempcond = FALSE; break;
3137
3138         case DEFER:
3139           expand_string_message = string_sprintf("unable to complete match "
3140             "against \"%s\": %s", sub[1], search_error_message);
3141           return NULL;
3142         }
3143
3144       break;
3145
3146     /* Various "encrypted" comparisons. If the second string starts with
3147     "{" then an encryption type is given. Default to crypt() or crypt16()
3148     (build-time choice). */
3149     /* }-for-text-editors */
3150
3151     case ECOND_CRYPTEQ:
3152     #ifndef SUPPORT_CRYPTEQ
3153       goto COND_FAILED_NOT_COMPILED;
3154     #else
3155       if (strncmpic(sub[1], US"{md5}", 5) == 0)
3156         {
3157         int sublen = Ustrlen(sub[1]+5);
3158         md5 base;
3159         uschar digest[16];
3160
3161         md5_start(&base);
3162         md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
3163
3164         /* If the length that we are comparing against is 24, the MD5 digest
3165         is expressed as a base64 string. This is the way LDAP does it. However,
3166         some other software uses a straightforward hex representation. We assume
3167         this if the length is 32. Other lengths fail. */
3168
3169         if (sublen == 24)
3170           {
3171           uschar *coded = b64encode(CUS digest, 16);
3172           DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
3173             "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3174           tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
3175           }
3176         else if (sublen == 32)
3177           {
3178           uschar coded[36];
3179           for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3180           coded[32] = 0;
3181           DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
3182             "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3183           tempcond = (strcmpic(coded, sub[1]+5) == 0);
3184           }
3185         else
3186           {
3187           DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
3188             "fail\n  crypted=%s\n", sub[1]+5);
3189           tempcond = FALSE;
3190           }
3191         }
3192
3193       else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
3194         {
3195         int sublen = Ustrlen(sub[1]+6);
3196         hctx h;
3197         uschar digest[20];
3198
3199         sha1_start(&h);
3200         sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
3201
3202         /* If the length that we are comparing against is 28, assume the SHA1
3203         digest is expressed as a base64 string. If the length is 40, assume a
3204         straightforward hex representation. Other lengths fail. */
3205
3206         if (sublen == 28)
3207           {
3208           uschar *coded = b64encode(CUS digest, 20);
3209           DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
3210             "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3211           tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
3212           }
3213         else if (sublen == 40)
3214           {
3215           uschar coded[44];
3216           for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3217           coded[40] = 0;
3218           DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
3219             "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3220           tempcond = (strcmpic(coded, sub[1]+6) == 0);
3221           }
3222         else
3223           {
3224           DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
3225             "fail\n  crypted=%s\n", sub[1]+6);
3226           tempcond = FALSE;
3227           }
3228         }
3229
3230       else   /* {crypt} or {crypt16} and non-{ at start */
3231              /* }-for-text-editors */
3232         {
3233         int which = 0;
3234         uschar *coded;
3235
3236         if (strncmpic(sub[1], US"{crypt}", 7) == 0)
3237           {
3238           sub[1] += 7;
3239           which = 1;
3240           }
3241         else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
3242           {
3243           sub[1] += 9;
3244           which = 2;
3245           }
3246         else if (sub[1][0] == '{')              /* }-for-text-editors */
3247           {
3248           expand_string_message = string_sprintf("unknown encryption mechanism "
3249             "in \"%s\"", sub[1]);
3250           return NULL;
3251           }
3252
3253         switch(which)
3254           {
3255           case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
3256           case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
3257           default: coded = US crypt16(CS sub[0], CS sub[1]); break;
3258           }
3259
3260         #define STR(s) # s
3261         #define XSTR(s) STR(s)
3262         DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
3263           "  subject=%s\n  crypted=%s\n",
3264           which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
3265           coded, sub[1]);
3266         #undef STR
3267         #undef XSTR
3268
3269         /* If the encrypted string contains fewer than two characters (for the
3270         salt), force failure. Otherwise we get false positives: with an empty
3271         string the yield of crypt() is an empty string! */
3272
3273         if (coded)
3274           tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
3275         else if (errno == EINVAL)
3276           tempcond = FALSE;
3277         else
3278           {
3279           expand_string_message = string_sprintf("crypt error: %s\n",
3280             US strerror(errno));
3281           return NULL;
3282           }
3283         }
3284       break;
3285     #endif  /* SUPPORT_CRYPTEQ */
3286
3287     case ECOND_INLIST:
3288     case ECOND_INLISTI:
3289       {
3290       const uschar * list = sub[1];
3291       int sep = 0;
3292       uschar *save_iterate_item = iterate_item;
3293       int (*compare)(const uschar *, const uschar *);
3294
3295       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", opname, sub[0]);
3296
3297       tempcond = FALSE;
3298       compare = cond_type == ECOND_INLISTI
3299         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
3300
3301       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
3302         {
3303         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
3304         if (compare(sub[0], iterate_item) == 0)
3305           {
3306           tempcond = TRUE;
3307           lookup_value = iterate_item;
3308           break;
3309           }
3310         }
3311       iterate_item = save_iterate_item;
3312       }
3313
3314     }   /* Switch for comparison conditions */
3315
3316   *yield = tempcond == testfor;
3317   return s;    /* End of comparison conditions */
3318
3319
3320   /* and/or: computes logical and/or of several conditions */
3321
3322   case ECOND_AND:
3323   case ECOND_OR:
3324   subcondptr = (yield == NULL) ? NULL : &tempcond;
3325   combined_cond = (cond_type == ECOND_AND);
3326
3327   Uskip_whitespace(&s);
3328   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3329
3330   for (;;)
3331     {
3332     /* {-for-text-editors */
3333     if (Uskip_whitespace(&s) == '}') break;
3334     if (*s != '{')                                      /* }-for-text-editors */
3335       {
3336       expand_string_message = string_sprintf("each subcondition "
3337         "inside an \"%s{...}\" condition must be in its own {}", opname);
3338       return NULL;
3339       }
3340
3341     if (!(s = eval_condition(s+1, resetok, subcondptr)))
3342       {
3343       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
3344         expand_string_message, opname);
3345       return NULL;
3346       }
3347     Uskip_whitespace(&s);
3348
3349     /* {-for-text-editors */
3350     if (*s++ != '}')
3351       {
3352       /* {-for-text-editors */
3353       expand_string_message = string_sprintf("missing } at end of condition "
3354         "inside \"%s\" group", opname);
3355       return NULL;
3356       }
3357
3358     if (yield)
3359       if (cond_type == ECOND_AND)
3360         {
3361         combined_cond &= tempcond;
3362         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
3363         }                                       /* evaluate any more */
3364       else
3365         {
3366         combined_cond |= tempcond;
3367         if (combined_cond) subcondptr = NULL;   /* once true, don't */
3368         }                                       /* evaluate any more */
3369     }
3370
3371   if (yield) *yield = (combined_cond == testfor);
3372   return ++s;
3373
3374
3375   /* forall/forany: iterates a condition with different values */
3376
3377   case ECOND_FORALL:      is_forany = FALSE;  is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3378   case ECOND_FORANY:      is_forany = TRUE;   is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3379   case ECOND_FORALL_JSON: is_forany = FALSE;  is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3380   case ECOND_FORANY_JSON: is_forany = TRUE;   is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3381   case ECOND_FORALL_JSONS: is_forany = FALSE; is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3382   case ECOND_FORANY_JSONS: is_forany = TRUE;  is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3383
3384   FORMANY:
3385     {
3386     const uschar * list;
3387     int sep = 0;
3388     uschar *save_iterate_item = iterate_item;
3389
3390     DEBUG(D_expand) debug_printf_indent("condition: %s\n", opname);
3391
3392     Uskip_whitespace(&s);
3393     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3394     if (!(sub[0] = expand_string_internal(s,
3395       ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | (yield ? ESI_NOFLAGS : ESI_SKIPPING),
3396       &s, resetok, NULL)))
3397       return NULL;
3398     /* {-for-text-editors */
3399     if (*s++ != '}') goto COND_FAILED_CURLY_END;
3400
3401     Uskip_whitespace(&s);
3402     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3403
3404     sub[1] = s;
3405
3406     /* Call eval_condition once, with result discarded (as if scanning a
3407     "false" part). This allows us to find the end of the condition, because if
3408     the list it empty, we won't actually evaluate the condition for real. */
3409
3410     if (!(s = eval_condition(sub[1], resetok, NULL)))
3411       {
3412       expand_string_message = string_sprintf("%s inside \"%s\" condition",
3413         expand_string_message, opname);
3414       return NULL;
3415       }
3416     Uskip_whitespace(&s);
3417
3418     /* {-for-text-editors */
3419     if (*s++ != '}')
3420       {
3421       /* {-for-text-editors */
3422       expand_string_message = string_sprintf("missing } at end of condition "
3423         "inside \"%s\"", opname);
3424       return NULL;
3425       }
3426
3427     if (yield) *yield = !testfor;
3428     list = sub[0];
3429     if (is_json) list = dewrap(string_copy(list), US"[]");
3430     while ((iterate_item = is_json
3431       ? json_nextinlist(&list) : string_nextinlist(&list, &sep, NULL, 0)))
3432       {
3433       if (is_jsons)
3434         if (!(iterate_item = dewrap(iterate_item, US"\"\"")))
3435           {
3436           expand_string_message =
3437             string_sprintf("%s wrapping string result for extract jsons",
3438               expand_string_message);
3439           iterate_item = save_iterate_item;
3440           return NULL;
3441           }
3442
3443       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", opname, iterate_item);
3444       if (!eval_condition(sub[1], resetok, &tempcond))
3445         {
3446         expand_string_message = string_sprintf("%s inside \"%s\" condition",
3447           expand_string_message, opname);
3448         iterate_item = save_iterate_item;
3449         return NULL;
3450         }
3451       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", opname,
3452         tempcond? "true":"false");
3453
3454       if (yield) *yield = (tempcond == testfor);
3455       if (tempcond == is_forany) break;
3456       }
3457
3458     iterate_item = save_iterate_item;
3459     return s;
3460     }
3461
3462
3463   /* The bool{} expansion condition maps a string to boolean.
3464   The values supported should match those supported by the ACL condition
3465   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
3466   of true/false.  Note that Router "condition" rules have a different
3467   interpretation, where general data can be used and only a few values
3468   map to FALSE.
3469   Note that readconf.c boolean matching, for boolean configuration options,
3470   only matches true/yes/false/no.
3471   The bool_lax{} condition matches the Router logic, which is much more
3472   liberal. */
3473   case ECOND_BOOL:
3474   case ECOND_BOOL_LAX:
3475     {
3476     uschar *sub_arg[1];
3477     uschar *t, *t2;
3478     uschar *ourname;
3479     size_t len;
3480     BOOL boolvalue = FALSE;
3481
3482     if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3483     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3484     switch(read_subs(sub_arg, 1, 1, &s,
3485             yield ? ESI_NOFLAGS : ESI_SKIPPING, FALSE, ourname, resetok, NULL))
3486       {
3487       case 1: expand_string_message = string_sprintf(
3488                   "too few arguments or bracketing error for %s",
3489                   ourname);
3490       /*FALLTHROUGH*/
3491       case 2:
3492       case 3: return NULL;
3493       }
3494     t = sub_arg[0];
3495     Uskip_whitespace(&t);
3496     if ((len = Ustrlen(t)))
3497       {
3498       /* trailing whitespace: seems like a good idea to ignore it too */
3499       t2 = t + len - 1;
3500       while (isspace(*t2)) t2--;
3501       if (t2 != (t + len))
3502         {
3503         *++t2 = '\0';
3504         len = t2 - t;
3505         }
3506       }
3507     DEBUG(D_expand)
3508       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3509     /* logic for the lax case from expand_check_condition(), which also does
3510     expands, and the logic is both short and stable enough that there should
3511     be no maintenance burden from replicating it. */
3512     if (len == 0)
3513       boolvalue = FALSE;
3514     else if (*t == '-'
3515              ? Ustrspn(t+1, "0123456789") == len-1
3516              : Ustrspn(t,   "0123456789") == len)
3517       {
3518       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3519       /* expand_check_condition only does a literal string "0" check */
3520       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3521         boolvalue = TRUE;
3522       }
3523     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3524       boolvalue = TRUE;
3525     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3526       boolvalue = FALSE;
3527     else if (cond_type == ECOND_BOOL_LAX)
3528       boolvalue = TRUE;
3529     else
3530       {
3531       expand_string_message = string_sprintf("unrecognised boolean "
3532        "value \"%s\"", t);
3533       return NULL;
3534       }
3535     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3536         boolvalue? "true":"false");
3537     if (yield) *yield = (boolvalue == testfor);
3538     return s;
3539     }
3540
3541 #ifdef SUPPORT_SRS
3542   case ECOND_INBOUND_SRS:
3543     /* ${if inbound_srs {local_part}{secret}  {yes}{no}} */
3544     {
3545     uschar * sub[2];
3546     const pcre2_code * re;
3547     pcre2_match_data * md;
3548     PCRE2_SIZE * ovec;
3549     int quoting = 0;
3550     uschar cksum[4];
3551     BOOL boolvalue = FALSE;
3552
3553     switch(read_subs(sub, 2, 2, CUSS &s,
3554             yield ? ESI_NOFLAGS : ESI_SKIPPING, FALSE, name, resetok, NULL))
3555       {
3556       case 1: expand_string_message = US"too few arguments or bracketing "
3557         "error for inbound_srs";
3558       case 2:
3559       case 3: return NULL;
3560       }
3561
3562     /* Match the given local_part against the SRS-encoded pattern */
3563
3564     re = regex_must_compile(US"^(?i)SRS0=([^=]+)=([A-Z2-7]{2})=([^=]*)=(.*)$",
3565                             MCS_CASELESS | MCS_CACHEABLE, FALSE);
3566     md = pcre2_match_data_create(4+1, pcre_gen_ctx);
3567     if (pcre2_match(re, sub[0], PCRE2_ZERO_TERMINATED, 0, PCRE_EOPT,
3568                     md, pcre_gen_mtc_ctx) < 0)
3569       {
3570       DEBUG(D_expand) debug_printf("no match for SRS'd local-part pattern\n");
3571       goto srs_result;
3572       }
3573     ovec = pcre2_get_ovector_pointer(md);
3574
3575     if (sub[0][0] == '"')
3576       quoting = 1;
3577     else for (uschar * s = sub[0]; *s; s++)
3578       if (!isalnum(*s) && Ustrchr(".!#$%&'*+-/=?^_`{|}~", *s) == NULL)
3579         { quoting = 1; break; }
3580     if (quoting)
3581       DEBUG(D_expand) debug_printf_indent("auto-quoting local part\n");
3582
3583     /* Record the (quoted, if needed) decoded recipient as $srs_recipient */
3584
3585     srs_recipient = string_sprintf("%.*s%.*S%.*s@%.*S",         /* lowercased */
3586                       quoting, "\"",
3587                       (int) (ovec[9]-ovec[8]), sub[0] + ovec[8],  /* substr 4 */
3588                       quoting, "\"",
3589                       (int) (ovec[7]-ovec[6]), sub[0] + ovec[6]); /* substr 3 */
3590
3591     /* If a zero-length secret was given, we're done.  Otherwise carry on
3592     and validate the given SRS local_part againt our secret. */
3593
3594     if (*sub[1])
3595       {
3596       /* check the timestamp */
3597         {
3598         struct timeval now;
3599         uschar * ss = sub[0] + ovec[4]; /* substring 2, the timestamp */
3600         long d;
3601         int n;
3602
3603         gettimeofday(&now, NULL);
3604         now.tv_sec /= 86400;                    /* days since epoch */
3605
3606         /* Decode substring 2 from base32 to a number */
3607
3608         for (d = 0, n = ovec[5]-ovec[4]; n; n--)
3609           {
3610           uschar * t = Ustrchr(base32_chars, *ss++);
3611           d = d * 32 + (t - base32_chars);
3612           }
3613
3614         if (((now.tv_sec - d) & 0x3ff) > 10)    /* days since SRS generated */
3615           {
3616           DEBUG(D_expand) debug_printf("SRS too old\n");
3617           goto srs_result;
3618           }
3619         }
3620
3621       /* check length of substring 1, the offered checksum */
3622
3623       if (ovec[3]-ovec[2] != 4)
3624         {
3625         DEBUG(D_expand) debug_printf("SRS checksum wrong size\n");
3626         goto srs_result;
3627         }
3628
3629       /* Hash the address with our secret, and compare that computed checksum
3630       with the one extracted from the arg */
3631
3632       hmac_md5(sub[1], srs_recipient, cksum, sizeof(cksum));
3633       if (Ustrncmp(cksum, sub[0] + ovec[2], 4) != 0)
3634         {
3635         DEBUG(D_expand) debug_printf("SRS checksum mismatch\n");
3636         goto srs_result;
3637         }
3638       }
3639     boolvalue = TRUE;
3640
3641 srs_result:
3642     /* pcre2_match_data_free(md);       gen ctx needs no free */
3643     if (yield) *yield = (boolvalue == testfor);
3644     return s;
3645     }
3646 #endif /*SUPPORT_SRS*/
3647
3648   /* Unknown condition */
3649
3650   default:
3651     if (!expand_string_message || !*expand_string_message)
3652       expand_string_message = string_sprintf("unknown condition \"%s\"", opname);
3653     return NULL;
3654   }   /* End switch on condition type */
3655
3656 /* Missing braces at start and end of data */
3657
3658 COND_FAILED_CURLY_START:
3659 expand_string_message = string_sprintf("missing { after \"%s\"", opname);
3660 return NULL;
3661
3662 COND_FAILED_CURLY_END:
3663 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3664   opname);
3665 return NULL;
3666
3667 /* A condition requires code that is not compiled */
3668
3669 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3670     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3671     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3672 COND_FAILED_NOT_COMPILED:
3673 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3674   opname);
3675 return NULL;
3676 #endif
3677 }
3678
3679
3680
3681
3682 /*************************************************
3683 *          Save numerical variables              *
3684 *************************************************/
3685
3686 /* This function is called from items such as "if" that want to preserve and
3687 restore the numbered variables.
3688
3689 Arguments:
3690   save_expand_string    points to an array of pointers to set
3691   save_expand_nlength   points to an array of ints for the lengths
3692
3693 Returns:                the value of expand max to save
3694 */
3695
3696 static int
3697 save_expand_strings(const uschar **save_expand_nstring, int *save_expand_nlength)
3698 {
3699 for (int i = 0; i <= expand_nmax; i++)
3700   {
3701   save_expand_nstring[i] = expand_nstring[i];
3702   save_expand_nlength[i] = expand_nlength[i];
3703   }
3704 return expand_nmax;
3705 }
3706
3707
3708
3709 /*************************************************
3710 *           Restore numerical variables          *
3711 *************************************************/
3712
3713 /* This function restored saved values of numerical strings.
3714
3715 Arguments:
3716   save_expand_nmax      the number of strings to restore
3717   save_expand_string    points to an array of pointers
3718   save_expand_nlength   points to an array of ints
3719
3720 Returns:                nothing
3721 */
3722
3723 static void
3724 restore_expand_strings(int save_expand_nmax, const uschar **save_expand_nstring,
3725   int *save_expand_nlength)
3726 {
3727 expand_nmax = save_expand_nmax;
3728 for (int i = 0; i <= expand_nmax; i++)
3729   {
3730   expand_nstring[i] = save_expand_nstring[i];
3731   expand_nlength[i] = save_expand_nlength[i];
3732   }
3733 }
3734
3735
3736
3737
3738
3739 /*************************************************
3740 *            Handle yes/no substrings            *
3741 *************************************************/
3742
3743 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3744 alternative substrings that depend on whether or not the condition was true,
3745 or the lookup or extraction succeeded. The substrings always have to be
3746 expanded, to check their syntax, but "skipping" is set when the result is not
3747 needed - this avoids unnecessary nested lookups.
3748
3749 Arguments:
3750   flags
3751    skipping       TRUE if we were skipping when this item was reached
3752   yes            TRUE if the first string is to be used, else use the second
3753   save_lookup    a value to put back into lookup_value before the 2nd expansion
3754   sptr           points to the input string pointer
3755   yieldptr       points to the output growable-string pointer
3756   type           "lookup", "if", "extract", "run", "env", "listextract" or
3757                  "certextract" for error message
3758   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3759                 the store.
3760
3761 Returns:         0 OK; lookup_value has been reset to save_lookup
3762                  1 expansion failed
3763                  2 expansion failed because of bracketing error
3764 */
3765
3766 static int
3767 process_yesno(esi_flags flags, BOOL yes, uschar *save_lookup, const uschar **sptr,
3768   gstring ** yieldptr, uschar *type, BOOL *resetok)
3769 {
3770 int rc = 0;
3771 const uschar *s = *sptr;    /* Local value */
3772 uschar *sub1, *sub2;
3773 const uschar * errwhere;
3774
3775 flags &= ESI_SKIPPING;          /* Ignore all buf the skipping flag */
3776
3777 /* If there are no following strings, we substitute the contents of $value for
3778 lookups and for extractions in the success case. For the ${if item, the string
3779 "true" is substituted. In the fail case, nothing is substituted for all three
3780 items. */
3781
3782 if (skip_whitespace(&s) == '}')
3783   {
3784   if (type[0] == 'i')
3785     {
3786     if (yes && !(flags & ESI_SKIPPING))
3787       *yieldptr = string_catn(*yieldptr, US"true", 4);
3788     }
3789   else
3790     {
3791     if (yes && lookup_value && !(flags & ESI_SKIPPING))
3792       *yieldptr = string_cat(*yieldptr, lookup_value);
3793     lookup_value = save_lookup;
3794     }
3795   s++;
3796   goto RETURN;
3797   }
3798
3799 /* The first following string must be braced. */
3800
3801 if (*s++ != '{')
3802   {
3803   errwhere = US"'yes' part did not start with '{'";             /*}}*/
3804   goto FAILED_CURLY;
3805   }
3806
3807 /* Expand the first substring. Forced failures are noticed only if we actually
3808 want this string. Set skipping in the call in the fail case (this will always
3809 be the case if we were already skipping). */
3810
3811 sub1 = expand_string_internal(s,
3812   ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | (yes ? ESI_NOFLAGS : ESI_SKIPPING),
3813   &s, resetok, NULL);
3814 if (sub1 == NULL && (yes || !f.expand_string_forcedfail)) goto FAILED;
3815 f.expand_string_forcedfail = FALSE;
3816                                                                 /*{{*/
3817 if (*s++ != '}')
3818   {
3819   errwhere = US"'yes' part did not end with '}'";
3820   goto FAILED_CURLY;
3821   }
3822
3823 /* If we want the first string, add it to the output */
3824
3825 if (yes)
3826   *yieldptr = string_cat(*yieldptr, sub1);
3827
3828 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3829 $value to what it was at the start of the item, so that it has this value
3830 during the second string expansion. For the call from "if" or "run" to this
3831 function, save_lookup is set to lookup_value, so that this statement does
3832 nothing. */
3833
3834 lookup_value = save_lookup;
3835
3836 /* There now follows either another substring, or "fail", or nothing. This
3837 time, forced failures are noticed only if we want the second string. We must
3838 set skipping in the nested call if we don't want this string, or if we were
3839 already skipping. */
3840
3841 if (skip_whitespace(&s) == '{')                                 /*}*/
3842   {
3843   esi_flags s_flags = ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags;
3844   if (yes) s_flags |= ESI_SKIPPING;
3845   sub2 = expand_string_internal(s+1, s_flags, &s, resetok, NULL);
3846   if (!sub2 && (!yes || !f.expand_string_forcedfail)) goto FAILED;
3847   f.expand_string_forcedfail = FALSE;                           /*{*/
3848   if (*s++ != '}')
3849     {
3850     errwhere = US"'no' part did not start with '{'";            /*}*/
3851     goto FAILED_CURLY;
3852     }
3853
3854   /* If we want the second string, add it to the output */
3855
3856   if (!yes)
3857     *yieldptr = string_cat(*yieldptr, sub2);
3858   }
3859                                                                 /*{{*/
3860 /* If there is no second string, but the word "fail" is present when the use of
3861 the second string is wanted, set a flag indicating it was a forced failure
3862 rather than a syntactic error. Swallow the terminating } in case this is nested
3863 inside another lookup or if or extract. */
3864
3865 else if (*s != '}')
3866   {
3867   uschar name[256];
3868   /* deconst cast ok here as source is s anyway */
3869   s = US read_name(name, sizeof(name), s, US"_");
3870   if (Ustrcmp(name, "fail") == 0)
3871     {
3872     if (!yes && !(flags & ESI_SKIPPING))
3873       {
3874       Uskip_whitespace(&s);                                     /*{{*/
3875       if (*s++ != '}')
3876         {
3877         errwhere = US"did not close with '}' after forcedfail";
3878         goto FAILED_CURLY;
3879         }
3880       expand_string_message =
3881         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3882       f.expand_string_forcedfail = TRUE;
3883       goto FAILED;
3884       }
3885     }
3886   else
3887     {
3888     expand_string_message =
3889       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3890     goto FAILED;
3891     }
3892   }
3893
3894 /* All we have to do now is to check on the final closing brace. */
3895
3896 skip_whitespace(&s);                                            /*{{*/
3897 if (*s++ != '}')
3898   {
3899   errwhere = US"did not close with '}'";
3900   goto FAILED_CURLY;
3901   }
3902
3903
3904 RETURN:
3905 /* Update the input pointer value before returning */
3906 *sptr = s;
3907 return rc;
3908
3909 FAILED_CURLY:
3910   /* Get here if there is a bracketing failure */
3911   expand_string_message = string_sprintf(
3912     "curly-bracket problem in conditional yes/no parsing: %s\n"
3913     " remaining string is '%s'", errwhere, --s);
3914   rc = 2;
3915   goto RETURN;
3916
3917 FAILED:
3918   /* Get here for other failures */
3919   rc = 1;
3920   goto RETURN;
3921 }
3922
3923
3924
3925
3926 /********************************************************
3927 * prvs: Get last three digits of days since Jan 1, 1970 *
3928 ********************************************************/
3929
3930 /* This is needed to implement the "prvs" BATV reverse
3931    path signing scheme
3932
3933 Argument: integer "days" offset to add or substract to
3934           or from the current number of days.
3935
3936 Returns:  pointer to string containing the last three
3937           digits of the number of days since Jan 1, 1970,
3938           modified by the offset argument, NULL if there
3939           was an error in the conversion.
3940
3941 */
3942
3943 static uschar *
3944 prvs_daystamp(int day_offset)
3945 {
3946 uschar * days = store_get(32, GET_UNTAINTED);      /* Need at least 24 for cases */
3947 (void)string_format(days, 32, TIME_T_FMT,          /* where TIME_T_FMT is %lld */
3948   (time(NULL) + day_offset*86400)/86400);
3949 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3950 }
3951
3952
3953
3954 /********************************************************
3955 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3956 ********************************************************/
3957
3958 /* This is needed to implement the "prvs" BATV reverse
3959    path signing scheme
3960
3961 Arguments:
3962   address RFC2821 Address to use
3963       key The key to use (must be less than 64 characters
3964           in size)
3965   key_num Single-digit key number to use. Defaults to
3966           '0' when NULL.
3967
3968 Returns:  pointer to string containing the first three
3969           bytes of the final hash in hex format, NULL if
3970           there was an error in the process.
3971 */
3972
3973 static uschar *
3974 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3975 {
3976 gstring * hash_source;
3977 uschar * p;
3978 hctx h;
3979 uschar innerhash[20];
3980 uschar finalhash[20];
3981 uschar innerkey[64];
3982 uschar outerkey[64];
3983 uschar *finalhash_hex;
3984
3985 if (!key_num)
3986   key_num = US"0";
3987
3988 if (Ustrlen(key) > 64)
3989   return NULL;
3990
3991 hash_source = string_catn(NULL, key_num, 1);
3992 hash_source = string_catn(hash_source, daystamp, 3);
3993 hash_source = string_cat(hash_source, address);
3994
3995 DEBUG(D_expand)
3996   debug_printf_indent("prvs: hash source is '%Y'\n", hash_source);
3997
3998 memset(innerkey, 0x36, 64);
3999 memset(outerkey, 0x5c, 64);
4000
4001 for (int i = 0; i < Ustrlen(key); i++)
4002   {
4003   innerkey[i] ^= key[i];
4004   outerkey[i] ^= key[i];
4005   }
4006
4007 chash_start(HMAC_SHA1, &h);
4008 chash_mid(HMAC_SHA1, &h, innerkey);
4009 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
4010
4011 chash_start(HMAC_SHA1, &h);
4012 chash_mid(HMAC_SHA1, &h, outerkey);
4013 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
4014
4015 /* Hashing is deemed sufficient to de-taint any input data */
4016
4017 p = finalhash_hex = store_get(40, GET_UNTAINTED);
4018 for (int i = 0; i < 3; i++)
4019   {
4020   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
4021   *p++ = hex_digits[finalhash[i] & 0x0f];
4022   }
4023 *p = '\0';
4024
4025 return finalhash_hex;
4026 }
4027
4028
4029
4030
4031 /*************************************************
4032 *        Join a file onto the output string      *
4033 *************************************************/
4034
4035 /* This is used for readfile/readsock and after a run expansion.
4036 It joins the contents of a file onto the output string, globally replacing
4037 newlines with a given string (optionally).
4038
4039 Arguments:
4040   f            the FILE
4041   yield        pointer to the expandable string struct
4042   eol          newline replacement string, or NULL
4043
4044 Returns:       new pointer for expandable string, terminated if non-null
4045 */
4046
4047 gstring *
4048 cat_file(FILE * f, gstring * yield, uschar * eol)
4049 {
4050 uschar buffer[1024];
4051
4052 while (Ufgets(buffer, sizeof(buffer), f))
4053   {
4054   int len = Ustrlen(buffer);
4055   if (eol && buffer[len-1] == '\n') len--;
4056   yield = string_catn(yield, buffer, len);
4057   if (eol && buffer[len])
4058     yield = string_cat(yield, eol);
4059   }
4060 return yield;
4061 }
4062
4063
4064 #ifndef DISABLE_TLS
4065 gstring *
4066 cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
4067 {
4068 int rc;
4069 uschar buffer[1024];
4070
4071 /*XXX could we read direct into a pre-grown string? */
4072
4073 while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
4074   for (uschar * s = buffer; rc--; s++)
4075     yield = eol && *s == '\n'
4076       ? string_cat(yield, eol) : string_catn(yield, s, 1);
4077
4078 /* We assume that all errors, and any returns of zero bytes,
4079 are actually EOF. */
4080
4081 return yield;
4082 }
4083 #endif
4084
4085
4086 /*************************************************
4087 *          Evaluate numeric expression           *
4088 *************************************************/
4089
4090 /* This is a set of mutually recursive functions that evaluate an arithmetic
4091 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
4092 these functions that is called from elsewhere is eval_expr, whose interface is:
4093
4094 Arguments:
4095   sptr        pointer to the pointer to the string - gets updated
4096   decimal     TRUE if numbers are to be assumed decimal
4097   error       pointer to where to put an error message - must be NULL on input
4098   endket      TRUE if ')' must terminate - FALSE for external call
4099
4100 Returns:      on success: the value of the expression, with *error still NULL
4101               on failure: an undefined value, with *error = a message
4102 */
4103
4104 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
4105
4106
4107 static int_eximarith_t
4108 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
4109 {
4110 uschar *s = *sptr;
4111 int_eximarith_t x = eval_op_or(&s, decimal, error);
4112
4113 if (!*error)
4114   if (endket)
4115     if (*s != ')')
4116       *error = US"expecting closing parenthesis";
4117     else
4118       while (isspace(*++s)) ;
4119   else if (*s)
4120     *error = US"expecting operator";
4121 *sptr = s;
4122 return x;
4123 }
4124
4125
4126 static int_eximarith_t
4127 eval_number(uschar **sptr, BOOL decimal, uschar **error)
4128 {
4129 int c;
4130 int_eximarith_t n;
4131 uschar *s = *sptr;
4132
4133 if (isdigit((c = Uskip_whitespace(&s))))
4134   {
4135   int count;
4136   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
4137   s += count;
4138   switch (tolower(*s))
4139     {
4140     default: break;
4141     case 'k': n *= 1024; s++; break;
4142     case 'm': n *= 1024*1024; s++; break;
4143     case 'g': n *= 1024*1024*1024; s++; break;
4144     }
4145   Uskip_whitespace(&s);
4146   }
4147 else if (c == '(')
4148   {
4149   s++;
4150   n = eval_expr(&s, decimal, error, 1);
4151   }
4152 else
4153   {
4154   *error = US"expecting number or opening parenthesis";
4155   n = 0;
4156   }
4157 *sptr = s;
4158 return n;
4159 }
4160
4161
4162 static int_eximarith_t
4163 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
4164 {
4165 uschar *s = *sptr;
4166 int_eximarith_t x;
4167 Uskip_whitespace(&s);
4168 if (*s == '+' || *s == '-' || *s == '~')
4169   {
4170   int op = *s++;
4171   x = eval_op_unary(&s, decimal, error);
4172   if (op == '-') x = -x;
4173     else if (op == '~') x = ~x;
4174   }
4175 else
4176   x = eval_number(&s, decimal, error);
4177
4178 *sptr = s;
4179 return x;
4180 }
4181
4182
4183 static int_eximarith_t
4184 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
4185 {
4186 uschar *s = *sptr;
4187 int_eximarith_t x = eval_op_unary(&s, decimal, error);
4188 if (!*error)
4189   {
4190   while (*s == '*' || *s == '/' || *s == '%')
4191     {
4192     int op = *s++;
4193     int_eximarith_t y = eval_op_unary(&s, decimal, error);
4194     if (*error) break;
4195     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
4196      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
4197      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
4198      * -N*M is INT_MIN will yield INT_MIN.
4199      * Since we don't support floating point, this is somewhat simpler.
4200      * Ideally, we'd return an error, but since we overflow for all other
4201      * arithmetic, consistency suggests otherwise, but what's the correct value
4202      * to use?  There is none.
4203      * The C standard guarantees overflow for unsigned arithmetic but signed
4204      * overflow invokes undefined behaviour; in practice, this is overflow
4205      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
4206      * that long/longlong larger than int are available, or we could just work
4207      * with larger types.  We should consider whether to guarantee 32bit eval
4208      * and 64-bit working variables, with errors returned.  For now ...
4209      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
4210      * can just let the other invalid results occur otherwise, as they have
4211      * until now.  For this one case, we can coerce.
4212      */
4213     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
4214       {
4215       DEBUG(D_expand)
4216         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
4217             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
4218       x = EXIM_ARITH_MAX;
4219       continue;
4220       }
4221     if (op == '*')
4222       x *= y;
4223     else
4224       {
4225       if (y == 0)
4226         {
4227         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
4228         x = 0;
4229         break;
4230         }
4231       if (op == '/')
4232         x /= y;
4233       else
4234         x %= y;
4235       }
4236     }
4237   }
4238 *sptr = s;
4239 return x;
4240 }
4241
4242
4243 static int_eximarith_t
4244 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
4245 {
4246 uschar *s = *sptr;
4247 int_eximarith_t x = eval_op_mult(&s, decimal, error);
4248 if (!*error)
4249   {
4250   while (*s == '+' || *s == '-')
4251     {
4252     int op = *s++;
4253     int_eximarith_t y = eval_op_mult(&s, decimal, error);
4254     if (*error) break;
4255     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
4256        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
4257       {                 /* over-conservative check */
4258       *error = op == '+'
4259         ? US"overflow in sum" : US"overflow in difference";
4260       break;
4261       }
4262     if (op == '+') x += y; else x -= y;
4263     }
4264   }
4265 *sptr = s;
4266 return x;
4267 }
4268
4269
4270 static int_eximarith_t
4271 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
4272 {
4273 uschar *s = *sptr;
4274 int_eximarith_t x = eval_op_sum(&s, decimal, error);
4275 if (!*error)
4276   {
4277   while ((*s == '<' || *s == '>') && s[1] == s[0])
4278     {
4279     int_eximarith_t y;
4280     int op = *s++;
4281     s++;
4282     y = eval_op_sum(&s, decimal, error);
4283     if (*error) break;
4284     if (op == '<') x <<= y; else x >>= y;
4285     }
4286   }
4287 *sptr = s;
4288 return x;
4289 }
4290
4291
4292 static int_eximarith_t
4293 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
4294 {
4295 uschar *s = *sptr;
4296 int_eximarith_t x = eval_op_shift(&s, decimal, error);
4297 if (!*error)
4298   {
4299   while (*s == '&')
4300     {
4301     int_eximarith_t y;
4302     s++;
4303     y = eval_op_shift(&s, decimal, error);
4304     if (*error) break;
4305     x &= y;
4306     }
4307   }
4308 *sptr = s;
4309 return x;
4310 }
4311
4312
4313 static int_eximarith_t
4314 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
4315 {
4316 uschar *s = *sptr;
4317 int_eximarith_t x = eval_op_and(&s, decimal, error);
4318 if (!*error)
4319   {
4320   while (*s == '^')
4321     {
4322     int_eximarith_t y;
4323     s++;
4324     y = eval_op_and(&s, decimal, error);
4325     if (*error) break;
4326     x ^= y;
4327     }
4328   }
4329 *sptr = s;
4330 return x;
4331 }
4332
4333
4334 static int_eximarith_t
4335 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
4336 {
4337 uschar *s = *sptr;
4338 int_eximarith_t x = eval_op_xor(&s, decimal, error);
4339 if (!*error)
4340   {
4341   while (*s == '|')
4342     {
4343     int_eximarith_t y;
4344     s++;
4345     y = eval_op_xor(&s, decimal, error);
4346     if (*error) break;
4347     x |= y;
4348     }
4349   }
4350 *sptr = s;
4351 return x;
4352 }
4353
4354
4355
4356 /************************************************/
4357 /* Comparison operation for sort expansion.  We need to avoid
4358 re-expanding the fields being compared, so need a custom routine.
4359
4360 Arguments:
4361  cond_type              Comparison operator code
4362  leftarg, rightarg      Arguments for comparison
4363
4364 Return true iff (leftarg compare rightarg)
4365 */
4366
4367 static BOOL
4368 sortsbefore(int cond_type, BOOL alpha_cond,
4369   const uschar * leftarg, const uschar * rightarg)
4370 {
4371 int_eximarith_t l_num, r_num;
4372
4373 if (!alpha_cond)
4374   {
4375   l_num = expanded_string_integer(leftarg, FALSE);
4376   if (expand_string_message) return FALSE;
4377   r_num = expanded_string_integer(rightarg, FALSE);
4378   if (expand_string_message) return FALSE;
4379
4380   switch (cond_type)
4381     {
4382     case ECOND_NUM_G:   return l_num >  r_num;
4383     case ECOND_NUM_GE:  return l_num >= r_num;
4384     case ECOND_NUM_L:   return l_num <  r_num;
4385     case ECOND_NUM_LE:  return l_num <= r_num;
4386     default: break;
4387     }
4388   }
4389 else
4390   switch (cond_type)
4391     {
4392     case ECOND_STR_LT:  return Ustrcmp (leftarg, rightarg) <  0;
4393     case ECOND_STR_LTI: return strcmpic(leftarg, rightarg) <  0;
4394     case ECOND_STR_LE:  return Ustrcmp (leftarg, rightarg) <= 0;
4395     case ECOND_STR_LEI: return strcmpic(leftarg, rightarg) <= 0;
4396     case ECOND_STR_GT:  return Ustrcmp (leftarg, rightarg) >  0;
4397     case ECOND_STR_GTI: return strcmpic(leftarg, rightarg) >  0;
4398     case ECOND_STR_GE:  return Ustrcmp (leftarg, rightarg) >= 0;
4399     case ECOND_STR_GEI: return strcmpic(leftarg, rightarg) >= 0;
4400     default: break;
4401     }
4402 return FALSE;   /* should not happen */
4403 }
4404
4405
4406 /* Expand a named list.  Return false on failure. */
4407 static gstring *
4408 expand_listnamed(gstring * yield, const uschar * name, const uschar * listtype)
4409 {
4410 tree_node *t = NULL;
4411 const uschar * list;
4412 int sep = 0;
4413 uschar * item;
4414 BOOL needsep = FALSE;
4415 #define LISTNAMED_BUF_SIZE 256
4416 uschar b[LISTNAMED_BUF_SIZE];
4417 uschar * buffer = b;
4418
4419 if (*name == '+') name++;
4420 if (!listtype)          /* no-argument version */
4421   {
4422   if (  !(t = tree_search(addresslist_anchor, name))
4423      && !(t = tree_search(domainlist_anchor,  name))
4424      && !(t = tree_search(hostlist_anchor,    name)))
4425     t = tree_search(localpartlist_anchor, name);
4426   }
4427 else switch(*listtype)  /* specific list-type version */
4428   {
4429   case 'a': t = tree_search(addresslist_anchor,   name); break;
4430   case 'd': t = tree_search(domainlist_anchor,    name); break;
4431   case 'h': t = tree_search(hostlist_anchor,      name); break;
4432   case 'l': t = tree_search(localpartlist_anchor, name); break;
4433   default:
4434     expand_string_message = US"bad suffix on \"list\" operator";
4435     return yield;
4436   }
4437
4438 if(!t)
4439   {
4440   expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
4441     name, !listtype?""
4442       : *listtype=='a'?"address "
4443       : *listtype=='d'?"domain "
4444       : *listtype=='h'?"host "
4445       : *listtype=='l'?"localpart "
4446       : 0);
4447   return yield;
4448   }
4449
4450 list = ((namedlist_block *)(t->data.ptr))->string;
4451
4452 /* The list could be quite long so we (re)use a buffer for each element
4453 rather than getting each in new memory */
4454
4455 if (is_tainted(list)) buffer = store_get(LISTNAMED_BUF_SIZE, GET_TAINTED);
4456 while ((item = string_nextinlist(&list, &sep, buffer, LISTNAMED_BUF_SIZE)))
4457   {
4458   uschar * buf = US" : ";
4459   if (needsep)
4460     yield = string_catn(yield, buf, 3);
4461   else
4462     needsep = TRUE;
4463
4464   if (*item == '+')     /* list item is itself a named list */
4465     {
4466     yield = expand_listnamed(yield, item, listtype);
4467     if (expand_string_message)
4468       return yield;
4469     }
4470
4471   else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
4472     {
4473     char tok[3];
4474     tok[0] = sep; tok[1] = ':'; tok[2] = 0;
4475
4476     for(char * cp; cp = strpbrk(CCS item, tok); item = US cp)
4477       {
4478       yield = string_catn(yield, item, cp - CS item);
4479       if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
4480         yield = string_catn(yield, US"::", 2);
4481       else              /* sep in item; should already be doubled; emit once */
4482         {
4483         yield = string_catn(yield, US tok, 1);
4484         if (*cp == sep) cp++;
4485         }
4486       }
4487     yield = string_cat(yield, item);
4488     }
4489   else
4490     yield = string_cat(yield, item);
4491   }
4492 return yield;
4493 }
4494
4495
4496
4497 /************************************************/
4498 static void
4499 debug_expansion_interim(const uschar * what, const uschar * value, int nchar,
4500   esi_flags flags)
4501 {
4502 debug_printf_indent("%V", "K");
4503
4504 for (int fill = 11 - Ustrlen(what); fill > 0; fill--)
4505   debug_printf("%V", "-");
4506
4507 debug_printf("%s: %.*W\n", what, nchar, value);
4508 if (is_tainted(value))
4509   debug_printf_indent("%V          %V(tainted)\n",
4510     flags & ESI_SKIPPING ? "|" : " ", "\\__");
4511 }
4512
4513
4514 /*************************************************
4515 *                 Expand string                  *
4516 *************************************************/
4517
4518 /* Returns either an unchanged string, or the expanded string in stacking pool
4519 store. Interpreted sequences are:
4520
4521    \...                    normal escaping rules
4522    $name                   substitutes the variable
4523    ${name}                 ditto
4524    ${op:string}            operates on the expanded string value
4525    ${item{arg1}{arg2}...}  expands the args and then does the business
4526                              some literal args are not enclosed in {}
4527
4528 There are now far too many operators and item types to make it worth listing
4529 them here in detail any more.
4530
4531 We use an internal routine recursively to handle embedded substrings. The
4532 external function follows. The yield is NULL if the expansion failed, and there
4533 are two cases: if something collapsed syntactically, or if "fail" was given
4534 as the action on a lookup failure. These can be distinguished by looking at the
4535 variable expand_string_forcedfail, which is TRUE in the latter case.
4536
4537 The skipping flag is set true when expanding a substring that isn't actually
4538 going to be used (after "if" or "lookup") and it prevents lookups from
4539 happening lower down.
4540
4541 Store usage: At start, a store block of the length of the input plus 64
4542 is obtained. This is expanded as necessary by string_cat(), which might have to
4543 get a new block, or might be able to expand the original. At the end of the
4544 function we can release any store above that portion of the yield block that
4545 was actually used. In many cases this will be optimal.
4546
4547 However: if the first item in the expansion is a variable name or header name,
4548 we reset the store before processing it; if the result is in fresh store, we
4549 use that without copying. This is helpful for expanding strings like
4550 $message_headers which can get very long.
4551
4552 There's a problem if a ${dlfunc item has side-effects that cause allocation,
4553 since resetting the store at the end of the expansion will free store that was
4554 allocated by the plugin code as well as the slop after the expanded string. So
4555 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
4556 and, given the acl condition, ${if }. This is an unfortunate consequence of
4557 string expansion becoming too powerful.
4558
4559 Arguments:
4560   string         the string to be expanded
4561   flags
4562    brace_ends     expansion is to stop at }
4563    honour_dollar  TRUE if $ is to be expanded,
4564                   FALSE if it's just another character
4565    skipping       TRUE for recursive calls when the value isn't actually going
4566                   to be used (to allow for optimisation)
4567   left           if not NULL, a pointer to the first character after the
4568                  expansion is placed here (typically used with brace_ends)
4569   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
4570                  the store.
4571   textonly_p     if not NULL, pointer to flag - write bool for only-met-text
4572
4573 Returns:         NULL if expansion fails:
4574                    expand_string_forcedfail is set TRUE if failure was forced
4575                    expand_string_message contains a textual error message
4576                  a pointer to the expanded string on success
4577 */
4578
4579 static uschar *
4580 expand_string_internal(const uschar * string, esi_flags flags, const uschar ** left,
4581   BOOL *resetok_p, BOOL * textonly_p)
4582 {
4583 rmark reset_point = store_mark();
4584 gstring * yield = string_get(Ustrlen(string) + 64);
4585 int item_type;
4586 const uschar * s = string;
4587 const uschar * save_expand_nstring[EXPAND_MAXN+1];
4588 int save_expand_nlength[EXPAND_MAXN+1];
4589 BOOL resetok = TRUE, first = TRUE, textonly = TRUE;
4590
4591 expand_level++;
4592 f.expand_string_forcedfail = FALSE;
4593 expand_string_message = US"";
4594
4595 if (is_tainted(string))
4596   {
4597   expand_string_message =
4598     string_sprintf("attempt to expand tainted string '%s'", s);
4599   log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4600   goto EXPAND_FAILED;
4601   }
4602
4603 while (*s)
4604   {
4605   uschar name[256];
4606
4607   DEBUG(D_expand)
4608     {
4609     debug_printf_indent("%V%V%s: %W\n",
4610       first ? "/" : "K",
4611       flags & ESI_SKIPPING ? "---" : "",
4612       flags & ESI_SKIPPING ? "scanning" : "considering", s);
4613     first = FALSE;
4614     }
4615
4616   /* \ escapes the next character, which must exist, or else
4617   the expansion fails. There's a special escape, \N, which causes
4618   copying of the subject verbatim up to the next \N. Otherwise,
4619   the escapes are the standard set. */
4620
4621   if (*s == '\\')
4622     {
4623     if (s[1] == 0)
4624       {
4625       expand_string_message = US"\\ at end of string";
4626       goto EXPAND_FAILED;
4627       }
4628
4629     if (s[1] == 'N')
4630       {
4631       const uschar * t = s + 2;
4632       for (s = t; *s ; s++) if (*s == '\\' && s[1] == 'N') break;
4633
4634       DEBUG(D_expand)
4635         debug_expansion_interim(US"protected", t, (int)(s - t), flags);
4636       if (!(flags & ESI_SKIPPING))
4637         yield = string_catn(yield, t, s - t);
4638       if (*s) s += 2;
4639       }
4640     else
4641       {
4642       uschar ch[1];
4643       DEBUG(D_expand)
4644         debug_printf_indent("%Vbackslashed: '\\%c'\n", "K", s[1]);
4645       ch[0] = string_interpret_escape(&s);
4646       if (!(flags & ESI_SKIPPING))
4647         yield = string_catn(yield, ch, 1);
4648       s++;
4649       }
4650     continue;
4651     }
4652
4653                                                                         /*{{*/
4654   /* Anything other than $ is just copied verbatim, unless we are
4655   looking for a terminating } character. */
4656
4657   if (flags & ESI_BRACE_ENDS && *s == '}') break;
4658
4659   if (*s != '$' || !(flags & ESI_HONOR_DOLLAR))
4660     {
4661     int i = 1;                                                          /*{*/
4662     for (const uschar * t = s+1;
4663         *t && *t != '$' && *t != '}' && *t != '\\'; t++) i++;
4664
4665     DEBUG(D_expand) debug_expansion_interim(US"text", s, i, flags);
4666
4667     if (!(flags & ESI_SKIPPING))
4668       yield = string_catn(yield, s, i);
4669     s += i;
4670     continue;
4671     }
4672   textonly = FALSE;
4673
4674   /* No { after the $ - must be a plain name or a number for string
4675   match variable. There has to be a fudge for variables that are the
4676   names of header fields preceded by "$header_" because header field
4677   names can contain any printing characters except space and colon.
4678   For those that don't like typing this much, "$h_" is a synonym for
4679   "$header_". A non-existent header yields a NULL value; nothing is
4680   inserted. */  /*}*/
4681
4682   if (isalpha(*++s))
4683     {
4684     const uschar * value;
4685     int newsize = 0, len;
4686     gstring * g = NULL;
4687     uschar * t;
4688
4689     s = read_name(name, sizeof(name), s, US"_");
4690
4691     /* If this is the first thing to be expanded, release the pre-allocated
4692     buffer. */
4693
4694     if (!(flags & ESI_SKIPPING))
4695       if (!yield)
4696         g = store_get(sizeof(gstring), GET_UNTAINTED);
4697       else if (yield->ptr == 0)
4698         {
4699         if (resetok) reset_point = store_reset(reset_point);
4700         yield = NULL;
4701         reset_point = store_mark();
4702         g = store_get(sizeof(gstring), GET_UNTAINTED);  /* alloc _before_ calling find_variable() */
4703         }
4704
4705     /* Header */
4706
4707     if (  ( *(t = name) == 'h'
4708           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
4709           )
4710        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
4711        )
4712       {
4713       unsigned flags = *name == 'r' ? FH_WANT_RAW
4714                       : *name == 'l' ? FH_WANT_RAW|FH_WANT_LIST
4715                       : 0;
4716       const uschar * charset = *name == 'b' ? NULL : headers_charset;
4717
4718       s = read_header_name(name, sizeof(name), s);
4719       value = find_header(name, &newsize, flags, charset);
4720
4721       /* If we didn't find the header, and the header contains a closing brace
4722       character, this may be a user error where the terminating colon
4723       has been omitted. Set a flag to adjust the error message in this case.
4724       But there is no error here - nothing gets inserted. */
4725
4726       if (!value)
4727         {                                                               /*{*/
4728         if (Ustrchr(name, '}')) malformed_header = TRUE;
4729         continue;
4730         }
4731       }
4732
4733     /* Variable */
4734
4735     else if (!(value = find_variable(name, FALSE, !!(flags & ESI_SKIPPING), &newsize)))
4736       {
4737       expand_string_message =
4738         string_sprintf("unknown variable name \"%s\"", name);
4739         check_variable_error_message(name);
4740       goto EXPAND_FAILED;
4741       }
4742
4743     /* If the data is known to be in a new buffer, newsize will be set to the
4744     size of that buffer. If this is the first thing in an expansion string,
4745     yield will be NULL; just point it at the new store instead of copying. Many
4746     expansion strings contain just one reference, so this is a useful
4747     optimization, especially for humungous headers.  We need to use a gstring
4748     structure that is not allocated after that new-buffer, else a later store
4749     reset in the middle of the buffer will make it inaccessible. */
4750
4751     len = Ustrlen(value);
4752     DEBUG(D_expand) debug_expansion_interim(US"value", value, len, flags);
4753     if (!(flags & ESI_SKIPPING))
4754       if (!yield && newsize != 0)
4755         {
4756         yield = g;
4757         yield->size = newsize;
4758         yield->ptr = len;
4759         yield->s = US value; /* known to be in new store i.e. a copy, so deconst safe */
4760         }
4761       else
4762         yield = string_catn(yield, value, len);
4763
4764     continue;
4765     }
4766
4767   if (isdigit(*s))              /* A $<n> variable */
4768     {
4769     int n;
4770     s = read_cnumber(&n, s);
4771     if (n >= 0 && n <= expand_nmax)
4772       {
4773       DEBUG(D_expand) debug_expansion_interim(US"value", expand_nstring[n], expand_nlength[n], flags);
4774       if (!(flags & ESI_SKIPPING))
4775         yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4776       }
4777     continue;
4778     }
4779
4780   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4781
4782   if (*s != '{')                                                        /*}*/
4783     {
4784     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4785     goto EXPAND_FAILED;
4786     }
4787
4788   /* After { there can be various things, but they all start with
4789   an initial word, except for a number for a string match variable. */  /*}*/
4790
4791   if (isdigit(*++s))
4792     {
4793     int n;
4794     s = read_cnumber(&n, s);                                            /*{{*/
4795     if (*s++ != '}')
4796       {
4797       expand_string_message = US"} expected after number";
4798       goto EXPAND_FAILED;
4799       }
4800     if (n >= 0 && n <= expand_nmax)
4801       {
4802       DEBUG(D_expand) debug_expansion_interim(US"value", expand_nstring[n], expand_nlength[n], flags);
4803       if (!(flags & ESI_SKIPPING))
4804         yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4805       }
4806     continue;
4807     }
4808
4809   if (!isalpha(*s))
4810     {
4811     expand_string_message = US"letter or digit expected after ${";      /*}*/
4812     goto EXPAND_FAILED;
4813     }
4814
4815   /* Allow "-" in names to cater for substrings with negative
4816   arguments. Since we are checking for known names after { this is
4817   OK. */                                                                /*}*/
4818
4819   s = read_name(name, sizeof(name), s, US"_-");
4820   item_type = chop_match(name, item_table, nelem(item_table));
4821
4822   /* Switch on item type.  All nondefault choices should "continue* when
4823   skipping, but "break" otherwise so we get debug output for the item
4824   expansion. */
4825   {
4826   int expansion_start = gstring_length(yield);
4827   switch(item_type)
4828     {
4829     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4830     If the ACL returns accept or reject we return content set by "message ="
4831     There is currently no limit on recursion; this would have us call
4832     acl_check_internal() directly and get a current level from somewhere.
4833     See also the acl expansion condition ECOND_ACL and the traditional
4834     acl modifier ACLC_ACL.
4835     Assume that the function has side-effects on the store that must be preserved.
4836     */
4837
4838     case EITEM_ACL:
4839       /* ${acl {name} {arg1}{arg2}...} */
4840       {
4841       uschar * sub[10]; /* name + arg1-arg9 (which must match number of acl_arg[]) */
4842       uschar * user_msg;
4843       int rc;
4844
4845       switch(read_subs(sub, nelem(sub), 1, &s, flags, TRUE, name, &resetok, NULL))
4846         {
4847         case -1: continue;              /* skipping */
4848         case 1: goto EXPAND_FAILED_CURLY;
4849         case 2:
4850         case 3: goto EXPAND_FAILED;
4851         }
4852
4853       resetok = FALSE;
4854       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
4855         {
4856         case OK:
4857         case FAIL:
4858           DEBUG(D_expand)
4859             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4860           if (user_msg)
4861             yield = string_cat(yield, user_msg);
4862           break;
4863
4864         case DEFER:
4865           f.expand_string_forcedfail = TRUE;
4866           /*FALLTHROUGH*/
4867         default:
4868           expand_string_message = string_sprintf("%s from acl \"%s\"",
4869             rc_names[rc], sub[0]);
4870           goto EXPAND_FAILED;
4871         }
4872       break;
4873       }
4874
4875     case EITEM_AUTHRESULTS:
4876       /* ${authresults {mysystemname}} */
4877       {
4878       uschar * sub_arg[1];
4879
4880       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, flags, TRUE, name, &resetok, NULL))
4881         {
4882         case -1: continue;      /* If skipping, we don't actually do anything */
4883         case 1: goto EXPAND_FAILED_CURLY;
4884         case 2:
4885         case 3: goto EXPAND_FAILED;
4886         }
4887
4888       yield = string_append(yield, 3,
4889                         US"Authentication-Results: ", sub_arg[0], US"; none");
4890       yield->ptr -= 6;                  /* ignore tha ": none" for now */
4891
4892       yield = authres_local(yield, sub_arg[0]);
4893       yield = authres_iprev(yield);
4894       yield = authres_smtpauth(yield);
4895 #ifdef SUPPORT_SPF
4896       yield = authres_spf(yield);
4897 #endif
4898 #ifndef DISABLE_DKIM
4899       yield = authres_dkim(yield);
4900 #endif
4901 #ifdef SUPPORT_DMARC
4902       yield = authres_dmarc(yield);
4903 #endif
4904 #ifdef EXPERIMENTAL_ARC
4905       yield = authres_arc(yield);
4906 #endif
4907       break;
4908       }
4909
4910     /* Handle conditionals - preserve the values of the numerical expansion
4911     variables in case they get changed by a regular expression match in the
4912     condition. If not, they retain their external settings. At the end
4913     of this "if" section, they get restored to their previous values. */
4914
4915     case EITEM_IF:
4916       {
4917       BOOL cond = FALSE;
4918       const uschar *next_s;
4919       int save_expand_nmax =
4920         save_expand_strings(save_expand_nstring, save_expand_nlength);
4921       uschar * save_lookup_value = lookup_value;
4922
4923       Uskip_whitespace(&s);
4924       if (!(next_s = eval_condition(s, &resetok, flags & ESI_SKIPPING ? NULL : &cond)))
4925         goto EXPAND_FAILED;  /* message already set */
4926
4927       DEBUG(D_expand)
4928         {
4929         debug_expansion_interim(US"condition", s, (int)(next_s - s), flags);
4930         debug_expansion_interim(US"result",
4931           cond ? US"true" : US"false", cond ? 4 : 5, flags);
4932         }
4933
4934       s = next_s;
4935
4936       /* The handling of "yes" and "no" result strings is now in a separate
4937       function that is also used by ${lookup} and ${extract} and ${run}. */
4938
4939       switch(process_yesno(
4940                flags,                   /* were previously skipping */
4941                cond,                    /* success/failure indicator */
4942                lookup_value,                    /* value to reset for string2 */
4943                &s,                      /* input pointer */
4944                &yield,                  /* output pointer */
4945                US"if",                  /* condition type */
4946                &resetok))
4947         {
4948         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4949         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4950         }
4951
4952       /* Restore external setting of expansion variables for continuation
4953       at this level. */
4954
4955       lookup_value = save_lookup_value;
4956       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4957         save_expand_nlength);
4958       break;
4959       }
4960
4961 #ifdef SUPPORT_I18N
4962     case EITEM_IMAPFOLDER:
4963       {                         /* ${imapfolder {name}{sep}{specials}} */
4964       uschar *sub_arg[3];
4965       uschar *encoded;
4966
4967       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, flags, TRUE, name, &resetok, NULL))
4968         {
4969         case 1: goto EXPAND_FAILED_CURLY;
4970         case 2:
4971         case 3: goto EXPAND_FAILED;
4972         }
4973
4974       if (!sub_arg[1])                  /* One argument */
4975         {
4976         sub_arg[1] = US"/";             /* default separator */
4977         sub_arg[2] = NULL;
4978         }
4979       else if (Ustrlen(sub_arg[1]) != 1)
4980         {
4981         expand_string_message =
4982           string_sprintf(
4983                 "IMAP folder separator must be one character, found \"%s\"",
4984                 sub_arg[1]);
4985         goto EXPAND_FAILED;
4986         }
4987
4988       if (flags & ESI_SKIPPING) continue;
4989
4990       if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4991                           sub_arg[1][0], sub_arg[2], &expand_string_message)))
4992         goto EXPAND_FAILED;
4993       yield = string_cat(yield, encoded);
4994       break;
4995       }
4996 #endif
4997
4998     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4999     expanding an internal string that isn't actually going to be used. All we
5000     need to do is check the syntax, so don't do a lookup at all. Preserve the
5001     values of the numerical expansion variables in case they get changed by a
5002     partial lookup. If not, they retain their external settings. At the end
5003     of this "lookup" section, they get restored to their previous values. */
5004
5005     case EITEM_LOOKUP:
5006       {
5007       int stype, partial, affixlen, starflags;
5008       int expand_setup = 0;
5009       int nameptr = 0;
5010       uschar * key, * filename;
5011       const uschar * affix, * opts;
5012       uschar * save_lookup_value = lookup_value;
5013       int save_expand_nmax =
5014         save_expand_strings(save_expand_nstring, save_expand_nlength);
5015
5016       if (expand_forbid & RDO_LOOKUP)
5017         {
5018         expand_string_message = US"lookup expansions are not permitted";
5019         goto EXPAND_FAILED;
5020         }
5021
5022       /* Get the key we are to look up for single-key+file style lookups.
5023       Otherwise set the key NULL pro-tem. */
5024
5025       if (Uskip_whitespace(&s) == '{')                                  /*}*/
5026         {
5027         key = expand_string_internal(s+1,
5028                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
5029         if (!key) goto EXPAND_FAILED;                   /*{{*/
5030         if (*s++ != '}')
5031           {
5032           expand_string_message = US"missing '}' after lookup key";
5033           goto EXPAND_FAILED_CURLY;
5034           }
5035         Uskip_whitespace(&s);
5036         }
5037       else key = NULL;
5038
5039       /* Find out the type of database */
5040
5041       if (!isalpha(*s))
5042         {
5043         expand_string_message = US"missing lookup type";
5044         goto EXPAND_FAILED;
5045         }
5046
5047       /* The type is a string that may contain special characters of various
5048       kinds. Allow everything except space or { to appear; the actual content
5049       is checked by search_findtype_partial. */         /*}*/
5050
5051       while (*s && *s != '{' && !isspace(*s))           /*}*/
5052         {
5053         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
5054         s++;
5055         }
5056       name[nameptr] = '\0';
5057       Uskip_whitespace(&s);
5058
5059       /* Now check for the individual search type and any partial or default
5060       options. Only those types that are actually in the binary are valid. */
5061
5062       if ((stype = search_findtype_partial(name, &partial, &affix, &affixlen,
5063           &starflags, &opts)) < 0)
5064         {
5065         expand_string_message = search_error_message;
5066         goto EXPAND_FAILED;
5067         }
5068
5069       /* Check that a key was provided for those lookup types that need it,
5070       and was not supplied for those that use the query style. */
5071
5072       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
5073         {
5074         if (!key)
5075           {
5076           expand_string_message = string_sprintf("missing {key} for single-"
5077             "key \"%s\" lookup", name);
5078           goto EXPAND_FAILED;
5079           }
5080         }
5081       else if (key)
5082         {
5083         expand_string_message = string_sprintf("a single key was given for "
5084           "lookup type \"%s\", which is not a single-key lookup type", name);
5085         goto EXPAND_FAILED;
5086         }
5087
5088       /* Get the next string in brackets and expand it. It is the file name for
5089       single-key+file lookups, and the whole query otherwise. In the case of
5090       queries that also require a file name (e.g. sqlite), the file name comes
5091       first. */
5092
5093       if (*s != '{')
5094         {
5095         expand_string_message = US"missing '{' for lookup file-or-query arg";
5096         goto EXPAND_FAILED_CURLY;                                               /*}}*/
5097         }
5098       if (!(filename = expand_string_internal(s+1,
5099                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
5100         goto EXPAND_FAILED;
5101                                                                                 /*{{*/
5102       if (*s++ != '}')
5103         {
5104         expand_string_message = US"missing '}' closing lookup file-or-query arg";
5105         goto EXPAND_FAILED_CURLY;
5106         }
5107       Uskip_whitespace(&s);
5108
5109       /* If this isn't a single-key+file lookup, re-arrange the variables
5110       to be appropriate for the search_ functions. For query-style lookups,
5111       there is just a "key", and no file name. For the special query-style +
5112       file types, the query (i.e. "key") starts with a file name. */
5113
5114       if (!key)
5115         key = search_args(stype, name, filename, &filename, opts);
5116
5117       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
5118       the entry was not found. Note that there is no search_close() function.
5119       Files are left open in case of re-use. At suitable places in higher logic,
5120       search_tidyup() is called to tidy all open files. This can save opening
5121       the same file several times. However, files may also get closed when
5122       others are opened, if too many are open at once. The rule is that a
5123       handle should not be used after a second search_open().
5124
5125       Request that a partial search sets up $1 and maybe $2 by passing
5126       expand_setup containing zero. If its value changes, reset expand_nmax,
5127       since new variables will have been set. Note that at the end of this
5128       "lookup" section, the old numeric variables are restored. */
5129
5130       if (flags & ESI_SKIPPING)
5131         lookup_value = NULL;
5132       else
5133         {
5134         void * handle = search_open(filename, stype, 0, NULL, NULL);
5135         if (!handle)
5136           {
5137           expand_string_message = search_error_message;
5138           goto EXPAND_FAILED;
5139           }
5140         lookup_value = search_find(handle, filename, key, partial, affix,
5141           affixlen, starflags, &expand_setup, opts);
5142         if (f.search_find_defer)
5143           {
5144           expand_string_message =
5145             string_sprintf("lookup of \"%s\" gave DEFER: %s",
5146               string_printing2(key, SP_TAB), search_error_message);
5147           goto EXPAND_FAILED;
5148           }
5149         if (expand_setup > 0) expand_nmax = expand_setup;
5150         }
5151
5152       /* The handling of "yes" and "no" result strings is now in a separate
5153       function that is also used by ${if} and ${extract}. */
5154
5155       switch(process_yesno(
5156                flags,                   /* were previously skipping */
5157                lookup_value != NULL,    /* success/failure indicator */
5158                save_lookup_value,       /* value to reset for string2 */
5159                &s,                      /* input pointer */
5160                &yield,                  /* output pointer */
5161                US"lookup",              /* condition type */
5162                &resetok))
5163         {
5164         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5165         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5166         }
5167
5168       /* Restore external setting of expansion variables for carrying on
5169       at this level, and continue. */
5170
5171       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5172         save_expand_nlength);
5173
5174       if (flags & ESI_SKIPPING) continue;
5175       break;
5176       }
5177
5178     /* If Perl support is configured, handle calling embedded perl subroutines,
5179     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
5180     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
5181     arguments (defined below). */
5182
5183 #define EXIM_PERL_MAX_ARGS 8
5184
5185     case EITEM_PERL:
5186 #ifndef EXIM_PERL
5187       expand_string_message = US"\"${perl\" encountered, but this facility "    /*}*/
5188         "is not included in this binary";
5189       goto EXPAND_FAILED;
5190
5191 #else   /* EXIM_PERL */
5192       {
5193       uschar * sub_arg[EXIM_PERL_MAX_ARGS + 2];
5194       gstring * new_yield;
5195
5196       if (expand_forbid & RDO_PERL)
5197         {
5198         expand_string_message = US"Perl calls are not permitted";
5199         goto EXPAND_FAILED;
5200         }
5201
5202       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, flags, TRUE,
5203            name, &resetok, NULL))
5204         {
5205         case -1: continue;      /* If skipping, we don't actually do anything */
5206         case 1: goto EXPAND_FAILED_CURLY;
5207         case 2:
5208         case 3: goto EXPAND_FAILED;
5209         }
5210
5211       /* Start the interpreter if necessary */
5212
5213       if (!opt_perl_started)
5214         {
5215         uschar * initerror;
5216         if (!opt_perl_startup)
5217           {
5218           expand_string_message = US"A setting of perl_startup is needed when "
5219             "using the Perl interpreter";
5220           goto EXPAND_FAILED;
5221           }
5222         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
5223         if ((initerror = init_perl(opt_perl_startup)))
5224           {
5225           expand_string_message =
5226             string_sprintf("error in perl_startup code: %s\n", initerror);
5227           goto EXPAND_FAILED;
5228           }
5229         opt_perl_started = TRUE;
5230         }
5231
5232       /* Call the function */
5233
5234       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
5235       new_yield = call_perl_cat(yield, &expand_string_message,
5236         sub_arg[0], sub_arg + 1);
5237
5238       /* NULL yield indicates failure; if the message pointer has been set to
5239       NULL, the yield was undef, indicating a forced failure. Otherwise the
5240       message will indicate some kind of Perl error. */
5241
5242       if (!new_yield)
5243         {
5244         if (!expand_string_message)
5245           {
5246           expand_string_message =
5247             string_sprintf("Perl subroutine \"%s\" returned undef to force "
5248               "failure", sub_arg[0]);
5249           f.expand_string_forcedfail = TRUE;
5250           }
5251         goto EXPAND_FAILED;
5252         }
5253
5254       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
5255       set during a callback from Perl. */
5256
5257       f.expand_string_forcedfail = FALSE;
5258       yield = new_yield;
5259       break;
5260       }
5261 #endif /* EXIM_PERL */
5262
5263     /* Transform email address to "prvs" scheme to use
5264        as BATV-signed return path */
5265
5266     case EITEM_PRVS:
5267       {
5268       uschar * sub_arg[3], * p, * domain;
5269
5270       switch(read_subs(sub_arg, 3, 2, &s, flags, TRUE, name, &resetok, NULL))
5271         {
5272         case -1: continue;      /* If skipping, we don't actually do anything */
5273         case 1: goto EXPAND_FAILED_CURLY;
5274         case 2:
5275         case 3: goto EXPAND_FAILED;
5276         }
5277
5278       /* sub_arg[0] is the address */
5279       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
5280          || domain == sub_arg[0] || Ustrlen(domain) == 1)
5281         {
5282         expand_string_message = US"prvs first argument must be a qualified email address";
5283         goto EXPAND_FAILED;
5284         }
5285
5286       /* Calculate the hash. The third argument must be a single-digit
5287       key number, or unset. */
5288
5289       if (  sub_arg[2]
5290          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
5291         {
5292         expand_string_message = US"prvs third argument must be a single digit";
5293         goto EXPAND_FAILED;
5294         }
5295
5296       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
5297       if (!p)
5298         {
5299         expand_string_message = US"prvs hmac-sha1 conversion failed";
5300         goto EXPAND_FAILED;
5301         }
5302
5303       /* Now separate the domain from the local part */
5304       *domain++ = '\0';
5305
5306       yield = string_catn(yield, US"prvs=", 5);
5307       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
5308       yield = string_catn(yield, prvs_daystamp(7), 3);
5309       yield = string_catn(yield, p, 6);
5310       yield = string_catn(yield, US"=", 1);
5311       yield = string_cat (yield, sub_arg[0]);
5312       yield = string_catn(yield, US"@", 1);
5313       yield = string_cat (yield, domain);
5314
5315       break;
5316       }
5317
5318     /* Check a prvs-encoded address for validity */
5319
5320     case EITEM_PRVSCHECK:
5321       {
5322       uschar * sub_arg[3], * p;
5323       gstring * g;
5324       const pcre2_code * re;
5325
5326       /* Reset expansion variables */
5327       prvscheck_result = NULL;
5328       prvscheck_address = NULL;
5329       prvscheck_keynum = NULL;
5330
5331       switch(read_subs(sub_arg, 1, 1, &s, flags, FALSE, name, &resetok, NULL))
5332         {
5333         case 1: goto EXPAND_FAILED_CURLY;
5334         case 2:
5335         case 3: goto EXPAND_FAILED;
5336         }
5337
5338       re = regex_must_compile(
5339         US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
5340         MCS_CASELESS | MCS_CACHEABLE, FALSE);
5341
5342       if (regex_match_and_setup(re,sub_arg[0],0,-1))
5343         {
5344         uschar * local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
5345         uschar * key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
5346         uschar * daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
5347         uschar * hash = string_copyn(expand_nstring[3],expand_nlength[3]);
5348         uschar * domain = string_copyn(expand_nstring[5],expand_nlength[5]);
5349
5350         DEBUG(D_expand)
5351           {
5352           debug_printf_indent("prvscheck localpart: %s\n", local_part);
5353           debug_printf_indent("prvscheck key number: %s\n", key_num);
5354           debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
5355           debug_printf_indent("prvscheck hash: %s\n", hash);
5356           debug_printf_indent("prvscheck domain: %s\n", domain);
5357           }
5358
5359         /* Set up expansion variables */
5360         g = string_cat (NULL, local_part);
5361         g = string_catn(g, US"@", 1);
5362         g = string_cat (g, domain);
5363         prvscheck_address = string_from_gstring(g);
5364         prvscheck_keynum = string_copy(key_num);
5365
5366         /* Now expand the second argument */
5367         switch(read_subs(sub_arg, 1, 1, &s, flags, FALSE, name, &resetok, NULL))
5368           {
5369           case 1: goto EXPAND_FAILED_CURLY;
5370           case 2:
5371           case 3: goto EXPAND_FAILED;
5372           }
5373
5374         /* Now we have the key and can check the address. */
5375
5376         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
5377           daystamp);
5378         if (!p)
5379           {
5380           expand_string_message = US"hmac-sha1 conversion failed";
5381           goto EXPAND_FAILED;
5382           }
5383
5384         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
5385         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
5386
5387         if (Ustrcmp(p,hash) == 0)
5388           {
5389           /* Success, valid BATV address. Now check the expiry date. */
5390           uschar *now = prvs_daystamp(0);
5391           unsigned int inow = 0,iexpire = 1;
5392
5393           (void)sscanf(CS now,"%u",&inow);
5394           (void)sscanf(CS daystamp,"%u",&iexpire);
5395
5396           /* When "iexpire" is < 7, a "flip" has occurred.
5397              Adjust "inow" accordingly. */
5398           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
5399
5400           if (iexpire >= inow)
5401             {
5402             prvscheck_result = US"1";
5403             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $prvscheck_result set to 1\n");
5404             }
5405           else
5406             {
5407             prvscheck_result = NULL;
5408             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $prvscheck_result unset\n");
5409             }
5410           }
5411         else
5412           {
5413           prvscheck_result = NULL;
5414           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $prvscheck_result unset\n");
5415           }
5416
5417         /* Now expand the final argument. We leave this till now so that
5418         it can include $prvscheck_result. */
5419
5420         switch(read_subs(sub_arg, 1, 0, &s, flags, TRUE, name, &resetok, NULL))
5421           {
5422           case 1: goto EXPAND_FAILED_CURLY;
5423           case 2:
5424           case 3: goto EXPAND_FAILED;
5425           }
5426
5427         yield = string_cat(yield,
5428           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
5429
5430         /* Reset the "internal" variables afterwards, because they are in
5431         dynamic store that will be reclaimed if the expansion succeeded. */
5432
5433         prvscheck_address = NULL;
5434         prvscheck_keynum = NULL;
5435         }
5436       else
5437         /* Does not look like a prvs encoded address, return the empty string.
5438            We need to make sure all subs are expanded first, so as to skip over
5439            the entire item. */
5440
5441         switch(read_subs(sub_arg, 2, 1, &s, flags, TRUE, name, &resetok, NULL))
5442           {
5443           case 1: goto EXPAND_FAILED_CURLY;
5444           case 2:
5445           case 3: goto EXPAND_FAILED;
5446           }
5447
5448       if (flags & ESI_SKIPPING) continue;
5449       break;
5450       }
5451
5452     /* Handle "readfile" to insert an entire file */
5453
5454     case EITEM_READFILE:
5455       {
5456       FILE * f;
5457       uschar * sub_arg[2];
5458
5459       if ((expand_forbid & RDO_READFILE) != 0)
5460         {
5461         expand_string_message = US"file insertions are not permitted";
5462         goto EXPAND_FAILED;
5463         }
5464
5465       switch(read_subs(sub_arg, 2, 1, &s, flags, TRUE, name, &resetok, NULL))
5466         {
5467         case -1: continue;      /* If skipping, we don't actually do anything */
5468         case 1: goto EXPAND_FAILED_CURLY;
5469         case 2:
5470         case 3: goto EXPAND_FAILED;
5471         }
5472
5473       /* Open the file and read it */
5474
5475       if (!(f = Ufopen(sub_arg[0], "rb")))
5476         {
5477         expand_string_message = string_open_failed("%s", sub_arg[0]);
5478         goto EXPAND_FAILED;
5479         }
5480
5481       yield = cat_file(f, yield, sub_arg[1]);
5482       (void)fclose(f);
5483       break;
5484       }
5485
5486     /* Handle "readsocket" to insert data from a socket, either
5487     Inet or Unix domain */
5488
5489     case EITEM_READSOCK:
5490       {
5491       uschar * arg;
5492       uschar * sub_arg[4];
5493
5494       if (expand_forbid & RDO_READSOCK)
5495         {
5496         expand_string_message = US"socket insertions are not permitted";
5497         goto EXPAND_FAILED;
5498         }
5499
5500       /* Read up to 4 arguments, but don't do the end of item check afterwards,
5501       because there may be a string for expansion on failure. */
5502
5503       switch(read_subs(sub_arg, 4, 2, &s, flags, FALSE, name, &resetok, NULL))
5504         {
5505         case 1: goto EXPAND_FAILED_CURLY;
5506         case 2:                             /* Won't occur: no end check */
5507         case 3: goto EXPAND_FAILED;
5508         }
5509
5510       /* If skipping, we don't actually do anything. Otherwise, arrange to
5511       connect to either an IP or a Unix socket. */
5512
5513       if (!(flags & ESI_SKIPPING))
5514         {
5515         int stype = search_findtype(US"readsock", 8);
5516         gstring * g = NULL;
5517         void * handle;
5518         int expand_setup = -1;
5519         uschar * s;
5520
5521         /* If the reqstr is empty, flag that and set a dummy */
5522
5523         if (!sub_arg[1][0])
5524           {
5525           g = string_append_listele(g, ',', US"send=no");
5526           sub_arg[1] = US"DUMMY";
5527           }
5528
5529         /* Re-marshall the options */
5530
5531         if (sub_arg[2])
5532           {
5533           const uschar * list = sub_arg[2];
5534           uschar * item;
5535           int sep = 0;
5536
5537           /* First option has no tag and is timeout */
5538           if ((item = string_nextinlist(&list, &sep, NULL, 0)))
5539             g = string_append_listele(g, ',',
5540                   string_sprintf("timeout=%s", item));
5541
5542           /* The rest of the options from the expansion */
5543           while ((item = string_nextinlist(&list, &sep, NULL, 0)))
5544             g = string_append_listele(g, ',', item);
5545
5546           /* possibly plus an EOL string.  Process with escapes, to protect
5547           from list-processing.  The only current user of eol= in search
5548           options is the readsock expansion. */
5549
5550           if (sub_arg[3] && *sub_arg[3])
5551             g = string_append_listele(g, ',',
5552                   string_sprintf("eol=%s",
5553                     string_printing2(sub_arg[3], SP_TAB|SP_SPACE)));
5554           }
5555
5556         /* Gat a (possibly cached) handle for the connection */
5557
5558         if (!(handle = search_open(sub_arg[0], stype, 0, NULL, NULL)))
5559           {
5560           if (*expand_string_message) goto EXPAND_FAILED;
5561           expand_string_message = search_error_message;
5562           search_error_message = NULL;
5563           goto SOCK_FAIL;
5564           }
5565
5566         /* Get (possibly cached) results for the lookup */
5567         /* sspec: sub_arg[0]  req: sub_arg[1]  opts: g */
5568
5569         if ((s = search_find(handle, sub_arg[0], sub_arg[1], -1, NULL, 0, 0,
5570                                     &expand_setup, string_from_gstring(g))))
5571           yield = string_cat(yield, s);
5572         else if (f.search_find_defer)
5573           {
5574           expand_string_message = search_error_message;
5575           search_error_message = NULL;
5576           goto SOCK_FAIL;
5577           }
5578         else
5579           {     /* should not happen, at present */
5580           expand_string_message = search_error_message;
5581           search_error_message = NULL;
5582           goto SOCK_FAIL;
5583           }
5584         }
5585
5586       /* The whole thing has worked (or we were skipping). If there is a
5587       failure string following, we need to skip it. */
5588
5589       if (*s == '{')                                                    /*}*/
5590         {
5591         if (!expand_string_internal(s+1,
5592           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &s, &resetok, NULL))
5593           goto EXPAND_FAILED;                                           /*{*/
5594         if (*s++ != '}')
5595           {                                                             /*{*/
5596           expand_string_message = US"missing '}' closing failstring for readsocket";
5597           goto EXPAND_FAILED_CURLY;
5598           }
5599         Uskip_whitespace(&s);
5600         }
5601
5602     READSOCK_DONE:                                                      /*{*/
5603       if (*s++ != '}')
5604         {                                                               /*{*/
5605         expand_string_message = US"missing '}' closing readsocket";
5606         goto EXPAND_FAILED_CURLY;
5607         }
5608       if (flags & ESI_SKIPPING) continue;
5609       break;
5610
5611       /* Come here on failure to create socket, connect socket, write to the
5612       socket, or timeout on reading. If another substring follows, expand and
5613       use it. Otherwise, those conditions give expand errors. */
5614
5615     SOCK_FAIL:
5616       if (*s != '{') goto EXPAND_FAILED;                                /*}*/
5617       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
5618       if (!(arg = expand_string_internal(s+1,
5619                     ESI_BRACE_ENDS | ESI_HONOR_DOLLAR, &s, &resetok, NULL)))
5620         goto EXPAND_FAILED;
5621       yield = string_cat(yield, arg);                                   /*{*/
5622       if (*s++ != '}')
5623         {                                                               /*{*/
5624         expand_string_message = US"missing '}' closing failstring for readsocket";
5625         goto EXPAND_FAILED_CURLY;
5626         }
5627       Uskip_whitespace(&s);
5628       goto READSOCK_DONE;
5629       }
5630
5631     /* Handle "run" to execute a program. */
5632
5633     case EITEM_RUN:
5634       {
5635       FILE * f;
5636       const uschar * arg, ** argv;
5637       unsigned late_expand = TSUC_EXPAND_ARGS | TSUC_ALLOW_TAINTED_ARGS | TSUC_ALLOW_RECIPIENTS;
5638
5639       if (expand_forbid & RDO_RUN)
5640         {
5641         expand_string_message = US"running a command is not permitted";
5642         goto EXPAND_FAILED;
5643         }
5644
5645       /* Handle options to the "run" */
5646
5647       while (*s == ',')
5648         if (Ustrncmp(++s, "preexpand", 9) == 0)
5649           { late_expand = 0; s += 9; }
5650         else
5651           {
5652           const uschar * t = s;
5653           while (isalpha(*++t)) ;
5654           expand_string_message = string_sprintf("bad option '%.*s' for run",
5655                                                   (int)(t-s), s);
5656           goto EXPAND_FAILED;
5657           }
5658       Uskip_whitespace(&s);
5659
5660       if (*s != '{')                                    /*}*/
5661         {
5662         expand_string_message = US"missing '{' for command arg of run";
5663         goto EXPAND_FAILED_CURLY;                       /*"}*/
5664         }
5665       s++;
5666
5667       if (late_expand)          /* this is the default case */
5668         {
5669         int n;
5670         const uschar * t;
5671         /* Locate the end of the args */
5672         (void) expand_string_internal(s,
5673           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &t, NULL, NULL);
5674         n = t - s;
5675         arg = flags & ESI_SKIPPING ? NULL : string_copyn(s, n);
5676         s += n;
5677         }
5678       else
5679         {
5680         DEBUG(D_expand)
5681           debug_printf_indent("args string for ${run} expand before split\n");
5682         if (!(arg = expand_string_internal(s,
5683                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
5684           goto EXPAND_FAILED;
5685         Uskip_whitespace(&s);
5686         }
5687                                                         /*{*/
5688       if (*s++ != '}')
5689         {                                               /*{*/
5690         expand_string_message = US"missing '}' closing command arg of run";
5691         goto EXPAND_FAILED_CURLY;
5692         }
5693
5694       if (flags & ESI_SKIPPING)   /* Just pretend it worked when we're skipping */
5695         {
5696         runrc = 0;
5697         lookup_value = NULL;
5698         }
5699       else
5700         {
5701         int fd_in, fd_out;
5702         pid_t pid;
5703
5704         if (!transport_set_up_command(&argv,    /* anchor for arg list */
5705             arg,                                /* raw command */
5706             late_expand,                /* expand args if not already done */
5707             0,                          /* not relevant when... */
5708             NULL,                       /* no transporting address */
5709             US"${run} expansion",       /* for error messages */
5710             &expand_string_message))    /* where to put error message */
5711           goto EXPAND_FAILED;
5712
5713         /* Create the child process, making it a group leader. */
5714
5715         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE,
5716                               US"expand-run")) < 0)
5717           {
5718           expand_string_message =
5719             string_sprintf("couldn't create child process: %s", strerror(errno));
5720           goto EXPAND_FAILED;
5721           }
5722
5723         /* Nothing is written to the standard input. */
5724
5725         (void)close(fd_in);
5726
5727         /* Read the pipe to get the command's output into $value (which is kept
5728         in lookup_value). Read during execution, so that if the output exceeds
5729         the OS pipe buffer limit, we don't block forever. Remember to not release
5730         memory just allocated for $value. */
5731
5732         resetok = FALSE;
5733         f = fdopen(fd_out, "rb");
5734         sigalrm_seen = FALSE;
5735         ALARM(60);
5736         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5737         ALARM_CLR(0);
5738         (void)fclose(f);
5739
5740         /* Wait for the process to finish, applying the timeout, and inspect its
5741         return code for serious disasters. Simple non-zero returns are passed on.
5742         */
5743
5744         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5745           {
5746           if (sigalrm_seen || runrc == -256)
5747             {
5748             expand_string_message = US"command timed out";
5749             killpg(pid, SIGKILL);       /* Kill the whole process group */
5750             }
5751
5752           else if (runrc == -257)
5753             expand_string_message = string_sprintf("wait() failed: %s",
5754               strerror(errno));
5755
5756           else
5757             expand_string_message = string_sprintf("command killed by signal %d",
5758               -runrc);
5759
5760           goto EXPAND_FAILED;
5761           }
5762         }
5763
5764       /* Process the yes/no strings; $value may be useful in both cases */
5765
5766       switch(process_yesno(
5767                flags,                   /* were previously skipping */
5768                runrc == 0,              /* success/failure indicator */
5769                lookup_value,            /* value to reset for string2 */
5770                &s,                      /* input pointer */
5771                &yield,                  /* output pointer */
5772                US"run",                 /* condition type */
5773                &resetok))
5774         {
5775         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5776         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5777         }
5778
5779       if (flags & ESI_SKIPPING) continue;
5780       break;
5781       }
5782
5783     /* Handle character translation for "tr" */
5784
5785     case EITEM_TR:
5786       {
5787       int oldptr = gstring_length(yield);
5788       int o2m;
5789       uschar * sub[3];
5790
5791       switch(read_subs(sub, 3, 3, &s, flags, TRUE, name, &resetok, NULL))
5792         {
5793         case -1: continue;      /* skipping */
5794         case 1: goto EXPAND_FAILED_CURLY;
5795         case 2:
5796         case 3: goto EXPAND_FAILED;
5797         }
5798
5799       if (  (yield = string_cat(yield, sub[0]))
5800          && (o2m = Ustrlen(sub[2]) - 1) >= 0)
5801           for (; oldptr < yield->ptr; oldptr++)
5802         {
5803         uschar * m = Ustrrchr(sub[1], yield->s[oldptr]);
5804         if (m)
5805           {
5806           int o = m - sub[1];
5807           yield->s[oldptr] = sub[2][o < o2m ? o : o2m];
5808           }
5809         }
5810
5811       break;
5812       }
5813
5814     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5815     expanded arguments. */
5816
5817     case EITEM_HASH:
5818     case EITEM_LENGTH:
5819     case EITEM_NHASH:
5820     case EITEM_SUBSTR:
5821       {
5822       int len;
5823       uschar *ret;
5824       int val[2] = { 0, -1 };
5825       uschar * sub[3];
5826
5827       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5828       Ensure that sub[2] is set in the ${length } case. */
5829
5830       sub[2] = NULL;
5831       switch(read_subs(sub, item_type == EITEM_LENGTH ? 2:3, 2, &s, flags,
5832              TRUE, name, &resetok, NULL))
5833         {
5834         case -1: continue;      /* skipping */
5835         case 1: goto EXPAND_FAILED_CURLY;
5836         case 2:
5837         case 3: goto EXPAND_FAILED;
5838         }
5839
5840       /* Juggle the arguments if there are only two of them: always move the
5841       string to the last position and make ${length{n}{str}} equivalent to
5842       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5843
5844       if (!sub[2])
5845         {
5846         sub[2] = sub[1];
5847         sub[1] = NULL;
5848         if (item_type == EITEM_LENGTH)
5849           {
5850           sub[1] = sub[0];
5851           sub[0] = NULL;
5852           }
5853         }
5854
5855       for (int i = 0; i < 2; i++) if (sub[i])
5856         {
5857         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5858         if (*ret != 0 || (i != 0 && val[i] < 0))
5859           {
5860           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5861             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5862           goto EXPAND_FAILED;
5863           }
5864         }
5865
5866       ret =
5867         item_type == EITEM_HASH
5868         ?  compute_hash(sub[2], val[0], val[1], &len)
5869         : item_type == EITEM_NHASH
5870         ? compute_nhash(sub[2], val[0], val[1], &len)
5871         : extract_substr(sub[2], val[0], val[1], &len);
5872       if (!ret)
5873         goto EXPAND_FAILED;
5874       yield = string_catn(yield, ret, len);
5875       break;
5876       }
5877
5878     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5879     This code originally contributed by Steve Haslam. It currently supports
5880     the use of MD5 and SHA-1 hashes.
5881
5882     We need some workspace that is large enough to handle all the supported
5883     hash types. Use macros to set the sizes rather than be too elaborate. */
5884
5885     #define MAX_HASHLEN      20
5886     #define MAX_HASHBLOCKLEN 64
5887
5888     case EITEM_HMAC:
5889       {
5890       uschar * sub[3];
5891       md5 md5_base;
5892       hctx sha1_ctx;
5893       void * use_base;
5894       int type;
5895       int hashlen;      /* Number of octets for the hash algorithm's output */
5896       int hashblocklen; /* Number of octets the hash algorithm processes */
5897       uschar * keyptr, * p;
5898       unsigned int keylen;
5899
5900       uschar keyhash[MAX_HASHLEN];
5901       uschar innerhash[MAX_HASHLEN];
5902       uschar finalhash[MAX_HASHLEN];
5903       uschar finalhash_hex[2*MAX_HASHLEN];
5904       uschar innerkey[MAX_HASHBLOCKLEN];
5905       uschar outerkey[MAX_HASHBLOCKLEN];
5906
5907       switch (read_subs(sub, 3, 3, &s, flags, TRUE, name, &resetok, NULL))
5908         {
5909         case -1: continue;      /* skipping */
5910         case 1: goto EXPAND_FAILED_CURLY;
5911         case 2:
5912         case 3: goto EXPAND_FAILED;
5913         }
5914
5915       if (Ustrcmp(sub[0], "md5") == 0)
5916         {
5917         type = HMAC_MD5;
5918         use_base = &md5_base;
5919         hashlen = 16;
5920         hashblocklen = 64;
5921         }
5922       else if (Ustrcmp(sub[0], "sha1") == 0)
5923         {
5924         type = HMAC_SHA1;
5925         use_base = &sha1_ctx;
5926         hashlen = 20;
5927         hashblocklen = 64;
5928         }
5929       else
5930         {
5931         expand_string_message =
5932           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5933         goto EXPAND_FAILED;
5934         }
5935
5936       keyptr = sub[1];
5937       keylen = Ustrlen(keyptr);
5938
5939       /* If the key is longer than the hash block length, then hash the key
5940       first */
5941
5942       if (keylen > hashblocklen)
5943         {
5944         chash_start(type, use_base);
5945         chash_end(type, use_base, keyptr, keylen, keyhash);
5946         keyptr = keyhash;
5947         keylen = hashlen;
5948         }
5949
5950       /* Now make the inner and outer key values */
5951
5952       memset(innerkey, 0x36, hashblocklen);
5953       memset(outerkey, 0x5c, hashblocklen);
5954
5955       for (int i = 0; i < keylen; i++)
5956         {
5957         innerkey[i] ^= keyptr[i];
5958         outerkey[i] ^= keyptr[i];
5959         }
5960
5961       /* Now do the hashes */
5962
5963       chash_start(type, use_base);
5964       chash_mid(type, use_base, innerkey);
5965       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5966
5967       chash_start(type, use_base);
5968       chash_mid(type, use_base, outerkey);
5969       chash_end(type, use_base, innerhash, hashlen, finalhash);
5970
5971       /* Encode the final hash as a hex string */
5972
5973       p = finalhash_hex;
5974       for (int i = 0; i < hashlen; i++)
5975         {
5976         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5977         *p++ = hex_digits[finalhash[i] & 0x0f];
5978         }
5979
5980       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5981         sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5982
5983       yield = string_catn(yield, finalhash_hex, hashlen*2);
5984       break;
5985       }
5986
5987     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5988     We have to save the numerical variables and restore them afterwards. */
5989
5990     case EITEM_SG:
5991       {
5992       const pcre2_code * re;
5993       int moffset, moffsetextra, slen;
5994       pcre2_match_data * md;
5995       int emptyopt;
5996       uschar * subject, * sub[3];
5997       int save_expand_nmax =
5998         save_expand_strings(save_expand_nstring, save_expand_nlength);
5999       unsigned sub_textonly = 0;
6000
6001       switch(read_subs(sub, 3, 3, &s, flags, TRUE, name, &resetok, &sub_textonly))
6002         {
6003         case -1: continue;      /* skipping */
6004         case 1: goto EXPAND_FAILED_CURLY;
6005         case 2:
6006         case 3: goto EXPAND_FAILED;
6007         }
6008
6009       /* Compile the regular expression */
6010
6011       re = regex_compile(sub[1],
6012               sub_textonly & BIT(1) ? MCS_CACHEABLE : MCS_NOFLAGS,
6013               &expand_string_message, pcre_gen_cmp_ctx);
6014       if (!re)
6015         goto EXPAND_FAILED;
6016
6017       md = pcre2_match_data_create(EXPAND_MAXN + 1, pcre_gen_ctx);
6018
6019       /* Now run a loop to do the substitutions as often as necessary. It ends
6020       when there are no more matches. Take care over matches of the null string;
6021       do the same thing as Perl does. */
6022
6023       subject = sub[0];
6024       slen = Ustrlen(sub[0]);
6025       moffset = moffsetextra = 0;
6026       emptyopt = 0;
6027
6028       for (;;)
6029         {
6030         PCRE2_SIZE * ovec = pcre2_get_ovector_pointer(md);
6031         int n = pcre2_match(re, (PCRE2_SPTR)subject, slen, moffset + moffsetextra,
6032           PCRE_EOPT | emptyopt, md, pcre_gen_mtc_ctx);
6033         uschar * insert;
6034
6035         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
6036         is not necessarily the end. We want to repeat the match from one
6037         character further along, but leaving the basic offset the same (for
6038         copying below). We can't be at the end of the string - that was checked
6039         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
6040         finished; copy the remaining string and end the loop. */
6041
6042         if (n < 0)
6043           {
6044           if (emptyopt != 0)
6045             {
6046             moffsetextra = 1;
6047             emptyopt = 0;
6048             continue;
6049             }
6050           yield = string_catn(yield, subject+moffset, slen-moffset);
6051           break;
6052           }
6053
6054         /* Match - set up for expanding the replacement. */
6055         DEBUG(D_expand) debug_printf_indent("%s: match\n", name);
6056
6057         if (n == 0) n = EXPAND_MAXN + 1;
6058         expand_nmax = 0;
6059         for (int nn = 0; nn < n*2; nn += 2)
6060           {
6061           expand_nstring[expand_nmax] = subject + ovec[nn];
6062           expand_nlength[expand_nmax++] = ovec[nn+1] - ovec[nn];
6063           }
6064         expand_nmax--;
6065
6066         /* Copy the characters before the match, plus the expanded insertion. */
6067
6068         yield = string_catn(yield, subject + moffset, ovec[0] - moffset);
6069
6070         if (!(insert = expand_string(sub[2])))
6071           goto EXPAND_FAILED;
6072         yield = string_cat(yield, insert);
6073
6074         moffset = ovec[1];
6075         moffsetextra = 0;
6076         emptyopt = 0;
6077
6078         /* If we have matched an empty string, first check to see if we are at
6079         the end of the subject. If so, the loop is over. Otherwise, mimic
6080         what Perl's /g options does. This turns out to be rather cunning. First
6081         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
6082         string at the same point. If this fails (picked up above) we advance to
6083         the next character. */
6084
6085         if (ovec[0] == ovec[1])
6086           {
6087           if (ovec[0] == slen) break;
6088           emptyopt = PCRE2_NOTEMPTY | PCRE2_ANCHORED;
6089           }
6090         }
6091
6092       /* All done - restore numerical variables. */
6093
6094       /* pcre2_match_data_free(md);     gen ctx needs no free */
6095       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6096         save_expand_nlength);
6097       break;
6098       }
6099
6100     /* Handle keyed and numbered substring extraction. If the first argument
6101     consists entirely of digits, then a numerical extraction is assumed. */
6102
6103     case EITEM_EXTRACT:
6104       {
6105       int field_number = 1;
6106       BOOL field_number_set = FALSE;
6107       uschar * save_lookup_value = lookup_value, * sub[3];
6108       int save_expand_nmax =
6109         save_expand_strings(save_expand_nstring, save_expand_nlength);
6110
6111       /* On reflection the original behaviour of extract-json for a string
6112       result, leaving it quoted, was a mistake.  But it was already published,
6113       hence the addition of jsons.  In a future major version, make json
6114       work like josons, and withdraw jsons. */
6115
6116       enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
6117
6118       /* Check for a format-variant specifier */
6119
6120       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6121         if (Ustrncmp(s, "json", 4) == 0)
6122           if (*(s += 4) == 's')
6123             {fmt = extract_jsons; s++;}
6124           else
6125             fmt = extract_json;
6126
6127       /* While skipping we cannot rely on the data for expansions being
6128       available (eg. $item) hence cannot decide on numeric vs. keyed.
6129       Read a maximum of 5 arguments (including the yes/no) */
6130
6131       if (flags & ESI_SKIPPING)
6132         {
6133         for (int j = 5; j > 0 && *s == '{'; j--)                        /*'}'*/
6134           {
6135           if (!expand_string_internal(s+1,
6136                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL))
6137             goto EXPAND_FAILED;                                 /*'{'*/
6138           if (*s++ != '}')
6139             {
6140             expand_string_message = US"missing '{' for arg of extract";
6141             goto EXPAND_FAILED_CURLY;
6142             }
6143           Uskip_whitespace(&s);
6144           }
6145         if (  Ustrncmp(s, "fail", 4) == 0                               /*'{'*/
6146            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
6147            )
6148           {
6149           s += 4;
6150           Uskip_whitespace(&s);
6151           }                                                             /*'{'*/
6152         if (*s != '}')
6153           {
6154           expand_string_message = US"missing '}' closing extract";
6155           goto EXPAND_FAILED_CURLY;
6156           }
6157         }
6158
6159       else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
6160         {
6161         if (Uskip_whitespace(&s) == '{')                                /*'}'*/
6162           {
6163           if (!(sub[i] = expand_string_internal(s+1,
6164                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
6165             goto EXPAND_FAILED;                                         /*'{'*/
6166           if (*s++ != '}')
6167             {
6168             expand_string_message = string_sprintf(
6169               "missing '}' closing arg %d of extract", i+1);
6170             goto EXPAND_FAILED_CURLY;
6171             }
6172
6173           /* After removal of leading and trailing white space, the first
6174           argument must not be empty; if it consists entirely of digits
6175           (optionally preceded by a minus sign), this is a numerical
6176           extraction, and we expect 3 arguments (normal) or 2 (json). */
6177
6178           if (i == 0)
6179             {
6180             int len;
6181             int x = 0;
6182             uschar * p = sub[0];
6183
6184             Uskip_whitespace(&p);
6185             sub[0] = p;
6186
6187             len = Ustrlen(p);
6188             while (len > 0 && isspace(p[len-1])) len--;
6189             p[len] = 0;
6190
6191             if (!*p)
6192               {
6193               expand_string_message = US"first argument of \"extract\" must "
6194                 "not be empty";
6195               goto EXPAND_FAILED;
6196               }
6197
6198             if (*p == '-')
6199               {
6200               field_number = -1;
6201               p++;
6202               }
6203             while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6204             if (!*p)
6205               {
6206               field_number *= x;
6207               if (fmt == extract_basic) j = 3;               /* Need 3 args */
6208               field_number_set = TRUE;
6209               }
6210             }
6211           }
6212         else
6213           {
6214           expand_string_message = string_sprintf(
6215             "missing '{' for arg %d of extract", i+1);
6216           goto EXPAND_FAILED_CURLY;
6217           }
6218         }
6219
6220       /* Extract either the numbered or the keyed substring into $value. If
6221       skipping, just pretend the extraction failed. */
6222
6223       if (flags & ESI_SKIPPING)
6224         lookup_value = NULL;
6225       else switch (fmt)
6226         {
6227         case extract_basic:
6228           lookup_value = field_number_set
6229             ? expand_gettokened(field_number, sub[1], sub[2])
6230             : expand_getkeyed(sub[0], sub[1]);
6231           break;
6232
6233         case extract_json:
6234         case extract_jsons:
6235           {
6236           uschar * s, * item;
6237           const uschar * list;
6238
6239           /* Array: Bracket-enclosed and comma-separated.
6240           Object: Brace-enclosed, comma-sep list of name:value pairs */
6241
6242           if (!(s = dewrap(sub[1], field_number_set ? US"[]" : US"{}")))
6243             {
6244             expand_string_message =
6245               string_sprintf("%s wrapping %s for extract json",
6246                 expand_string_message,
6247                 field_number_set ? "array" : "object");
6248             goto EXPAND_FAILED_CURLY;
6249             }
6250
6251           list = s;
6252           if (field_number_set)
6253             {
6254             if (field_number <= 0)
6255               {
6256               expand_string_message = US"first argument of \"extract\" must "
6257                 "be greater than zero";
6258               goto EXPAND_FAILED;
6259               }
6260             while (field_number > 0 && (item = json_nextinlist(&list)))
6261               field_number--;
6262             if ((lookup_value = s = item))
6263               {
6264               while (*s) s++;
6265               while (--s >= lookup_value && isspace(*s)) *s = '\0';
6266               }
6267             }
6268           else
6269             {
6270             lookup_value = NULL;
6271             while ((item = json_nextinlist(&list)))
6272               {
6273               /* Item is:  string name-sep value.  string is quoted.
6274               Dequote the string and compare with the search key. */
6275
6276               if (!(item = dewrap(item, US"\"\"")))
6277                 {
6278                 expand_string_message =
6279                   string_sprintf("%s wrapping string key for extract json",
6280                     expand_string_message);
6281                 goto EXPAND_FAILED_CURLY;
6282                 }
6283               if (Ustrcmp(item, sub[0]) == 0)   /*XXX should be a UTF8-compare */
6284                 {
6285                 s = item + Ustrlen(item) + 1;
6286                 if (Uskip_whitespace(&s) != ':')
6287                   {
6288                   expand_string_message =
6289                     US"missing object value-separator for extract json";
6290                   goto EXPAND_FAILED_CURLY;
6291                   }
6292                 s++;
6293                 Uskip_whitespace(&s);
6294                 lookup_value = s;
6295                 break;
6296                 }
6297               }
6298             }
6299           }
6300
6301           if (  fmt == extract_jsons
6302              && lookup_value
6303              && !(lookup_value = dewrap(lookup_value, US"\"\"")))
6304             {
6305             expand_string_message =
6306               string_sprintf("%s wrapping string result for extract jsons",
6307                 expand_string_message);
6308             goto EXPAND_FAILED_CURLY;
6309             }
6310           break;        /* json/s */
6311         }
6312
6313       /* If no string follows, $value gets substituted; otherwise there can
6314       be yes/no strings, as for lookup or if. */
6315
6316       switch(process_yesno(
6317                flags,                   /* were previously skipping */
6318                lookup_value != NULL,    /* success/failure indicator */
6319                save_lookup_value,       /* value to reset for string2 */
6320                &s,                      /* input pointer */
6321                &yield,                  /* output pointer */
6322                US"extract",             /* condition type */
6323                &resetok))
6324         {
6325         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6326         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6327         }
6328
6329       /* All done - restore numerical variables. */
6330
6331       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6332         save_expand_nlength);
6333
6334       if (flags & ESI_SKIPPING) continue;
6335       break;
6336       }
6337
6338     /* return the Nth item from a list */
6339
6340     case EITEM_LISTEXTRACT:
6341       {
6342       int field_number = 1;
6343       uschar * save_lookup_value = lookup_value, * sub[2];
6344       int save_expand_nmax =
6345         save_expand_strings(save_expand_nstring, save_expand_nlength);
6346
6347       /* Read the field & list arguments */
6348       /*XXX Could we use read_subs here (and get better efficiency for skipping)? */
6349
6350       for (int i = 0; i < 2; i++)
6351         {
6352         if (Uskip_whitespace(&s) != '{')                                /*}*/
6353           {
6354           expand_string_message = string_sprintf(
6355             "missing '{' for arg %d of listextract", i+1);              /*}*/
6356           goto EXPAND_FAILED_CURLY;
6357           }
6358
6359         sub[i] = expand_string_internal(s+1,
6360               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6361         if (!sub[i])     goto EXPAND_FAILED;                            /*{{*/
6362         if (*s++ != '}')
6363           {
6364           expand_string_message = string_sprintf(
6365             "missing '}' closing arg %d of listextract", i+1);
6366           goto EXPAND_FAILED_CURLY;
6367           }
6368
6369         /* After removal of leading and trailing white space, the first
6370         argument must be numeric and nonempty. */
6371
6372         if (i == 0)
6373           {
6374           int len;
6375           int x = 0;
6376           uschar *p = sub[0];
6377
6378           Uskip_whitespace(&p);
6379           sub[0] = p;
6380
6381           len = Ustrlen(p);
6382           while (len > 0 && isspace(p[len-1])) len--;
6383           p[len] = 0;
6384
6385           if (!*p && !(flags & ESI_SKIPPING))
6386             {
6387             expand_string_message = US"first argument of \"listextract\" must "
6388               "not be empty";
6389             goto EXPAND_FAILED;
6390             }
6391
6392           if (*p == '-')
6393             {
6394             field_number = -1;
6395             p++;
6396             }
6397           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6398           if (*p)
6399             {
6400             expand_string_message = US"first argument of \"listextract\" must "
6401               "be numeric";
6402             goto EXPAND_FAILED;
6403             }
6404           field_number *= x;
6405           }
6406         }
6407
6408       /* Extract the numbered element into $value. If
6409       skipping, just pretend the extraction failed. */
6410
6411       lookup_value = flags & ESI_SKIPPING ? NULL : expand_getlistele(field_number, sub[1]);
6412
6413       /* If no string follows, $value gets substituted; otherwise there can
6414       be yes/no strings, as for lookup or if. */
6415
6416       switch(process_yesno(
6417                flags,                           /* were previously skipping */
6418                lookup_value != NULL,            /* success/failure indicator */
6419                save_lookup_value,               /* value to reset for string2 */
6420                &s,                              /* input pointer */
6421                &yield,                          /* output pointer */
6422                US"listextract",                 /* condition type */
6423                &resetok))
6424         {
6425         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6426         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6427         }
6428
6429       /* All done - restore numerical variables. */
6430
6431       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6432         save_expand_nlength);
6433
6434       if (flags & ESI_SKIPPING) continue;
6435       break;
6436       }
6437
6438     case EITEM_LISTQUOTE:
6439       {
6440       uschar * sub[2];
6441       switch(read_subs(sub, 2, 2, &s, flags, TRUE, name, &resetok, NULL))
6442         {
6443         case -1: continue;      /* skipping */
6444         case 1: goto EXPAND_FAILED_CURLY;
6445         case 2:
6446         case 3: goto EXPAND_FAILED;
6447         }
6448       if (*sub[1]) for (uschar sep = *sub[0], c; c = *sub[1]; sub[1]++)
6449         {
6450         if (c == sep) yield = string_catn(yield, sub[1], 1);
6451         yield = string_catn(yield, sub[1], 1);
6452         }
6453       else yield = string_catn(yield, US" ", 1);
6454       break;
6455       }
6456
6457 #ifndef DISABLE_TLS
6458     case EITEM_CERTEXTRACT:
6459       {
6460       uschar * save_lookup_value = lookup_value, * sub[2];
6461       int save_expand_nmax =
6462         save_expand_strings(save_expand_nstring, save_expand_nlength);
6463
6464       /* Read the field argument */
6465       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6466         {
6467         expand_string_message = US"missing '{' for field arg of certextract";
6468         goto EXPAND_FAILED_CURLY;                                       /*}*/
6469         }
6470       sub[0] = expand_string_internal(s+1,
6471                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6472       if (!sub[0])     goto EXPAND_FAILED;                              /*{{*/
6473       if (*s++ != '}')
6474         {
6475         expand_string_message = US"missing '}' closing field arg of certextract";
6476         goto EXPAND_FAILED_CURLY;
6477         }
6478       /* strip spaces fore & aft */
6479       {
6480       int len;
6481       uschar *p = sub[0];
6482
6483       Uskip_whitespace(&p);
6484       sub[0] = p;
6485
6486       len = Ustrlen(p);
6487       while (len > 0 && isspace(p[len-1])) len--;
6488       p[len] = 0;
6489       }
6490
6491       /* inspect the cert argument */
6492       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6493         {
6494         expand_string_message = US"missing '{' for cert variable arg of certextract";
6495         goto EXPAND_FAILED_CURLY;                                       /*}*/
6496         }
6497       if (*++s != '$')
6498         {
6499         expand_string_message = US"second argument of \"certextract\" must "
6500           "be a certificate variable";
6501         goto EXPAND_FAILED;
6502         }
6503       sub[1] = expand_string_internal(s+1,
6504                 ESI_BRACE_ENDS | flags & ESI_SKIPPING, &s, &resetok, NULL);
6505       if (!sub[1])     goto EXPAND_FAILED;                              /*{{*/
6506       if (*s++ != '}')
6507         {
6508         expand_string_message = US"missing '}' closing cert variable arg of certextract";
6509         goto EXPAND_FAILED_CURLY;
6510         }
6511
6512       if (flags & ESI_SKIPPING)
6513         lookup_value = NULL;
6514       else
6515         {
6516         lookup_value = expand_getcertele(sub[0], sub[1]);
6517         if (*expand_string_message) goto EXPAND_FAILED;
6518         }
6519       switch(process_yesno(
6520                flags,                           /* were previously skipping */
6521                lookup_value != NULL,            /* success/failure indicator */
6522                save_lookup_value,               /* value to reset for string2 */
6523                &s,                              /* input pointer */
6524                &yield,                          /* output pointer */
6525                US"certextract",                 /* condition type */
6526                &resetok))
6527         {
6528         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6529         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6530         }
6531
6532       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6533         save_expand_nlength);
6534       if (flags & ESI_SKIPPING) continue;
6535       break;
6536       }
6537 #endif  /*DISABLE_TLS*/
6538
6539     /* Handle list operations */
6540
6541     case EITEM_FILTER:
6542     case EITEM_MAP:
6543     case EITEM_REDUCE:
6544       {
6545       int sep = 0, save_ptr = gstring_length(yield);
6546       uschar outsep[2] = { '\0', '\0' };
6547       const uschar *list, *expr, *temp;
6548       uschar * save_iterate_item = iterate_item;
6549       uschar * save_lookup_value = lookup_value;
6550
6551       Uskip_whitespace(&s);
6552       if (*s++ != '{')                                                  /*}*/
6553         {
6554         expand_string_message =
6555           string_sprintf("missing '{' for first arg of %s", name);
6556         goto EXPAND_FAILED_CURLY;                                       /*}*/
6557         }
6558
6559       DEBUG(D_expand) debug_printf_indent("%s: evaluate input list list\n", name);
6560       if (!(list = expand_string_internal(s,
6561               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL)))
6562         goto EXPAND_FAILED;                                             /*{{*/
6563       if (*s++ != '}')
6564         {
6565         expand_string_message =
6566           string_sprintf("missing '}' closing first arg of %s", name);
6567         goto EXPAND_FAILED_CURLY;
6568         }
6569
6570       if (item_type == EITEM_REDUCE)
6571         {
6572         uschar * t;
6573         Uskip_whitespace(&s);
6574         if (*s++ != '{')                                                /*}*/
6575           {
6576           expand_string_message = US"missing '{' for second arg of reduce";
6577           goto EXPAND_FAILED_CURLY;                                     /*}*/
6578           }
6579         DEBUG(D_expand) debug_printf_indent("reduce: initial result list\n");
6580         t = expand_string_internal(s,
6581               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6582         if (!t) goto EXPAND_FAILED;
6583         lookup_value = t;                                               /*{{*/
6584         if (*s++ != '}')
6585           {
6586           expand_string_message = US"missing '}' closing second arg of reduce";
6587           goto EXPAND_FAILED_CURLY;
6588           }
6589         }
6590
6591       Uskip_whitespace(&s);
6592       if (*s++ != '{')                                                  /*}*/
6593         {
6594         expand_string_message =
6595           string_sprintf("missing '{' for last arg of %s", name);       /*}*/
6596         goto EXPAND_FAILED_CURLY;
6597         }
6598
6599       expr = s;
6600
6601       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
6602       if scanning a "false" part). This allows us to find the end of the
6603       condition, because if the list is empty, we won't actually evaluate the
6604       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
6605       the normal internal expansion function. */
6606
6607       DEBUG(D_expand) debug_printf_indent("%s: find end of conditionn\n", name);
6608       if (item_type != EITEM_FILTER)
6609         temp = expand_string_internal(s,
6610           ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &s, &resetok, NULL);
6611       else
6612         if ((temp = eval_condition(expr, &resetok, NULL))) s = temp;
6613
6614       if (!temp)
6615         {
6616         expand_string_message = string_sprintf("%s inside \"%s\" item",
6617           expand_string_message, name);
6618         goto EXPAND_FAILED;
6619         }
6620
6621       Uskip_whitespace(&s);                                             /*{{{*/
6622       if (*s++ != '}')
6623         {
6624         expand_string_message = string_sprintf("missing } at end of condition "
6625           "or expression inside \"%s\"; could be an unquoted } in the content",
6626           name);
6627         goto EXPAND_FAILED;
6628         }
6629
6630       Uskip_whitespace(&s);                                             /*{{*/
6631       if (*s++ != '}')
6632         {
6633         expand_string_message = string_sprintf("missing } at end of \"%s\"",
6634           name);
6635         goto EXPAND_FAILED;
6636         }
6637
6638       /* If we are skipping, we can now just move on to the next item. When
6639       processing for real, we perform the iteration. */
6640
6641       if (flags & ESI_SKIPPING) continue;
6642       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
6643         {
6644         *outsep = (uschar)sep;      /* Separator as a string */
6645
6646         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
6647                           name, iterate_item, lookup_value);
6648
6649         if (item_type == EITEM_FILTER)
6650           {
6651           BOOL condresult;
6652           /* the condition could modify $value, as a side-effect */
6653           uschar * save_value = lookup_value;
6654
6655           if (!eval_condition(expr, &resetok, &condresult))
6656             {
6657             iterate_item = save_iterate_item;
6658             lookup_value = save_lookup_value;
6659             expand_string_message = string_sprintf("%s inside \"%s\" condition",
6660               expand_string_message, name);
6661             goto EXPAND_FAILED;
6662             }
6663           lookup_value = save_value;
6664           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
6665             condresult? "true":"false");
6666           if (condresult)
6667             temp = iterate_item;    /* TRUE => include this item */
6668           else
6669             continue;               /* FALSE => skip this item */
6670           }
6671
6672         else                    /* EITEM_MAP and EITEM_REDUCE */
6673           {
6674           /* the expansion could modify $value, as a side-effect */
6675           uschar * t = expand_string_internal(expr,
6676             ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, NULL, &resetok, NULL);
6677           if (!(temp = t))
6678             {
6679             iterate_item = save_iterate_item;
6680             expand_string_message = string_sprintf("%s inside \"%s\" item",
6681               expand_string_message, name);
6682             goto EXPAND_FAILED;
6683             }
6684           if (item_type == EITEM_REDUCE)
6685             {
6686             lookup_value = t;         /* Update the value of $value */
6687             continue;                 /* and continue the iteration */
6688             }
6689           }
6690
6691         /* We reach here for FILTER if the condition is true, always for MAP,
6692         and never for REDUCE. The value in "temp" is to be added to the output
6693         list that is being created, ensuring that any occurrences of the
6694         separator character are doubled. Unless we are dealing with the first
6695         item of the output list, add in a space if the new item begins with the
6696         separator character, or is an empty string. */
6697
6698 /*XXX is there not a standard support function for this, appending to a list? */
6699 /* yes, string_append_listele(), but it depends on lack of text before the list */
6700
6701         if (  yield && yield->ptr != save_ptr
6702            && (temp[0] == *outsep || temp[0] == 0))
6703           yield = string_catn(yield, US" ", 1);
6704
6705         /* Add the string in "temp" to the output list that we are building,
6706         This is done in chunks by searching for the separator character. */
6707
6708         for (;;)
6709           {
6710           size_t seglen = Ustrcspn(temp, outsep);
6711
6712           yield = string_catn(yield, temp, seglen + 1);
6713
6714           /* If we got to the end of the string we output one character
6715           too many; backup and end the loop. Otherwise arrange to double the
6716           separator. */
6717
6718           if (!temp[seglen]) { yield->ptr--; break; }
6719           yield = string_catn(yield, outsep, 1);
6720           temp += seglen + 1;
6721           }
6722
6723         /* Output a separator after the string: we will remove the redundant
6724         final one at the end. */
6725
6726         yield = string_catn(yield, outsep, 1);
6727         }   /* End of iteration over the list loop */
6728
6729       /* REDUCE has generated no output above: output the final value of
6730       $value. */
6731
6732       if (item_type == EITEM_REDUCE)
6733         {
6734         yield = string_cat(yield, lookup_value);
6735         lookup_value = save_lookup_value;  /* Restore $value */
6736         }
6737
6738       /* FILTER and MAP generate lists: if they have generated anything, remove
6739       the redundant final separator. Even though an empty item at the end of a
6740       list does not count, this is tidier. */
6741
6742       else if (yield && yield->ptr != save_ptr) yield->ptr--;
6743
6744       /* Restore preserved $item */
6745
6746       iterate_item = save_iterate_item;
6747       if (flags & ESI_SKIPPING) continue;
6748       break;
6749       }
6750
6751     case EITEM_SORT:
6752       {
6753       int sep = 0, cond_type;
6754       const uschar * srclist, * cmp, * xtract;
6755       uschar * opname, * srcitem;
6756       const uschar * dstlist = NULL, * dstkeylist = NULL;
6757       uschar * tmp, * save_iterate_item = iterate_item;
6758
6759       Uskip_whitespace(&s);
6760       if (*s++ != '{')                                                  /*}*/
6761         {
6762         expand_string_message = US"missing '{' for list arg of sort";
6763         goto EXPAND_FAILED_CURLY;                                       /*}*/
6764         }
6765
6766       srclist = expand_string_internal(s,
6767               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
6768       if (!srclist) goto EXPAND_FAILED;                                 /*{{*/
6769       if (*s++ != '}')
6770         {
6771         expand_string_message = US"missing '}' closing list arg of sort";
6772         goto EXPAND_FAILED_CURLY;
6773         }
6774
6775       Uskip_whitespace(&s);
6776       if (*s++ != '{')                                                  /*}*/
6777         {
6778         expand_string_message = US"missing '{' for comparator arg of sort";
6779         goto EXPAND_FAILED_CURLY;                                       /*}*/
6780         }
6781
6782       cmp = expand_string_internal(s,
6783               ESI_BRACE_ENDS | flags & ESI_SKIPPING, &s, &resetok, NULL);
6784       if (!cmp) goto EXPAND_FAILED;                                     /*{{*/
6785       if (*s++ != '}')
6786         {
6787         expand_string_message = US"missing '}' closing comparator arg of sort";
6788         goto EXPAND_FAILED_CURLY;
6789         }
6790
6791       if ((cond_type = identify_operator(&cmp, &opname)) == -1)
6792         {
6793         if (!expand_string_message)
6794           expand_string_message = string_sprintf("unknown condition \"%s\"", s);
6795         goto EXPAND_FAILED;
6796         }
6797       switch(cond_type)
6798         {
6799         case ECOND_NUM_L: case ECOND_NUM_LE:
6800         case ECOND_NUM_G: case ECOND_NUM_GE:
6801         case ECOND_STR_GE: case ECOND_STR_GEI: case ECOND_STR_GT: case ECOND_STR_GTI:
6802         case ECOND_STR_LE: case ECOND_STR_LEI: case ECOND_STR_LT: case ECOND_STR_LTI:
6803           break;
6804
6805         default:
6806           expand_string_message = US"comparator not handled for sort";
6807           goto EXPAND_FAILED;
6808         }
6809
6810       Uskip_whitespace(&s);
6811       if (*s++ != '{')                                                  /*}*/
6812         {
6813         expand_string_message = US"missing '{' for extractor arg of sort";
6814         goto EXPAND_FAILED_CURLY;                                       /*}*/
6815         }
6816
6817       xtract = s;
6818       if (!(tmp = expand_string_internal(s,
6819         ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | ESI_SKIPPING, &s, &resetok, NULL)))
6820         goto EXPAND_FAILED;
6821       xtract = string_copyn(xtract, s - xtract);
6822                                                                         /*{{*/
6823       if (*s++ != '}')
6824         {
6825         expand_string_message = US"missing '}' closing extractor arg of sort";
6826         goto EXPAND_FAILED_CURLY;
6827         }
6828                                                                         /*{{*/
6829       if (*s++ != '}')
6830         {
6831         expand_string_message = US"missing } at end of \"sort\"";
6832         goto EXPAND_FAILED;
6833         }
6834
6835       if (flags & ESI_SKIPPING) continue;
6836
6837       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
6838         {
6839         uschar * srcfield, * dstitem;
6840         gstring * newlist = NULL, * newkeylist = NULL;
6841
6842         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
6843
6844         /* extract field for comparisons */
6845         iterate_item = srcitem;
6846         if (  !(srcfield = expand_string_internal(xtract,
6847                                   ESI_HONOR_DOLLAR, NULL, &resetok, NULL))
6848            || !*srcfield)
6849           {
6850           expand_string_message = string_sprintf(
6851               "field-extract in sort: \"%s\"", xtract);
6852           goto EXPAND_FAILED;
6853           }
6854
6855         /* Insertion sort */
6856
6857         /* copy output list until new-item < list-item */
6858         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6859           {
6860           uschar * dstfield;
6861
6862           /* field for comparison */
6863           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6864             goto SORT_MISMATCH;
6865
6866           /* String-comparator names start with a letter; numeric names do not */
6867
6868           if (sortsbefore(cond_type, isalpha(opname[0]),
6869               srcfield, dstfield))
6870             {
6871             /* New-item sorts before this dst-item.  Append new-item,
6872             then dst-item, then remainder of dst list. */
6873
6874             newlist = string_append_listele(newlist, sep, srcitem);
6875             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6876             srcitem = NULL;
6877
6878             newlist = string_append_listele(newlist, sep, dstitem);
6879             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6880
6881 /*XXX why field-at-a-time copy?  Why not just dup the rest of the list? */
6882             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6883               {
6884               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6885                 goto SORT_MISMATCH;
6886               newlist = string_append_listele(newlist, sep, dstitem);
6887               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6888               }
6889
6890             break;
6891             }
6892
6893           newlist = string_append_listele(newlist, sep, dstitem);
6894           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6895           }
6896
6897         /* If we ran out of dstlist without consuming srcitem, append it */
6898         if (srcitem)
6899           {
6900           newlist = string_append_listele(newlist, sep, srcitem);
6901           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6902           }
6903
6904         dstlist = newlist->s;
6905         dstkeylist = newkeylist->s;
6906
6907         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6908         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6909         }
6910
6911       if (dstlist)
6912         yield = string_cat(yield, dstlist);
6913
6914       /* Restore preserved $item */
6915       iterate_item = save_iterate_item;
6916       break;
6917
6918       SORT_MISMATCH:
6919         expand_string_message = US"Internal error in sort (list mismatch)";
6920         goto EXPAND_FAILED;
6921       }
6922
6923
6924     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6925     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6926     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6927     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6928
6929     #define EXPAND_DLFUNC_MAX_ARGS 8
6930
6931     case EITEM_DLFUNC:
6932 #ifndef EXPAND_DLFUNC
6933       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6934         "is not included in this binary";
6935       goto EXPAND_FAILED;
6936
6937 #else   /* EXPAND_DLFUNC */
6938       {
6939       tree_node * t;
6940       exim_dlfunc_t * func;
6941       uschar * result;
6942       int status, argc;
6943       uschar * argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6944
6945       if (expand_forbid & RDO_DLFUNC)
6946         {
6947         expand_string_message =
6948           US"dynamically-loaded functions are not permitted";
6949         goto EXPAND_FAILED;
6950         }
6951
6952       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, flags,
6953            TRUE, name, &resetok, NULL))
6954         {
6955         case -1: continue;      /* skipping */
6956         case 1: goto EXPAND_FAILED_CURLY;
6957         case 2:
6958         case 3: goto EXPAND_FAILED;
6959         }
6960
6961       /* Look up the dynamically loaded object handle in the tree. If it isn't
6962       found, dlopen() the file and put the handle in the tree for next time. */
6963
6964       if (!(t = tree_search(dlobj_anchor, argv[0])))
6965         {
6966         void * handle = dlopen(CS argv[0], RTLD_LAZY);
6967         if (!handle)
6968           {
6969           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6970             argv[0], dlerror());
6971           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6972           goto EXPAND_FAILED;
6973           }
6974         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]), argv[0]);
6975         Ustrcpy(t->name, argv[0]);
6976         t->data.ptr = handle;
6977         (void)tree_insertnode(&dlobj_anchor, t);
6978         }
6979
6980       /* Having obtained the dynamically loaded object handle, look up the
6981       function pointer. */
6982
6983       if (!(func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1])))
6984         {
6985         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6986           "%s", argv[1], argv[0], dlerror());
6987         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6988         goto EXPAND_FAILED;
6989         }
6990
6991       /* Call the function and work out what to do with the result. If it
6992       returns OK, we have a replacement string; if it returns DEFER then
6993       expansion has failed in a non-forced manner; if it returns FAIL then
6994       failure was forced; if it returns ERROR or any other value there's a
6995       problem, so panic slightly. In any case, assume that the function has
6996       side-effects on the store that must be preserved. */
6997
6998       resetok = FALSE;
6999       result = NULL;
7000       for (argc = 0; argv[argc]; argc++) ;
7001
7002       if ((status = func(&result, argc - 2, &argv[2])) != OK)
7003         {
7004         expand_string_message = result ? result : US"(no message)";
7005         if (status == FAIL_FORCED)
7006           f.expand_string_forcedfail = TRUE;
7007         else if (status != FAIL)
7008           log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
7009               argv[0], argv[1], status, expand_string_message);
7010         goto EXPAND_FAILED;
7011         }
7012
7013       if (result) yield = string_cat(yield, result);
7014       break;
7015       }
7016 #endif /* EXPAND_DLFUNC */
7017
7018     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
7019       {
7020       uschar * key;
7021       uschar *save_lookup_value = lookup_value;
7022
7023       if (Uskip_whitespace(&s) != '{')                                  /*}*/
7024         goto EXPAND_FAILED;
7025
7026       key = expand_string_internal(s+1,
7027               ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
7028       if (!key) goto EXPAND_FAILED;                                     /*{{*/
7029       if (*s++ != '}')
7030         {
7031         expand_string_message = US"missing '}' for name arg of env";
7032         goto EXPAND_FAILED_CURLY;
7033         }
7034
7035       lookup_value = US getenv(CS key);
7036
7037       switch(process_yesno(
7038                flags,                           /* were previously skipping */
7039                lookup_value != NULL,            /* success/failure indicator */
7040                save_lookup_value,               /* value to reset for string2 */
7041                &s,                              /* input pointer */
7042                &yield,                          /* output pointer */
7043                US"env",                         /* condition type */
7044                &resetok))
7045         {
7046         case 1: goto EXPAND_FAILED;          /* when all is well, the */
7047         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
7048         }
7049       if (flags & ESI_SKIPPING) continue;
7050       break;
7051       }
7052
7053 #ifdef SUPPORT_SRS
7054     case EITEM_SRS_ENCODE:
7055       /* ${srs_encode {secret} {return_path} {orig_domain}} */
7056       {
7057       uschar * sub[3];
7058       uschar cksum[4];
7059       gstring * g = NULL;
7060       BOOL quoted = FALSE;
7061
7062       switch (read_subs(sub, 3, 3, CUSS &s, flags, TRUE, name, &resetok, NULL))
7063         {
7064         case -1: continue;      /* skipping */
7065         case 1: goto EXPAND_FAILED_CURLY;
7066         case 2:
7067         case 3: goto EXPAND_FAILED;
7068         }
7069       if (flags & ESI_SKIPPING) continue;
7070
7071       if (sub[1] && *(sub[1]))
7072         {
7073         g = string_catn(g, US"SRS0=", 5);
7074
7075         /* ${l_4:${hmac{md5}{SRS_SECRET}{${lc:$return_path}}}}= */
7076         hmac_md5(sub[0], string_copylc(sub[1]), cksum, sizeof(cksum));
7077         g = string_catn(g, cksum, sizeof(cksum));
7078         g = string_catn(g, US"=", 1);
7079
7080         /* ${base32:${eval:$tod_epoch/86400&0x3ff}}= */
7081           {
7082           struct timeval now;
7083           unsigned long i;
7084
7085           gettimeofday(&now, NULL);
7086           i = (now.tv_sec / 86400) & 0x3ff;
7087           g = string_catn(g, &base32_chars[i >> 5], 1);
7088           g = string_catn(g, &base32_chars[i & 0x1f], 1);
7089           }
7090         g = string_catn(g, US"=", 1);
7091
7092         /* ${domain:$return_path}=${local_part:$return_path} */
7093           {
7094           int start, end, domain;
7095           uschar * t = parse_extract_address(sub[1], &expand_string_message,
7096                                             &start, &end, &domain, FALSE);
7097           uschar * s;
7098
7099           if (!t)
7100             goto EXPAND_FAILED;
7101
7102           if (domain > 0) g = string_cat(g, t + domain);
7103           g = string_catn(g, US"=", 1);
7104
7105           s = domain > 0 ? string_copyn(t, domain - 1) : t;
7106           if ((quoted = Ustrchr(s, '"') != NULL))
7107             {
7108             gstring * h = NULL;
7109             DEBUG(D_expand) debug_printf_indent("auto-quoting local part\n");
7110             while (*s)          /* de-quote */
7111               {
7112               while (*s && *s != '"') h = string_catn(h, s++, 1);
7113               if (*s) s++;
7114               while (*s && *s != '"') h = string_catn(h, s++, 1);
7115               if (*s) s++;
7116               }
7117             gstring_release_unused(h);
7118             s = string_from_gstring(h);
7119             }
7120           if (s) g = string_cat(g, s);
7121           }
7122
7123         /* Assume that if the original local_part had quotes
7124         it was for good reason */
7125
7126         if (quoted) yield = string_catn(yield, US"\"", 1);
7127         yield = gstring_append(yield, g);
7128         if (quoted) yield = string_catn(yield, US"\"", 1);
7129
7130         /* @$original_domain */
7131         yield = string_catn(yield, US"@", 1);
7132         yield = string_cat(yield, sub[2]);
7133         }
7134       else
7135         DEBUG(D_expand) debug_printf_indent("null return_path for srs-encode\n");
7136
7137       break;
7138       }
7139 #endif /*SUPPORT_SRS*/
7140
7141     default:
7142       goto NOT_ITEM;
7143     }   /* EITEM_* switch */
7144     /*NOTREACHED*/
7145
7146   DEBUG(D_expand)               /* only if not the sole expansion of the line */
7147     if (yield && (expansion_start > 0 || *s))
7148       debug_expansion_interim(US"item-res",
7149           yield->s + expansion_start, yield->ptr - expansion_start,
7150           flags);
7151   continue;
7152
7153 NOT_ITEM: ;
7154   }
7155
7156   /* Control reaches here if the name is not recognized as one of the more
7157   complicated expansion items. Check for the "operator" syntax (name terminated
7158   by a colon). Some of the operators have arguments, separated by _ from the
7159   name. */
7160
7161   if (*s == ':')
7162     {
7163     int c;
7164     uschar * arg = NULL, * sub;
7165 #ifndef DISABLE_TLS
7166     var_entry * vp = NULL;
7167 #endif
7168
7169     /* Owing to an historical mis-design, an underscore may be part of the
7170     operator name, or it may introduce arguments.  We therefore first scan the
7171     table of names that contain underscores. If there is no match, we cut off
7172     the arguments and then scan the main table. */
7173
7174     if ((c = chop_match(name, op_table_underscore,
7175                         nelem(op_table_underscore))) < 0)
7176       {
7177       if ((arg = Ustrchr(name, '_')))
7178         *arg = 0;
7179       if ((c = chop_match(name, op_table_main, nelem(op_table_main))) >= 0)
7180         c += nelem(op_table_underscore);
7181       if (arg) *arg++ = '_';            /* Put back for error messages */
7182       }
7183
7184     /* Deal specially with operators that might take a certificate variable
7185     as we do not want to do the usual expansion. For most, expand the string.*/
7186
7187     switch(c)
7188       {
7189 #ifndef DISABLE_TLS
7190       case EOP_MD5:
7191       case EOP_SHA1:
7192       case EOP_SHA256:
7193       case EOP_BASE64:
7194         if (s[1] == '$')
7195           {
7196           const uschar * s1 = s;
7197           sub = expand_string_internal(s+2,
7198               ESI_BRACE_ENDS | flags & ESI_SKIPPING, &s1, &resetok, NULL);
7199           if (!sub)       goto EXPAND_FAILED;           /*{*/
7200           if (*s1 != '}')
7201             {                                           /*{*/
7202             expand_string_message =
7203               string_sprintf("missing '}' closing cert arg of %s", name);
7204             goto EXPAND_FAILED_CURLY;
7205             }
7206           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
7207             {
7208             s = s1+1;
7209             break;
7210             }
7211           vp = NULL;
7212           }
7213         /*FALLTHROUGH*/
7214 #endif
7215       default:
7216         sub = expand_string_internal(s+1,
7217                 ESI_BRACE_ENDS | ESI_HONOR_DOLLAR | flags, &s, &resetok, NULL);
7218         if (!sub) goto EXPAND_FAILED;
7219         s++;
7220         break;
7221       }
7222
7223     /* If we are skipping, we don't need to perform the operation at all.
7224     This matters for operations like "mask", because the data may not be
7225     in the correct format when skipping. For example, the expression may test
7226     for the existence of $sender_host_address before trying to mask it. For
7227     other operations, doing them may not fail, but it is a waste of time. */
7228
7229     if (flags & ESI_SKIPPING && c >= 0) continue;
7230
7231     /* Otherwise, switch on the operator type.  After handling go back
7232     to the main loop top. */
7233
7234      {
7235      unsigned expansion_start = gstring_length(yield);
7236      switch(c)
7237       {
7238       case EOP_BASE32:
7239         {
7240         uschar * t;
7241         unsigned long int n = Ustrtoul(sub, &t, 10);
7242         gstring * g = NULL;
7243
7244         if (*t)
7245           {
7246           expand_string_message = string_sprintf("argument for base32 "
7247             "operator is \"%s\", which is not a decimal number", sub);
7248           goto EXPAND_FAILED;
7249           }
7250         for ( ; n; n >>= 5)
7251           g = string_catn(g, &base32_chars[n & 0x1f], 1);
7252
7253         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
7254         break;
7255         }
7256
7257       case EOP_BASE32D:
7258         {
7259         uschar *tt = sub;
7260         unsigned long int n = 0;
7261         while (*tt)
7262           {
7263           uschar * t = Ustrchr(base32_chars, *tt++);
7264           if (!t)
7265             {
7266             expand_string_message = string_sprintf("argument for base32d "
7267               "operator is \"%s\", which is not a base 32 number", sub);
7268             goto EXPAND_FAILED;
7269             }
7270           n = n * 32 + (t - base32_chars);
7271           }
7272         yield = string_fmt_append(yield, "%ld", n);
7273         break;
7274         }
7275
7276       case EOP_BASE62:
7277         {
7278         uschar *t;
7279         unsigned long int n = Ustrtoul(sub, &t, 10);
7280         if (*t)
7281           {
7282           expand_string_message = string_sprintf("argument for base62 "
7283             "operator is \"%s\", which is not a decimal number", sub);
7284           goto EXPAND_FAILED;
7285           }
7286         yield = string_cat(yield, string_base62_32(n));         /*XXX only handles 32b input range.  Need variants? */
7287         break;
7288         }
7289
7290       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
7291
7292       case EOP_BASE62D:
7293         {
7294         uschar *tt = sub;
7295         unsigned long int n = 0;
7296         while (*tt)
7297           {
7298           uschar *t = Ustrchr(base62_chars, *tt++);
7299           if (!t)
7300             {
7301             expand_string_message = string_sprintf("argument for base62d "
7302               "operator is \"%s\", which is not a base %d number", sub,
7303               BASE_62);
7304             goto EXPAND_FAILED;
7305             }
7306           n = n * BASE_62 + (t - base62_chars);
7307           }
7308         yield = string_fmt_append(yield, "%ld", n);
7309         break;
7310         }
7311
7312       case EOP_EXPAND:
7313         {
7314         uschar *expanded = expand_string_internal(sub,
7315                 ESI_HONOR_DOLLAR | flags & ESI_SKIPPING, NULL, &resetok, NULL);
7316         if (!expanded)
7317           {
7318           expand_string_message =
7319             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
7320               expand_string_message);
7321           goto EXPAND_FAILED;
7322           }
7323         yield = string_cat(yield, expanded);
7324         break;
7325         }
7326
7327       case EOP_LC:
7328         {
7329         int count = 0;
7330         uschar *t = sub - 1;
7331         while (*(++t) != 0) { *t = tolower(*t); count++; }
7332         yield = string_catn(yield, sub, count);
7333         break;
7334         }
7335
7336       case EOP_UC:
7337         {
7338         int count = 0;
7339         uschar *t = sub - 1;
7340         while (*(++t) != 0) { *t = toupper(*t); count++; }
7341         yield = string_catn(yield, sub, count);
7342         break;
7343         }
7344
7345       case EOP_MD5:
7346 #ifndef DISABLE_TLS
7347         if (vp && *(void **)vp->value)
7348           {
7349           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
7350           yield = string_cat(yield, cp);
7351           }
7352         else
7353 #endif
7354           {
7355           md5 base;
7356           uschar digest[16];
7357           md5_start(&base);
7358           md5_end(&base, sub, Ustrlen(sub), digest);
7359           for (int j = 0; j < 16; j++)
7360             yield = string_fmt_append(yield, "%02x", digest[j]);
7361           }
7362         break;
7363
7364       case EOP_SHA1:
7365 #ifndef DISABLE_TLS
7366         if (vp && *(void **)vp->value)
7367           {
7368           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
7369           yield = string_cat(yield, cp);
7370           }
7371         else
7372 #endif
7373           {
7374           hctx h;
7375           uschar digest[20];
7376           sha1_start(&h);
7377           sha1_end(&h, sub, Ustrlen(sub), digest);
7378           for (int j = 0; j < 20; j++)
7379             yield = string_fmt_append(yield, "%02X", digest[j]);
7380           }
7381         break;
7382
7383       case EOP_SHA2:
7384       case EOP_SHA256:
7385 #ifdef EXIM_HAVE_SHA2
7386         if (vp && *(void **)vp->value)
7387           if (c == EOP_SHA256)
7388             yield = string_cat(yield, tls_cert_fprt_sha256(*(void **)vp->value));
7389           else
7390             expand_string_message = US"sha2_N not supported with certificates";
7391         else
7392           {
7393           hctx h;
7394           blob b;
7395           hashmethod m = !arg ? HASH_SHA2_256
7396             : Ustrcmp(arg, "256") == 0 ? HASH_SHA2_256
7397             : Ustrcmp(arg, "384") == 0 ? HASH_SHA2_384
7398             : Ustrcmp(arg, "512") == 0 ? HASH_SHA2_512
7399             : HASH_BADTYPE;
7400
7401           if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7402             {
7403             expand_string_message = US"unrecognised sha2 variant";
7404             goto EXPAND_FAILED;
7405             }
7406
7407           exim_sha_update_string(&h, sub);
7408           exim_sha_finish(&h, &b);
7409           while (b.len-- > 0)
7410             yield = string_fmt_append(yield, "%02X", *b.data++);
7411           }
7412 #else
7413           expand_string_message = US"sha256 only supported with TLS";
7414 #endif
7415         break;
7416
7417       case EOP_SHA3:
7418 #ifdef EXIM_HAVE_SHA3
7419         {
7420         hctx h;
7421         blob b;
7422         hashmethod m = !arg ? HASH_SHA3_256
7423           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
7424           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
7425           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
7426           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
7427           : HASH_BADTYPE;
7428
7429         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7430           {
7431           expand_string_message = US"unrecognised sha3 variant";
7432           goto EXPAND_FAILED;
7433           }
7434
7435         exim_sha_update_string(&h, sub);
7436         exim_sha_finish(&h, &b);
7437         while (b.len-- > 0)
7438           yield = string_fmt_append(yield, "%02X", *b.data++);
7439         }
7440         break;
7441 #else
7442         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 + or OpenSSL 1.1.1 +";
7443         goto EXPAND_FAILED;
7444 #endif
7445
7446       /* Line-wrap a string as if it is a header line */
7447
7448       case EOP_HEADERWRAP:
7449         {
7450         unsigned col = 80, lim = 998;
7451         uschar * s;
7452
7453         if (arg)
7454           {
7455           const uschar * list = arg;
7456           int sep = '_';
7457           if ((s = string_nextinlist(&list, &sep, NULL, 0)))
7458             {
7459             col = atoi(CS s);
7460             if ((s = string_nextinlist(&list, &sep, NULL, 0)))
7461               lim = atoi(CS s);
7462             }
7463           }
7464           if ((s =  wrap_header(sub, col, lim, US"\t", 8)))
7465             yield = string_cat(yield, s);
7466         }
7467         break;
7468
7469       /* Convert hex encoding to base64 encoding */
7470
7471       case EOP_HEX2B64:
7472         {
7473         int c = 0;
7474         int b = -1;
7475         uschar *in = sub;
7476         uschar *out = sub;
7477         uschar *enc;
7478
7479         for (enc = sub; *enc; enc++)
7480           {
7481           if (!isxdigit(*enc))
7482             {
7483             expand_string_message = string_sprintf("\"%s\" is not a hex "
7484               "string", sub);
7485             goto EXPAND_FAILED;
7486             }
7487           c++;
7488           }
7489
7490         if ((c & 1) != 0)
7491           {
7492           expand_string_message = string_sprintf("\"%s\" contains an odd "
7493             "number of characters", sub);
7494           goto EXPAND_FAILED;
7495           }
7496
7497         while ((c = *in++) != 0)
7498           {
7499           if (isdigit(c)) c -= '0';
7500           else c = toupper(c) - 'A' + 10;
7501           if (b == -1)
7502             b = c << 4;
7503           else
7504             {
7505             *out++ = b | c;
7506             b = -1;
7507             }
7508           }
7509
7510         enc = b64encode(CUS sub, out - sub);
7511         yield = string_cat(yield, enc);
7512         break;
7513         }
7514
7515       /* Convert octets outside 0x21..0x7E to \xXX form */
7516
7517       case EOP_HEXQUOTE:
7518         {
7519         uschar *t = sub - 1;
7520         while (*(++t) != 0)
7521           {
7522           if (*t < 0x21 || 0x7E < *t)
7523             yield = string_fmt_append(yield, "\\x%02x", *t);
7524           else
7525             yield = string_catn(yield, t, 1);
7526           }
7527         break;
7528         }
7529
7530       /* count the number of list elements */
7531
7532       case EOP_LISTCOUNT:
7533         {
7534         int cnt = 0, sep = 0;
7535         uschar * buf = store_get(2, sub);
7536
7537         while (string_nextinlist(CUSS &sub, &sep, buf, 1)) cnt++;
7538         yield = string_fmt_append(yield, "%d", cnt);
7539         break;
7540         }
7541
7542       /* expand a named list given the name */
7543       /* handles nested named lists; requotes as colon-sep list */
7544
7545       case EOP_LISTNAMED:
7546         expand_string_message = NULL;
7547         yield = expand_listnamed(yield, sub, arg);
7548         if (expand_string_message)
7549           goto EXPAND_FAILED;
7550         break;
7551
7552       /* quote a list-item for the given list-separator */
7553
7554       /* mask applies a mask to an IP address; for example the result of
7555       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
7556
7557       case EOP_MASK:
7558         {
7559         int count;
7560         uschar *endptr;
7561         int binary[4];
7562         int type, mask, maskoffset;
7563         BOOL normalised;
7564         uschar buffer[64];
7565
7566         if ((type = string_is_ip_address(sub, &maskoffset)) == 0)
7567           {
7568           expand_string_message = string_sprintf("\"%s\" is not an IP address",
7569            sub);
7570           goto EXPAND_FAILED;
7571           }
7572
7573         if (maskoffset == 0)
7574           {
7575           expand_string_message = string_sprintf("missing mask value in \"%s\"",
7576             sub);
7577           goto EXPAND_FAILED;
7578           }
7579
7580         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
7581
7582         if (*endptr || mask < 0 || mask > (type == 4 ? 32 : 128))
7583           {
7584           expand_string_message = string_sprintf("mask value too big in \"%s\"",
7585             sub);
7586           goto EXPAND_FAILED;
7587           }
7588
7589         /* If an optional 'n' was given, ipv6 gets normalised output:
7590         colons rather than dots, and zero-compressed. */
7591
7592         normalised = arg && *arg == 'n';
7593
7594         /* Convert the address to binary integer(s) and apply the mask */
7595
7596         sub[maskoffset] = 0;
7597         count = host_aton(sub, binary);
7598         host_mask(count, binary, mask);
7599
7600         /* Convert to masked textual format and add to output. */
7601
7602         if (type == 4 || !normalised)
7603           yield = string_catn(yield, buffer,
7604             host_nmtoa(count, binary, mask, buffer, '.'));
7605         else
7606           {
7607           ipv6_nmtoa(binary, buffer);
7608           yield = string_fmt_append(yield, "%s/%d", buffer, mask);
7609           }
7610         break;
7611         }
7612
7613       case EOP_IPV6NORM:
7614       case EOP_IPV6DENORM:
7615         {
7616         int type = string_is_ip_address(sub, NULL);
7617         int binary[4];
7618         uschar buffer[44];
7619
7620         switch (type)
7621           {
7622           case 6:
7623             (void) host_aton(sub, binary);
7624             break;
7625
7626           case 4:       /* convert to IPv4-mapped IPv6 */
7627             binary[0] = binary[1] = 0;
7628             binary[2] = 0x0000ffff;
7629             (void) host_aton(sub, binary+3);
7630             break;
7631
7632           case 0:
7633             expand_string_message =
7634               string_sprintf("\"%s\" is not an IP address", sub);
7635             goto EXPAND_FAILED;
7636           }
7637
7638         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
7639                     ? ipv6_nmtoa(binary, buffer)
7640                     : host_nmtoa(4, binary, -1, buffer, ':')
7641                   );
7642         break;
7643         }
7644
7645       case EOP_ADDRESS:
7646       case EOP_LOCAL_PART:
7647       case EOP_DOMAIN:
7648         {
7649         uschar * error;
7650         int start, end, domain;
7651         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
7652           FALSE);
7653         if (t)
7654           if (c != EOP_DOMAIN)
7655             yield = c == EOP_LOCAL_PART && domain > 0
7656               ? string_catn(yield, t, domain - 1)
7657               : string_cat(yield, t);
7658           else if (domain > 0)
7659             yield = string_cat(yield, t + domain);
7660         break;
7661         }
7662
7663       case EOP_ADDRESSES:
7664         {
7665         uschar outsep[2] = { ':', '\0' };
7666         uschar *address, *error;
7667         int save_ptr = gstring_length(yield);
7668         int start, end, domain;  /* Not really used */
7669
7670         if (Uskip_whitespace(&sub) == '>')
7671           if (*outsep = *++sub) ++sub;
7672           else
7673             {
7674             expand_string_message = string_sprintf("output separator "
7675               "missing in expanding ${addresses:%s}", --sub);
7676             goto EXPAND_FAILED;
7677             }
7678         f.parse_allow_group = TRUE;
7679
7680         for (;;)
7681           {
7682           uschar * p = parse_find_address_end(sub, FALSE);
7683           uschar saveend = *p;
7684           *p = '\0';
7685           address = parse_extract_address(sub, &error, &start, &end, &domain,
7686             FALSE);
7687           *p = saveend;
7688
7689           /* Add the address to the output list that we are building. This is
7690           done in chunks by searching for the separator character. At the
7691           start, unless we are dealing with the first address of the output
7692           list, add in a space if the new address begins with the separator
7693           character, or is an empty string. */
7694
7695           if (address)
7696             {
7697             if (yield && yield->ptr != save_ptr && address[0] == *outsep)
7698               yield = string_catn(yield, US" ", 1);
7699
7700             for (;;)
7701               {
7702               size_t seglen = Ustrcspn(address, outsep);
7703               yield = string_catn(yield, address, seglen + 1);
7704
7705               /* If we got to the end of the string we output one character
7706               too many. */
7707
7708               if (address[seglen] == '\0') { yield->ptr--; break; }
7709               yield = string_catn(yield, outsep, 1);
7710               address += seglen + 1;
7711               }
7712
7713             /* Output a separator after the string: we will remove the
7714             redundant final one at the end. */
7715
7716             yield = string_catn(yield, outsep, 1);
7717             }
7718
7719           if (saveend == '\0') break;
7720           sub = p + 1;
7721           }
7722
7723         /* If we have generated anything, remove the redundant final
7724         separator. */
7725
7726         if (yield && yield->ptr != save_ptr) yield->ptr--;
7727         f.parse_allow_group = FALSE;
7728         break;
7729         }
7730
7731
7732       /* quote puts a string in quotes if it is empty or contains anything
7733       other than alphamerics, underscore, dot, or hyphen.
7734
7735       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
7736       be quoted in order to be a valid local part.
7737
7738       In both cases, newlines and carriage returns are converted into \n and \r
7739       respectively */
7740
7741       case EOP_QUOTE:
7742       case EOP_QUOTE_LOCAL_PART:
7743         if (!arg)
7744           {
7745           BOOL needs_quote = (!*sub);      /* TRUE for empty string */
7746           uschar *t = sub - 1;
7747
7748           if (c == EOP_QUOTE)
7749             while (!needs_quote && *++t)
7750               needs_quote = !isalnum(*t) && !strchr("_-.", *t);
7751
7752           else  /* EOP_QUOTE_LOCAL_PART */
7753             while (!needs_quote && *++t)
7754               needs_quote = !isalnum(*t)
7755                 && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL
7756                 && (*t != '.' || t == sub || !t[1]);
7757
7758           if (needs_quote)
7759             {
7760             yield = string_catn(yield, US"\"", 1);
7761             t = sub - 1;
7762             while (*++t)
7763               if (*t == '\n')
7764                 yield = string_catn(yield, US"\\n", 2);
7765               else if (*t == '\r')
7766                 yield = string_catn(yield, US"\\r", 2);
7767               else
7768                 {
7769                 if (*t == '\\' || *t == '"')
7770                   yield = string_catn(yield, US"\\", 1);
7771                 yield = string_catn(yield, t, 1);
7772                 }
7773             yield = string_catn(yield, US"\"", 1);
7774             }
7775           else
7776             yield = string_cat(yield, sub);
7777           break;
7778           }
7779
7780         /* quote_lookuptype does lookup-specific quoting */
7781
7782         else
7783           {
7784           int n;
7785           uschar * opt = Ustrchr(arg, '_');
7786
7787           if (opt) *opt++ = 0;
7788
7789           if ((n = search_findtype(arg, Ustrlen(arg))) < 0)
7790             {
7791             expand_string_message = search_error_message;
7792             goto EXPAND_FAILED;
7793             }
7794
7795           if (lookup_list[n]->quote)
7796             sub = (lookup_list[n]->quote)(sub, opt, (unsigned)n);
7797           else if (opt)
7798             sub = NULL;
7799
7800           if (!sub)
7801             {
7802             expand_string_message = string_sprintf(
7803               "\"%s\" unrecognized after \"${quote_%s\"",       /*}*/
7804               opt, arg);
7805             goto EXPAND_FAILED;
7806             }
7807
7808           yield = string_cat(yield, sub);
7809           break;
7810           }
7811
7812         /* rx quote sticks in \ before any non-alphameric character so that
7813         the insertion works in a regular expression. */
7814
7815         case EOP_RXQUOTE:
7816           {
7817           uschar *t = sub - 1;
7818           while (*(++t) != 0)
7819             {
7820             if (!isalnum(*t))
7821               yield = string_catn(yield, US"\\", 1);
7822             yield = string_catn(yield, t, 1);
7823             }
7824           break;
7825           }
7826
7827         /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
7828         prescribed by the RFC, if there are characters that need to be encoded */
7829
7830         case EOP_RFC2047:
7831           yield = string_cat(yield,
7832                               parse_quote_2047(sub, Ustrlen(sub), headers_charset,
7833                                 FALSE));
7834           break;
7835
7836         /* RFC 2047 decode */
7837
7838         case EOP_RFC2047D:
7839           {
7840           int len;
7841           uschar *error;
7842           uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
7843             headers_charset, '?', &len, &error);
7844           if (error)
7845             {
7846             expand_string_message = error;
7847             goto EXPAND_FAILED;
7848             }
7849           yield = string_catn(yield, decoded, len);
7850           break;
7851           }
7852
7853         /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
7854         underscores */
7855
7856         case EOP_FROM_UTF8:
7857           {
7858           uschar * buff = store_get(4, sub);
7859           while (*sub)
7860             {
7861             int c;
7862             GETUTF8INC(c, sub);
7863             if (c > 255) c = '_';
7864             buff[0] = c;
7865             yield = string_catn(yield, buff, 1);
7866             }
7867           break;
7868           }
7869
7870         /* replace illegal UTF-8 sequences by replacement character  */
7871
7872         #define UTF8_REPLACEMENT_CHAR US"?"
7873
7874         case EOP_UTF8CLEAN:
7875           {
7876           int seq_len = 0, index = 0, bytes_left = 0, complete;
7877           u_long codepoint = (u_long)-1;
7878           uschar seq_buff[4];                   /* accumulate utf-8 here */
7879
7880           /* Manually track tainting, as we deal in individual chars below */
7881
7882           if (!yield)
7883             yield = string_get_tainted(Ustrlen(sub), sub);
7884           else if (!yield->s || !yield->ptr)
7885             {
7886             yield->s = store_get(yield->size = Ustrlen(sub), sub);
7887             gstring_reset(yield);
7888             }
7889           else if (is_incompatible(yield->s, sub))
7890             gstring_rebuffer(yield, sub);
7891
7892           /* Check the UTF-8, byte-by-byte */
7893
7894           while (*sub)
7895             {
7896             complete = 0;
7897             uschar c = *sub++;
7898
7899             if (bytes_left)
7900               {
7901               if ((c & 0xc0) != 0x80)
7902                       /* wrong continuation byte; invalidate all bytes */
7903                 complete = 1; /* error */
7904               else
7905                 {
7906                 codepoint = (codepoint << 6) | (c & 0x3f);
7907                 seq_buff[index++] = c;
7908                 if (--bytes_left == 0)          /* codepoint complete */
7909                   if(codepoint > 0x10FFFF)      /* is it too large? */
7910                     complete = -1;      /* error (RFC3629 limit) */
7911                   else if ( (codepoint & 0x1FF800 ) == 0xD800 ) /* surrogate */
7912                     /* A UTF-16 surrogate (which should be one of a pair that
7913                     encode a Unicode codepoint that is outside the Basic
7914                     Multilingual Plane).  Error, not UTF8.
7915                     RFC2279.2 is slightly unclear on this, but 
7916                     https://unicodebook.readthedocs.io/issues.html#strict-utf8-decoder
7917                     says "Surrogates characters are also invalid in UTF-8:
7918                     characters in U+D800—U+DFFF have to be rejected." */
7919                     complete = -1;
7920                   else
7921                     {           /* finished; output utf-8 sequence */
7922                     yield = string_catn(yield, seq_buff, seq_len);
7923                     index = 0;
7924                     }
7925                 }
7926               }
7927             else        /* no bytes left: new sequence */
7928               {
7929               if (!(c & 0x80))  /* 1-byte sequence, US-ASCII, keep it */
7930                 {
7931                 yield = string_catn(yield, &c, 1);
7932                 continue;
7933                 }
7934               if ((c & 0xe0) == 0xc0)           /* 2-byte sequence */
7935                 if (c == 0xc0 || c == 0xc1)     /* 0xc0 and 0xc1 are illegal */
7936                   complete = -1;
7937                 else
7938                   {
7939                   bytes_left = 1;
7940                   codepoint = c & 0x1f;
7941                   }
7942               else if ((c & 0xf0) == 0xe0)              /* 3-byte sequence */
7943                 {
7944                 bytes_left = 2;
7945                 codepoint = c & 0x0f;
7946                 }
7947               else if ((c & 0xf8) == 0xf0)              /* 4-byte sequence */
7948                 {
7949                 bytes_left = 3;
7950                 codepoint = c & 0x07;
7951                 }
7952               else      /* invalid or too long (RFC3629 allows only 4 bytes) */
7953                 complete = -1;
7954
7955               seq_buff[index++] = c;
7956               seq_len = bytes_left + 1;
7957               }         /* if(bytes_left) */
7958
7959             if (complete != 0)
7960               {
7961               bytes_left = index = 0;
7962               yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7963               }
7964             if ((complete == 1) && ((c & 0x80) == 0))
7965                           /* ASCII character follows incomplete sequence */
7966                 yield = string_catn(yield, &c, 1);
7967             }
7968           /* If given a sequence truncated mid-character, we also want to report ?
7969           Eg, ${length_1:フィル} is one byte, not one character, so we expect
7970           ${utf8clean:${length_1:フィル}} to yield '?' */
7971
7972           if (bytes_left != 0)
7973             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7974
7975           break;
7976           }
7977
7978 #ifdef SUPPORT_I18N
7979         case EOP_UTF8_DOMAIN_TO_ALABEL:
7980           {
7981           uschar * error = NULL;
7982           uschar * s = string_domain_utf8_to_alabel(sub, &error);
7983           if (error)
7984             {
7985             expand_string_message = string_sprintf(
7986               "error converting utf8 (%s) to alabel: %s",
7987               string_printing(sub), error);
7988             goto EXPAND_FAILED;
7989             }
7990           yield = string_cat(yield, s);
7991           break;
7992           }
7993
7994         case EOP_UTF8_DOMAIN_FROM_ALABEL:
7995           {
7996           uschar * error = NULL;
7997           uschar * s = string_domain_alabel_to_utf8(sub, &error);
7998           if (error)
7999             {
8000             expand_string_message = string_sprintf(
8001               "error converting alabel (%s) to utf8: %s",
8002               string_printing(sub), error);
8003             goto EXPAND_FAILED;
8004             }
8005           yield = string_cat(yield, s);
8006           break;
8007           }
8008
8009         case EOP_UTF8_LOCALPART_TO_ALABEL:
8010           {
8011           uschar * error = NULL;
8012           uschar * s = string_localpart_utf8_to_alabel(sub, &error);
8013           if (error)
8014             {
8015             expand_string_message = string_sprintf(
8016               "error converting utf8 (%s) to alabel: %s",
8017               string_printing(sub), error);
8018             goto EXPAND_FAILED;
8019             }
8020           yield = string_cat(yield, s);
8021           DEBUG(D_expand) debug_printf_indent("yield: '%Y'\n", yield);
8022           break;
8023           }
8024
8025         case EOP_UTF8_LOCALPART_FROM_ALABEL:
8026           {
8027           uschar * error = NULL;
8028           uschar * s = string_localpart_alabel_to_utf8(sub, &error);
8029           if (error)
8030             {
8031             expand_string_message = string_sprintf(
8032               "error converting alabel (%s) to utf8: %s",
8033               string_printing(sub), error);
8034             goto EXPAND_FAILED;
8035             }
8036           yield = string_cat(yield, s);
8037           break;
8038           }
8039 #endif  /* EXPERIMENTAL_INTERNATIONAL */
8040
8041         /* escape turns all non-printing characters into escape sequences. */
8042
8043         case EOP_ESCAPE:
8044           {
8045           const uschar * t = string_printing(sub);
8046           yield = string_cat(yield, t);
8047           break;
8048           }
8049
8050         case EOP_ESCAPE8BIT:
8051           {
8052           uschar c;
8053
8054           for (const uschar * s = sub; (c = *s); s++)
8055             yield = c < 127 && c != '\\'
8056               ? string_catn(yield, s, 1)
8057               : string_fmt_append(yield, "\\%03o", c);
8058           break;
8059           }
8060
8061         /* Handle numeric expression evaluation */
8062
8063         case EOP_EVAL:
8064         case EOP_EVAL10:
8065           {
8066           uschar *save_sub = sub;
8067           uschar *error = NULL;
8068           int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
8069           if (error)
8070             {
8071             expand_string_message = string_sprintf("error in expression "
8072               "evaluation: %s (after processing \"%.*s\")", error,
8073               (int)(sub-save_sub), save_sub);
8074             goto EXPAND_FAILED;
8075             }
8076           yield = string_fmt_append(yield, PR_EXIM_ARITH, n);
8077           break;
8078           }
8079
8080         /* Handle time period formatting */
8081
8082         case EOP_TIME_EVAL:
8083           {
8084           int n = readconf_readtime(sub, 0, FALSE);
8085           if (n < 0)
8086             {
8087             expand_string_message = string_sprintf("string \"%s\" is not an "
8088               "Exim time interval in \"%s\" operator", sub, name);
8089             goto EXPAND_FAILED;
8090             }
8091           yield = string_fmt_append(yield, "%d", n);
8092           break;
8093           }
8094
8095         case EOP_TIME_INTERVAL:
8096           {
8097           int n;
8098           uschar *t = read_number(&n, sub);
8099           if (*t != 0) /* Not A Number*/
8100             {
8101             expand_string_message = string_sprintf("string \"%s\" is not a "
8102               "positive number in \"%s\" operator", sub, name);
8103             goto EXPAND_FAILED;
8104             }
8105           t = readconf_printtime(n);
8106           yield = string_cat(yield, t);
8107           break;
8108           }
8109
8110         /* Convert string to base64 encoding */
8111
8112         case EOP_STR2B64:
8113         case EOP_BASE64:
8114           {
8115 #ifndef DISABLE_TLS
8116           uschar * s = vp && *(void **)vp->value
8117             ? tls_cert_der_b64(*(void **)vp->value)
8118             : b64encode(CUS sub, Ustrlen(sub));
8119 #else
8120           uschar * s = b64encode(CUS sub, Ustrlen(sub));
8121 #endif
8122           yield = string_cat(yield, s);
8123           break;
8124           }
8125
8126         case EOP_BASE64D:
8127           {
8128           uschar * s;
8129           int len = b64decode(sub, &s, sub);
8130           if (len < 0)
8131             {
8132             expand_string_message = string_sprintf("string \"%s\" is not "
8133               "well-formed for \"%s\" operator", sub, name);
8134             goto EXPAND_FAILED;
8135             }
8136           yield = string_cat(yield, s);
8137           break;
8138           }
8139
8140         /* strlen returns the length of the string */
8141
8142         case EOP_STRLEN:
8143           yield = string_fmt_append(yield, "%d", Ustrlen(sub));
8144           break;
8145
8146         /* length_n or l_n takes just the first n characters or the whole string,
8147         whichever is the shorter;
8148
8149         substr_m_n, and s_m_n take n characters from offset m; negative m take
8150         from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
8151         takes the rest, either to the right or to the left.
8152
8153         hash_n or h_n makes a hash of length n from the string, yielding n
8154         characters from the set a-z; hash_n_m makes a hash of length n, but
8155         uses m characters from the set a-zA-Z0-9.
8156
8157         nhash_n returns a single number between 0 and n-1 (in text form), while
8158         nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
8159         between 0 and n-1 and the second between 0 and m-1. */
8160
8161         case EOP_LENGTH:
8162         case EOP_L:
8163         case EOP_SUBSTR:
8164         case EOP_S:
8165         case EOP_HASH:
8166         case EOP_H:
8167         case EOP_NHASH:
8168         case EOP_NH:
8169           {
8170           int sign = 1;
8171           int value1 = 0;
8172           int value2 = -1;
8173           int *pn;
8174           int len;
8175           uschar *ret;
8176
8177           if (!arg)
8178             {
8179             expand_string_message = string_sprintf("missing values after %s",
8180               name);
8181             goto EXPAND_FAILED;
8182             }
8183
8184           /* "length" has only one argument, effectively being synonymous with
8185           substr_0_n. */
8186
8187           if (c == EOP_LENGTH || c == EOP_L)
8188             {
8189             pn = &value2;
8190             value2 = 0;
8191             }
8192
8193           /* The others have one or two arguments; for "substr" the first may be
8194           negative. The second being negative means "not supplied". */
8195
8196           else
8197             {
8198             pn = &value1;
8199             if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
8200             }
8201
8202           /* Read up to two numbers, separated by underscores */
8203
8204           ret = arg;
8205           while (*arg != 0)
8206             {
8207             if (arg != ret && *arg == '_' && pn == &value1)
8208               {
8209               pn = &value2;
8210               value2 = 0;
8211               if (arg[1] != 0) arg++;
8212               }
8213             else if (!isdigit(*arg))
8214               {
8215               expand_string_message =
8216                 string_sprintf("non-digit after underscore in \"%s\"", name);
8217               goto EXPAND_FAILED;
8218               }
8219             else *pn = (*pn)*10 + *arg++ - '0';
8220             }
8221           value1 *= sign;
8222
8223           /* Perform the required operation */
8224
8225           ret = c == EOP_HASH || c == EOP_H
8226             ? compute_hash(sub, value1, value2, &len)
8227             : c == EOP_NHASH || c == EOP_NH
8228             ? compute_nhash(sub, value1, value2, &len)
8229             : extract_substr(sub, value1, value2, &len);
8230           if (!ret) goto EXPAND_FAILED;
8231
8232           yield = string_catn(yield, ret, len);
8233           break;
8234           }
8235
8236         /* Stat a path */
8237
8238         case EOP_STAT:
8239           {
8240           uschar smode[12];
8241           uschar **modetable[3];
8242           mode_t mode;
8243           struct stat st;
8244
8245           if (expand_forbid & RDO_EXISTS)
8246             {
8247             expand_string_message = US"Use of the stat() expansion is not permitted";
8248             goto EXPAND_FAILED;
8249             }
8250
8251           if (stat(CS sub, &st) < 0)
8252             {
8253             expand_string_message = string_sprintf("stat(%s) failed: %s",
8254               sub, strerror(errno));
8255             goto EXPAND_FAILED;
8256             }
8257           mode = st.st_mode;
8258           switch (mode & S_IFMT)
8259             {
8260             case S_IFIFO: smode[0] = 'p'; break;
8261             case S_IFCHR: smode[0] = 'c'; break;
8262             case S_IFDIR: smode[0] = 'd'; break;
8263             case S_IFBLK: smode[0] = 'b'; break;
8264             case S_IFREG: smode[0] = '-'; break;
8265             default: smode[0] = '?'; break;
8266             }
8267
8268           modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
8269           modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
8270           modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
8271
8272           for (int i = 0; i < 3; i++)
8273             {
8274             memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
8275             mode >>= 3;
8276             }
8277
8278           smode[10] = 0;
8279           yield = string_fmt_append(yield,
8280             "mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
8281             "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
8282             (long)(st.st_mode & 077777), smode, (long)st.st_ino,
8283             (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
8284             (long)st.st_gid, st.st_size, (long)st.st_atime,
8285             (long)st.st_mtime, (long)st.st_ctime);
8286           break;
8287           }
8288
8289         /* vaguely random number less than N */
8290
8291         case EOP_RANDINT:
8292           {
8293           int_eximarith_t max = expanded_string_integer(sub, TRUE);
8294
8295           if (expand_string_message)
8296             goto EXPAND_FAILED;
8297           yield = string_fmt_append(yield, "%d", vaguely_random_number((int)max));
8298           break;
8299           }
8300
8301         /* Reverse IP, including IPv6 to dotted-nibble */
8302
8303         case EOP_REVERSE_IP:
8304           {
8305           int family, maskptr;
8306           uschar reversed[128];
8307
8308           family = string_is_ip_address(sub, &maskptr);
8309           if (family == 0)
8310             {
8311             expand_string_message = string_sprintf(
8312                 "reverse_ip() not given an IP address [%s]", sub);
8313             goto EXPAND_FAILED;
8314             }
8315           invert_address(reversed, sub);
8316           yield = string_cat(yield, reversed);
8317           break;
8318           }
8319
8320         /* Unknown operator */
8321
8322         default:
8323           expand_string_message =
8324             string_sprintf("unknown expansion operator \"%s\"", name);
8325           goto EXPAND_FAILED;
8326         }       /* EOP_* switch */
8327
8328        DEBUG(D_expand)
8329         {
8330         const uschar * res = string_from_gstring(yield);
8331         const uschar * s = res + expansion_start;
8332         int i = gstring_length(yield) - expansion_start;
8333         BOOL tainted = is_tainted(s);
8334
8335         debug_printf_indent("%Vop-res: %.*s\n", "K-----", i, s);
8336         if (tainted)
8337           {
8338           debug_printf_indent("%V          %V",
8339             flags & ESI_SKIPPING ? "|" : " ",
8340             "\\__");
8341           debug_print_taint(res);
8342           }
8343         }
8344        continue;
8345        }
8346     }
8347
8348   /* Not an item or an operator */
8349   /* Handle a plain name. If this is the first thing in the expansion, release
8350   the pre-allocated buffer. If the result data is known to be in a new buffer,
8351   newsize will be set to the size of that buffer, and we can just point at that
8352   store instead of copying. Many expansion strings contain just one reference,
8353   so this is a useful optimization, especially for humungous headers
8354   ($message_headers). */
8355                                                 /*{*/
8356   if (*s++ == '}')
8357     {
8358     const uschar * value;
8359     int len;
8360     int newsize = 0;
8361     gstring * g = NULL;
8362
8363     if (!yield)
8364       g = store_get(sizeof(gstring), GET_UNTAINTED);
8365     else if (yield->ptr == 0)
8366       {
8367       if (resetok) reset_point = store_reset(reset_point);
8368       yield = NULL;
8369       reset_point = store_mark();
8370       g = store_get(sizeof(gstring), GET_UNTAINTED);    /* alloc _before_ calling find_variable() */
8371       }
8372     if (!(value = find_variable(name, FALSE, !!(flags & ESI_SKIPPING), &newsize)))
8373       {
8374       expand_string_message =
8375         string_sprintf("unknown variable in \"${%s}\"", name);
8376       check_variable_error_message(name);
8377       goto EXPAND_FAILED;
8378       }
8379     len = Ustrlen(value);
8380     if (!yield && newsize)
8381       {
8382       yield = g;
8383       yield->size = newsize;
8384       yield->ptr = len;
8385       yield->s = US value; /* known to be in new store i.e. a copy, so deconst safe */
8386       }
8387     else
8388       yield = string_catn(yield, value, len);
8389     continue;
8390     }
8391
8392   /* Else there's something wrong */
8393
8394   expand_string_message =
8395     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
8396     "in a variable reference)", name);
8397   goto EXPAND_FAILED;
8398   }
8399
8400 /* If we hit the end of the string when brace_ends is set, there is a missing
8401 terminating brace. */
8402
8403 if (flags & ESI_BRACE_ENDS && !*s)
8404   {                                                     /*{{*/
8405   expand_string_message = malformed_header
8406     ? US"missing } at end of string - could be header name not terminated by colon"
8407     : US"missing } at end of string";
8408   goto EXPAND_FAILED;
8409   }
8410
8411 /* Expansion succeeded; yield may still be NULL here if nothing was actually
8412 added to the string. If so, set up an empty string. Add a terminating zero. If
8413 left != NULL, return a pointer to the terminator. */
8414
8415  {
8416   uschar * res;
8417
8418   if (!yield)
8419     yield = string_get(1);
8420   res = string_from_gstring(yield);
8421   if (left) *left = s;
8422
8423   /* Any stacking store that was used above the final string is no longer needed.
8424   In many cases the final string will be the first one that was got and so there
8425   will be optimal store usage. */
8426
8427   if (resetok) gstring_release_unused(yield);
8428   else if (resetok_p) *resetok_p = FALSE;
8429
8430   DEBUG(D_expand)
8431     {
8432     BOOL tainted = is_tainted(res);
8433     debug_printf_indent("%Vexpanded: %.*W\n",
8434       "K---",
8435       (int)(s - string), string);
8436     debug_printf_indent("%Vresult: ",
8437       flags & ESI_SKIPPING ? "K-----" : "\\_____");
8438     if (*res || !(flags & ESI_SKIPPING))
8439       debug_printf("%W\n", res);
8440     else
8441       debug_printf(" %Vskipped%V\n", "<", ">");
8442     if (tainted)
8443       {
8444       debug_printf_indent("%V          %V",
8445         flags & ESI_SKIPPING ? "|" : " ",
8446         "\\__"
8447         );
8448       debug_print_taint(res);
8449       }
8450     if (flags & ESI_SKIPPING)
8451       debug_printf_indent("%Vskipping: result is not used\n", "\\___");
8452     }
8453   if (textonly_p) *textonly_p = textonly;
8454   expand_level--;
8455   return res;
8456  }
8457
8458 /* This is the failure exit: easiest to program with a goto. We still need
8459 to update the pointer to the terminator, for cases of nested calls with "fail".
8460 */
8461
8462 EXPAND_FAILED_CURLY:
8463 if (malformed_header)
8464   expand_string_message =
8465     US"missing or misplaced { or } - could be header name not terminated by colon";
8466
8467 else if (!expand_string_message || !*expand_string_message)
8468   expand_string_message = US"missing or misplaced { or }";
8469
8470 /* At one point, Exim reset the store to yield (if yield was not NULL), but
8471 that is a bad idea, because expand_string_message is in dynamic store. */
8472
8473 EXPAND_FAILED:
8474 if (left) *left = s;
8475 DEBUG(D_expand)
8476   {
8477   debug_printf_indent("%Vfailed to expand: %s\n", "K", string);
8478   debug_printf_indent("%Verror message: %s\n",
8479     f.expand_string_forcedfail ? "K---" : "\\___", expand_string_message);
8480   if (f.expand_string_forcedfail)
8481     debug_printf_indent("%Vfailure was forced\n", "\\");
8482   }
8483 if (resetok_p && !resetok) *resetok_p = FALSE;
8484 expand_level--;
8485 return NULL;
8486 }
8487
8488
8489
8490 /* This is the external function call. Do a quick check for any expansion
8491 metacharacters, and if there are none, just return the input string.
8492
8493 Arguments
8494         the string to be expanded
8495         optional pointer for return boolean indicating no-dynamic-expansions
8496
8497 Returns:  the expanded string, or NULL if expansion failed; if failure was
8498           due to a lookup deferring, search_find_defer will be TRUE
8499 */
8500
8501 const uschar *
8502 expand_string_2(const uschar * string, BOOL * textonly_p)
8503 {
8504 f.expand_string_forcedfail = f.search_find_defer = malformed_header = FALSE;
8505 if (Ustrpbrk(string, "$\\") != NULL)
8506   {
8507   int old_pool = store_pool;
8508   uschar * s;
8509
8510   store_pool = POOL_MAIN;
8511     s = expand_string_internal(string, ESI_HONOR_DOLLAR, NULL, NULL, textonly_p);
8512   store_pool = old_pool;
8513   return s;
8514   }
8515 if (textonly_p) *textonly_p = TRUE;
8516 return string;
8517 }
8518
8519 const uschar *
8520 expand_cstring(const uschar * string)
8521 { return expand_string_2(string, NULL); }
8522
8523 uschar *
8524 expand_string(uschar * string)
8525 { return US expand_string_2(CUS string, NULL); }
8526
8527
8528
8529
8530
8531
8532 /*************************************************
8533 *              Expand and copy                   *
8534 *************************************************/
8535
8536 /* Now and again we want to expand a string and be sure that the result is in a
8537 new bit of store. This function does that.
8538 Since we know it has been copied, the de-const cast is safe.
8539
8540 Argument: the string to be expanded
8541 Returns:  the expanded string, always in a new bit of store, or NULL
8542 */
8543
8544 uschar *
8545 expand_string_copy(const uschar *string)
8546 {
8547 const uschar *yield = expand_cstring(string);
8548 if (yield == string) yield = string_copy(string);
8549 return US yield;
8550 }
8551
8552
8553
8554 /*************************************************
8555 *        Expand and interpret as an integer      *
8556 *************************************************/
8557
8558 /* Expand a string, and convert the result into an integer.
8559
8560 Arguments:
8561   string  the string to be expanded
8562   isplus  TRUE if a non-negative number is expected
8563
8564 Returns:  the integer value, or
8565           -1 for an expansion error               ) in both cases, message in
8566           -2 for an integer interpretation error  ) expand_string_message
8567           expand_string_message is set NULL for an OK integer
8568 */
8569
8570 int_eximarith_t
8571 expand_string_integer(uschar *string, BOOL isplus)
8572 {
8573 return expanded_string_integer(expand_string(string), isplus);
8574 }
8575
8576
8577 /*************************************************
8578  *         Interpret string as an integer        *
8579  *************************************************/
8580
8581 /* Convert a string (that has already been expanded) into an integer.
8582
8583 This function is used inside the expansion code.
8584
8585 Arguments:
8586   s       the string to be expanded
8587   isplus  TRUE if a non-negative number is expected
8588
8589 Returns:  the integer value, or
8590           -1 if string is NULL (which implies an expansion error)
8591           -2 for an integer interpretation error
8592           expand_string_message is set NULL for an OK integer
8593 */
8594
8595 static int_eximarith_t
8596 expanded_string_integer(const uschar *s, BOOL isplus)
8597 {
8598 int_eximarith_t value;
8599 uschar *msg = US"invalid integer \"%s\"";
8600 uschar *endptr;
8601
8602 /* If expansion failed, expand_string_message will be set. */
8603
8604 if (!s) return -1;
8605
8606 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
8607 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
8608 systems, so we set it zero ourselves. */
8609
8610 errno = 0;
8611 expand_string_message = NULL;               /* Indicates no error */
8612
8613 /* Before Exim 4.64, strings consisting entirely of whitespace compared
8614 equal to 0.  Unfortunately, people actually relied upon that, so preserve
8615 the behaviour explicitly.  Stripping leading whitespace is a harmless
8616 noop change since strtol skips it anyway (provided that there is a number
8617 to find at all). */
8618 if (isspace(*s))
8619   if (Uskip_whitespace(&s) == '\0')
8620     {
8621       DEBUG(D_expand)
8622        debug_printf_indent("treating blank string as number 0\n");
8623       return 0;
8624     }
8625
8626 value = strtoll(CS s, CSS &endptr, 10);
8627
8628 if (endptr == s)
8629   msg = US"integer expected but \"%s\" found";
8630 else if (value < 0 && isplus)
8631   msg = US"non-negative integer expected but \"%s\" found";
8632 else
8633   {
8634   switch (tolower(*endptr))
8635     {
8636     default:
8637       break;
8638     case 'k':
8639       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
8640       else value *= 1024;
8641       endptr++;
8642       break;
8643     case 'm':
8644       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
8645       else value *= 1024*1024;
8646       endptr++;
8647       break;
8648     case 'g':
8649       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
8650       else value *= 1024*1024*1024;
8651       endptr++;
8652       break;
8653     }
8654   if (errno == ERANGE)
8655     msg = US"absolute value of integer \"%s\" is too large (overflow)";
8656   else
8657     if (Uskip_whitespace(&endptr) == 0) return value;
8658   }
8659
8660 expand_string_message = string_sprintf(CS msg, s);
8661 return -2;
8662 }
8663
8664
8665 /* These values are usually fixed boolean values, but they are permitted to be
8666 expanded strings.
8667
8668 Arguments:
8669   addr       address being routed
8670   mtype      the module type
8671   mname      the module name
8672   dbg_opt    debug selectors
8673   oname      the option name
8674   bvalue     the router's boolean value
8675   svalue     the router's string value
8676   rvalue     where to put the returned value
8677
8678 Returns:     OK     value placed in rvalue
8679              DEFER  expansion failed
8680 */
8681
8682 int
8683 exp_bool(address_item * addr,
8684   uschar * mtype, uschar * mname, unsigned dbg_opt,
8685   uschar * oname, BOOL bvalue,
8686   uschar * svalue, BOOL * rvalue)
8687 {
8688 uschar * expanded;
8689
8690 DEBUG(D_expand) debug_printf("try option %s\n", oname);
8691 if (!svalue) { *rvalue = bvalue; return OK; }
8692
8693 if (!(expanded = expand_string(svalue)))
8694   {
8695   if (f.expand_string_forcedfail)
8696     {
8697     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
8698     *rvalue = bvalue;
8699     return OK;
8700     }
8701   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
8702       oname, mname, mtype, expand_string_message);
8703   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
8704   return DEFER;
8705   }
8706
8707 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
8708   expanded);
8709
8710 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
8711   *rvalue = TRUE;
8712 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
8713   *rvalue = FALSE;
8714 else
8715   {
8716   addr->message = string_sprintf("\"%s\" is not a valid value for the "
8717     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
8718   return DEFER;
8719   }
8720
8721 return OK;
8722 }
8723
8724
8725
8726 /* Avoid potentially exposing a password in a string about to be logged */
8727
8728 uschar *
8729 expand_hide_passwords(uschar * s)
8730 {
8731 return (  (  Ustrstr(s, "failed to expand") != NULL
8732           || Ustrstr(s, "expansion of ")    != NULL
8733           )
8734        && (  Ustrstr(s, "mysql")   != NULL
8735           || Ustrstr(s, "pgsql")   != NULL
8736           || Ustrstr(s, "redis")   != NULL
8737           || Ustrstr(s, "sqlite")  != NULL
8738           || Ustrstr(s, "ldap:")   != NULL
8739           || Ustrstr(s, "ldaps:")  != NULL
8740           || Ustrstr(s, "ldapi:")  != NULL
8741           || Ustrstr(s, "ldapdn:") != NULL
8742           || Ustrstr(s, "ldapm:")  != NULL
8743        )  )
8744   ? US"Temporary internal error" : s;
8745 }
8746
8747
8748 /* Read given named file into big_buffer.  Use for keying material etc.
8749 The content will have an ascii NUL appended.
8750
8751 Arguments:
8752  filename       as it says
8753
8754 Return:  pointer to buffer, or NULL on error.
8755 */
8756
8757 uschar *
8758 expand_file_big_buffer(const uschar * filename)
8759 {
8760 int fd, off = 0, len;
8761
8762 if ((fd = exim_open2(CS filename, O_RDONLY)) < 0)
8763   {
8764   log_write(0, LOG_MAIN | LOG_PANIC, "unable to open file for reading: %s",
8765              filename);
8766   return NULL;
8767   }
8768
8769 do
8770   {
8771   if ((len = read(fd, big_buffer + off, big_buffer_size - 2 - off)) < 0)
8772     {
8773     (void) close(fd);
8774     log_write(0, LOG_MAIN|LOG_PANIC, "unable to read file: %s", filename);
8775     return NULL;
8776     }
8777   off += len;
8778   }
8779 while (len > 0);
8780
8781 (void) close(fd);
8782 big_buffer[off] = '\0';
8783 return big_buffer;
8784 }
8785
8786
8787
8788 /*************************************************
8789 * Error-checking for testsuite                   *
8790 *************************************************/
8791 typedef struct {
8792   uschar *      region_start;
8793   uschar *      region_end;
8794   const uschar *var_name;
8795   const uschar *var_data;
8796 } err_ctx;
8797
8798 /* Called via tree_walk, which allows nonconst name/data.  Our usage is const. */
8799 static void
8800 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
8801 {
8802 err_ctx * e = ctx;
8803 if (var_data >= e->region_start  &&  var_data < e->region_end)
8804   {
8805   e->var_name = CUS var_name;
8806   e->var_data = CUS var_data;
8807   }
8808 }
8809
8810 void
8811 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
8812 {
8813 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
8814               .var_name = NULL, .var_data = NULL };
8815
8816 /* check acl_ variables */
8817 tree_walk(acl_var_c, assert_variable_notin, &e);
8818 tree_walk(acl_var_m, assert_variable_notin, &e);
8819
8820 /* check auth<n> variables.
8821 assert_variable_notin() treats as const, so deconst is safe. */
8822 for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
8823   assert_variable_notin(US"auth<n>", US auth_vars[i], &e);
8824
8825 #ifdef WITH_CONTENT_SCAN
8826 /* check regex<n> variables. assert_variable_notin() treats as const. */
8827 for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
8828   assert_variable_notin(US"regex<n>", US regex_vars[i], &e);
8829 #endif
8830
8831 /* check known-name variables */
8832 for (var_entry * v = var_table; v < var_table + nelem(var_table); v++)
8833   if (v->type == vtype_stringptr)
8834     assert_variable_notin(US v->name, *(USS v->value), &e);
8835
8836 /* check dns and address trees */
8837 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
8838 tree_walk(tree_duplicates,    assert_variable_notin, &e);
8839 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
8840 tree_walk(tree_unusable,      assert_variable_notin, &e);
8841
8842 if (e.var_name)
8843   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
8844     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
8845     e.var_name, filename, linenumber, e.var_data);
8846 }
8847
8848
8849
8850 /*************************************************
8851 **************************************************
8852 *             Stand-alone test program           *
8853 **************************************************
8854 *************************************************/
8855
8856 #ifdef STAND_ALONE
8857
8858
8859 BOOL
8860 regex_match_and_setup(const pcre2_code *re, uschar *subject, int options, int setup)
8861 {
8862 int ovec[3*(EXPAND_MAXN+1)];
8863 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
8864   ovec, nelem(ovec));
8865 BOOL yield = n >= 0;
8866 if (n == 0) n = EXPAND_MAXN + 1;
8867 if (yield)
8868   {
8869   expand_nmax = setup < 0 ? 0 : setup + 1;
8870   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
8871     {
8872     expand_nstring[expand_nmax] = subject + ovec[nn];
8873     expand_nlength[expand_nmax++] = ovec[nn+1] - ovec[nn];
8874     }
8875   expand_nmax--;
8876   }
8877 return yield;
8878 }
8879
8880
8881 int main(int argc, uschar **argv)
8882 {
8883 uschar buffer[1024];
8884
8885 debug_selector = D_v;
8886 debug_file = stderr;
8887 debug_fd = fileno(debug_file);
8888 big_buffer = malloc(big_buffer_size);
8889 store_init();
8890
8891 for (int i = 1; i < argc; i++)
8892   {
8893   if (argv[i][0] == '+')
8894     {
8895     debug_trace_memory = 2;
8896     argv[i]++;
8897     }
8898   if (isdigit(argv[i][0]))
8899     debug_selector = Ustrtol(argv[i], NULL, 0);
8900   else
8901     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
8902         Ustrlen(argv[i]))
8903       {
8904 #ifdef LOOKUP_LDAP
8905       eldap_default_servers = argv[i];
8906 #endif
8907 #ifdef LOOKUP_MYSQL
8908       mysql_servers = argv[i];
8909 #endif
8910 #ifdef LOOKUP_PGSQL
8911       pgsql_servers = argv[i];
8912 #endif
8913 #ifdef LOOKUP_REDIS
8914       redis_servers = argv[i];
8915 #endif
8916       }
8917 #ifdef EXIM_PERL
8918   else opt_perl_startup = argv[i];
8919 #endif
8920   }
8921
8922 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
8923
8924 expand_nstring[1] = US"string 1....";
8925 expand_nlength[1] = 8;
8926 expand_nmax = 1;
8927
8928 #ifdef EXIM_PERL
8929 if (opt_perl_startup != NULL)
8930   {
8931   uschar *errstr;
8932   printf("Starting Perl interpreter\n");
8933   errstr = init_perl(opt_perl_startup);
8934   if (errstr != NULL)
8935     {
8936     printf("** error in perl_startup code: %s\n", errstr);
8937     return EXIT_FAILURE;
8938     }
8939   }
8940 #endif /* EXIM_PERL */
8941
8942 /* Thie deliberately regards the input as untainted, so that it can be
8943 expanded; only reasonable since this is a test for string-expansions. */
8944
8945 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
8946   {
8947   rmark reset_point = store_mark();
8948   uschar *yield = expand_string(buffer);
8949   if (yield)
8950     printf("%s\n", yield);
8951   else
8952     {
8953     if (f.search_find_defer) printf("search_find deferred\n");
8954     printf("Failed: %s\n", expand_string_message);
8955     if (f.expand_string_forcedfail) printf("Forced failure\n");
8956     printf("\n");
8957     }
8958   store_reset(reset_point);
8959   }
8960
8961 search_tidyup();
8962
8963 return 0;
8964 }
8965
8966 #endif  /*STAND_ALONE*/
8967
8968 #endif  /*!MACRO_PREDEF*/
8969 /* vi: aw ai sw=2
8970 */
8971 /* End of expand.c */