286d61568ab1c4a847848121916ba2ab8aa20444
[exim.git] / src / src / acl.c
1 /* $Cambridge: exim/src/src/acl.c,v 1.53 2005/12/12 15:58:53 ph10 Exp $ */
2
3 /*************************************************
4 *     Exim - an Internet mail transport agent    *
5 *************************************************/
6
7 /* Copyright (c) University of Cambridge 1995 - 2005 */
8 /* See the file NOTICE for conditions of use and distribution. */
9
10 /* Code for handling Access Control Lists (ACLs) */
11
12 #include "exim.h"
13
14
15 /* Default callout timeout */
16
17 #define CALLOUT_TIMEOUT_DEFAULT 30
18
19 /* ACL verb codes - keep in step with the table of verbs that follows */
20
21 enum { ACL_ACCEPT, ACL_DEFER, ACL_DENY, ACL_DISCARD, ACL_DROP, ACL_REQUIRE,
22        ACL_WARN };
23
24 /* ACL verbs */
25
26 static uschar *verbs[] =
27   { US"accept", US"defer", US"deny", US"discard", US"drop", US"require",
28     US"warn" };
29
30 /* For each verb, the condition for which "message" is used */
31
32 static int msgcond[] = { FAIL, OK, OK, FAIL, OK, FAIL, OK };
33
34 /* ACL condition and modifier codes - keep in step with the table that
35 follows. */
36
37 enum { ACLC_ACL, ACLC_AUTHENTICATED,
38 #ifdef EXPERIMENTAL_BRIGHTMAIL
39        ACLC_BMI_OPTIN,
40 #endif
41 ACLC_CONDITION, ACLC_CONTROL,
42 #ifdef WITH_CONTENT_SCAN
43        ACLC_DECODE,
44 #endif
45        ACLC_DELAY,
46 #ifdef WITH_OLD_DEMIME
47        ACLC_DEMIME,
48 #endif
49 #ifdef EXPERIMENTAL_DOMAINKEYS
50        ACLC_DK_DOMAIN_SOURCE,
51        ACLC_DK_POLICY,
52        ACLC_DK_SENDER_DOMAINS,
53        ACLC_DK_SENDER_LOCAL_PARTS,
54        ACLC_DK_SENDERS,
55        ACLC_DK_STATUS,
56 #endif
57        ACLC_DNSLISTS, ACLC_DOMAINS, ACLC_ENCRYPTED, ACLC_ENDPASS,
58        ACLC_HOSTS, ACLC_LOCAL_PARTS, ACLC_LOG_MESSAGE, ACLC_LOGWRITE,
59 #ifdef WITH_CONTENT_SCAN
60        ACLC_MALWARE,
61 #endif
62        ACLC_MESSAGE,
63 #ifdef WITH_CONTENT_SCAN
64        ACLC_MIME_REGEX,
65 #endif
66        ACLC_RATELIMIT,
67        ACLC_RECIPIENTS,
68 #ifdef WITH_CONTENT_SCAN
69        ACLC_REGEX,
70 #endif
71        ACLC_SENDER_DOMAINS, ACLC_SENDERS, ACLC_SET,
72 #ifdef WITH_CONTENT_SCAN
73        ACLC_SPAM,
74 #endif
75 #ifdef EXPERIMENTAL_SPF
76        ACLC_SPF,
77 #endif
78        ACLC_VERIFY };
79
80 /* ACL conditions/modifiers: "delay", "control", "endpass", "message",
81 "log_message", "logwrite", and "set" are modifiers that look like conditions
82 but always return TRUE. They are used for their side effects. */
83
84 static uschar *conditions[] = {
85   US"acl",
86   US"authenticated",
87 #ifdef EXPERIMENTAL_BRIGHTMAIL
88   US"bmi_optin",
89 #endif
90   US"condition",
91   US"control",
92 #ifdef WITH_CONTENT_SCAN
93   US"decode",
94 #endif
95   US"delay",
96 #ifdef WITH_OLD_DEMIME
97   US"demime",
98 #endif
99 #ifdef EXPERIMENTAL_DOMAINKEYS
100   US"dk_domain_source",
101   US"dk_policy",
102   US"dk_sender_domains",
103   US"dk_sender_local_parts",
104   US"dk_senders",
105   US"dk_status",
106 #endif
107   US"dnslists", US"domains", US"encrypted",
108   US"endpass", US"hosts", US"local_parts", US"log_message", US"logwrite",
109 #ifdef WITH_CONTENT_SCAN
110   US"malware",
111 #endif
112   US"message",
113 #ifdef WITH_CONTENT_SCAN
114   US"mime_regex",
115 #endif
116   US"ratelimit",
117   US"recipients",
118 #ifdef WITH_CONTENT_SCAN
119   US"regex",
120 #endif
121   US"sender_domains", US"senders", US"set",
122 #ifdef WITH_CONTENT_SCAN
123   US"spam",
124 #endif
125 #ifdef EXPERIMENTAL_SPF
126   US"spf",
127 #endif
128   US"verify" };
129
130
131 /* Return values from decode_control(); keep in step with the table of names
132 that follows! */
133
134 enum {
135 #ifdef EXPERIMENTAL_BRIGHTMAIL
136   CONTROL_BMI_RUN,
137 #endif
138 #ifdef EXPERIMENTAL_DOMAINKEYS
139   CONTROL_DK_VERIFY,
140 #endif
141   CONTROL_ERROR, CONTROL_CASEFUL_LOCAL_PART, CONTROL_CASELOWER_LOCAL_PART,
142   CONTROL_ENFORCE_SYNC, CONTROL_NO_ENFORCE_SYNC, CONTROL_FREEZE,
143   CONTROL_QUEUE_ONLY, CONTROL_SUBMISSION, CONTROL_SUPPRESS_LOCAL_FIXUPS,
144 #ifdef WITH_CONTENT_SCAN
145   CONTROL_NO_MBOX_UNSPOOL,
146 #endif
147   CONTROL_FAKEDEFER, CONTROL_FAKEREJECT, CONTROL_NO_MULTILINE };
148
149 /* ACL control names; keep in step with the table above! This list is used for
150 turning ids into names. The actual list of recognized names is in the variable
151 control_def controls_list[] below. The fact that there are two lists is a mess
152 and should be tidied up. */
153
154 static uschar *controls[] = {
155   #ifdef EXPERIMENTAL_BRIGHTMAIL
156   US"bmi_run",
157   #endif
158   #ifdef EXPERIMENTAL_DOMAINKEYS
159   US"dk_verify",
160   #endif
161   US"error", US"caseful_local_part",
162   US"caselower_local_part", US"enforce_sync", US"no_enforce_sync", US"freeze",
163   US"queue_only", US"submission", US"suppress_local_fixups",
164   #ifdef WITH_CONTENT_SCAN
165   US"no_mbox_unspool",
166   #endif
167
168   US"no_multiline"};
169
170 /* Flags to indicate for which conditions /modifiers a string expansion is done
171 at the outer level. In the other cases, expansion already occurs in the
172 checking functions. */
173
174 static uschar cond_expand_at_top[] = {
175   TRUE,    /* acl */
176   FALSE,   /* authenticated */
177 #ifdef EXPERIMENTAL_BRIGHTMAIL
178   TRUE,    /* bmi_optin */
179 #endif
180   TRUE,    /* condition */
181   TRUE,    /* control */
182 #ifdef WITH_CONTENT_SCAN
183   TRUE,    /* decode */
184 #endif
185   TRUE,    /* delay */
186 #ifdef WITH_OLD_DEMIME
187   TRUE,    /* demime */
188 #endif
189 #ifdef EXPERIMENTAL_DOMAINKEYS
190   TRUE,    /* dk_domain_source */
191   TRUE,    /* dk_policy */
192   TRUE,    /* dk_sender_domains */
193   TRUE,    /* dk_sender_local_parts */
194   TRUE,    /* dk_senders */
195   TRUE,    /* dk_status */
196 #endif
197   TRUE,    /* dnslists */
198   FALSE,   /* domains */
199   FALSE,   /* encrypted */
200   TRUE,    /* endpass */
201   FALSE,   /* hosts */
202   FALSE,   /* local_parts */
203   TRUE,    /* log_message */
204   TRUE,    /* logwrite */
205 #ifdef WITH_CONTENT_SCAN
206   TRUE,    /* malware */
207 #endif
208   TRUE,    /* message */
209 #ifdef WITH_CONTENT_SCAN
210   TRUE,    /* mime_regex */
211 #endif
212   TRUE,    /* ratelimit */
213   FALSE,   /* recipients */
214 #ifdef WITH_CONTENT_SCAN
215   TRUE,    /* regex */
216 #endif
217   FALSE,   /* sender_domains */
218   FALSE,   /* senders */
219   TRUE,    /* set */
220 #ifdef WITH_CONTENT_SCAN
221   TRUE,    /* spam */
222 #endif
223 #ifdef EXPERIMENTAL_SPF
224   TRUE,    /* spf */
225 #endif
226   TRUE     /* verify */
227 };
228
229 /* Flags to identify the modifiers */
230
231 static uschar cond_modifiers[] = {
232   FALSE,   /* acl */
233   FALSE,   /* authenticated */
234 #ifdef EXPERIMENTAL_BRIGHTMAIL
235   TRUE,    /* bmi_optin */
236 #endif
237   FALSE,   /* condition */
238   TRUE,    /* control */
239 #ifdef WITH_CONTENT_SCAN
240   FALSE,   /* decode */
241 #endif
242   TRUE,    /* delay */
243 #ifdef WITH_OLD_DEMIME
244   FALSE,   /* demime */
245 #endif
246 #ifdef EXPERIMENTAL_DOMAINKEYS
247   FALSE,   /* dk_domain_source */
248   FALSE,   /* dk_policy */
249   FALSE,   /* dk_sender_domains */
250   FALSE,   /* dk_sender_local_parts */
251   FALSE,   /* dk_senders */
252   FALSE,   /* dk_status */
253 #endif
254   FALSE,   /* dnslists */
255   FALSE,   /* domains */
256   FALSE,   /* encrypted */
257   TRUE,    /* endpass */
258   FALSE,   /* hosts */
259   FALSE,   /* local_parts */
260   TRUE,    /* log_message */
261   TRUE,    /* logwrite */
262 #ifdef WITH_CONTENT_SCAN
263   FALSE,   /* malware */
264 #endif
265   TRUE,    /* message */
266 #ifdef WITH_CONTENT_SCAN
267   FALSE,   /* mime_regex */
268 #endif
269   FALSE,   /* ratelimit */
270   FALSE,   /* recipients */
271 #ifdef WITH_CONTENT_SCAN
272   FALSE,   /* regex */
273 #endif
274   FALSE,   /* sender_domains */
275   FALSE,   /* senders */
276   TRUE,    /* set */
277 #ifdef WITH_CONTENT_SCAN
278   FALSE,   /* spam */
279 #endif
280 #ifdef EXPERIMENTAL_SPF
281   FALSE,   /* spf */
282 #endif
283   FALSE    /* verify */
284 };
285
286 /* Bit map vector of which conditions are not allowed at certain times. For
287 each condition, there's a bitmap of dis-allowed times. For some, it is easier
288 to specify the negation of a small number of allowed times. */
289
290 static unsigned int cond_forbids[] = {
291   0,                                               /* acl */
292
293   (1<<ACL_WHERE_NOTSMTP)|(1<<ACL_WHERE_CONNECT)|   /* authenticated */
294     (1<<ACL_WHERE_HELO),
295
296 #ifdef EXPERIMENTAL_BRIGHTMAIL
297   (1<<ACL_WHERE_AUTH)|                             /* bmi_optin */
298     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
299     (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_MIME)|
300     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
301     (1<<ACL_WHERE_MAILAUTH)|
302     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
303     (1<<ACL_WHERE_VRFY)|(1<<ACL_WHERE_PREDATA),
304 #endif
305
306   0,                                               /* condition */
307
308   /* Certain types of control are always allowed, so we let it through
309   always and check in the control processing itself. */
310
311   0,                                               /* control */
312
313 #ifdef WITH_CONTENT_SCAN
314   (unsigned int)
315   ~(1<<ACL_WHERE_MIME),                            /* decode */
316 #endif
317
318   0,                                               /* delay */
319
320 #ifdef WITH_OLD_DEMIME
321   (unsigned int)
322   ~((1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP)),   /* demime */
323 #endif
324
325 #ifdef EXPERIMENTAL_DOMAINKEYS
326   (1<<ACL_WHERE_AUTH)|                             /* dk_domain_source */
327     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
328     (1<<ACL_WHERE_RCPT)|(1<<ACL_WHERE_PREDATA)|
329     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
330     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
331     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
332     (1<<ACL_WHERE_VRFY),
333
334   (1<<ACL_WHERE_AUTH)|                             /* dk_policy */
335     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
336     (1<<ACL_WHERE_RCPT)|(1<<ACL_WHERE_PREDATA)|
337     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
338     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
339     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
340     (1<<ACL_WHERE_VRFY),
341
342   (1<<ACL_WHERE_AUTH)|                             /* dk_sender_domains */
343     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
344     (1<<ACL_WHERE_RCPT)|(1<<ACL_WHERE_PREDATA)|
345     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
346     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
347     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
348     (1<<ACL_WHERE_VRFY),
349
350   (1<<ACL_WHERE_AUTH)|                             /* dk_sender_local_parts */
351     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
352     (1<<ACL_WHERE_RCPT)|(1<<ACL_WHERE_PREDATA)|
353     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
354     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
355     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
356     (1<<ACL_WHERE_VRFY),
357
358   (1<<ACL_WHERE_AUTH)|                             /* dk_senders */
359     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
360     (1<<ACL_WHERE_RCPT)|(1<<ACL_WHERE_PREDATA)|
361     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
362     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
363     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
364     (1<<ACL_WHERE_VRFY),
365
366   (1<<ACL_WHERE_AUTH)|                             /* dk_status */
367     (1<<ACL_WHERE_CONNECT)|(1<<ACL_WHERE_HELO)|
368     (1<<ACL_WHERE_RCPT)|(1<<ACL_WHERE_PREDATA)|
369     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
370     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
371     (1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_STARTTLS)|
372     (1<<ACL_WHERE_VRFY),
373 #endif
374
375   (1<<ACL_WHERE_NOTSMTP),                          /* dnslists */
376
377   (unsigned int)
378   ~(1<<ACL_WHERE_RCPT),                            /* domains */
379
380   (1<<ACL_WHERE_NOTSMTP)|(1<<ACL_WHERE_CONNECT)|   /* encrypted */
381     (1<<ACL_WHERE_HELO),
382
383   0,                                               /* endpass */
384
385   (1<<ACL_WHERE_NOTSMTP),                          /* hosts */
386
387   (unsigned int)
388   ~(1<<ACL_WHERE_RCPT),                            /* local_parts */
389
390   0,                                               /* log_message */
391
392   0,                                               /* logwrite */
393
394 #ifdef WITH_CONTENT_SCAN
395   (unsigned int)
396   ~((1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP)),   /* malware */
397 #endif
398
399   0,                                               /* message */
400
401 #ifdef WITH_CONTENT_SCAN
402   (unsigned int)
403   ~(1<<ACL_WHERE_MIME),                            /* mime_regex */
404 #endif
405
406   0,                                               /* ratelimit */
407
408   (unsigned int)
409   ~(1<<ACL_WHERE_RCPT),                            /* recipients */
410
411 #ifdef WITH_CONTENT_SCAN
412   (unsigned int)
413   ~((1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP)|    /* regex */
414     (1<<ACL_WHERE_MIME)),
415 #endif
416
417   (1<<ACL_WHERE_AUTH)|(1<<ACL_WHERE_CONNECT)|      /* sender_domains */
418     (1<<ACL_WHERE_HELO)|
419     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
420     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
421     (1<<ACL_WHERE_STARTTLS)|(1<<ACL_WHERE_VRFY),
422
423   (1<<ACL_WHERE_AUTH)|(1<<ACL_WHERE_CONNECT)|      /* senders */
424     (1<<ACL_WHERE_HELO)|
425     (1<<ACL_WHERE_MAILAUTH)|(1<<ACL_WHERE_QUIT)|
426     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
427     (1<<ACL_WHERE_STARTTLS)|(1<<ACL_WHERE_VRFY),
428
429   0,                                               /* set */
430
431 #ifdef WITH_CONTENT_SCAN
432   (unsigned int)
433   ~((1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP)),   /* spam */
434 #endif
435
436 #ifdef EXPERIMENTAL_SPF
437   (1<<ACL_WHERE_AUTH)|(1<<ACL_WHERE_CONNECT)|      /* spf */
438     (1<<ACL_WHERE_HELO)|
439     (1<<ACL_WHERE_MAILAUTH)|
440     (1<<ACL_WHERE_ETRN)|(1<<ACL_WHERE_EXPN)|
441     (1<<ACL_WHERE_STARTTLS)|(1<<ACL_WHERE_VRFY),
442 #endif
443
444   /* Certain types of verify are always allowed, so we let it through
445   always and check in the verify function itself */
446
447   0                                                /* verify */
448 };
449
450
451 /* Bit map vector of which controls are not allowed at certain times. For
452 each control, there's a bitmap of dis-allowed times. For some, it is easier to
453 specify the negation of a small number of allowed times. */
454
455 static unsigned int control_forbids[] = {
456 #ifdef EXPERIMENTAL_BRIGHTMAIL
457   0,                                               /* bmi_run */
458 #endif
459 #ifdef EXPERIMENTAL_DOMAINKEYS
460   (1<<ACL_WHERE_DATA)|(1<<ACL_WHERE_NOTSMTP),      /* dk_verify */
461 #endif
462
463   0,                                               /* error */
464
465   (unsigned int)
466   ~(1<<ACL_WHERE_RCPT),                            /* caseful_local_part */
467
468   (unsigned int)
469   ~(1<<ACL_WHERE_RCPT),                            /* caselower_local_part */
470
471   (1<<ACL_WHERE_NOTSMTP),                          /* enforce_sync */
472
473   (1<<ACL_WHERE_NOTSMTP),                          /* no_enforce_sync */
474
475   (unsigned int)
476   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* freeze */
477     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
478     (1<<ACL_WHERE_NOTSMTP)|(1<<ACL_WHERE_MIME)),
479
480   (unsigned int)
481   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* queue_only */
482     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
483     (1<<ACL_WHERE_NOTSMTP)|(1<<ACL_WHERE_MIME)),
484
485   (unsigned int)
486   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* submission */
487     (1<<ACL_WHERE_PREDATA)),
488
489   (unsigned int)
490   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* suppress_local_fixups */
491     (1<<ACL_WHERE_NOTSMTP)|(1<<ACL_WHERE_PREDATA)),
492
493 #ifdef WITH_CONTENT_SCAN
494   (unsigned int)
495   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* no_mbox_unspool */
496     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
497     (1<<ACL_WHERE_MIME)),
498 #endif
499
500   (unsigned int)
501   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* fakedefer */
502     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
503     (1<<ACL_WHERE_MIME)),
504
505   (unsigned int)
506   ~((1<<ACL_WHERE_MAIL)|(1<<ACL_WHERE_RCPT)|       /* fakereject */
507     (1<<ACL_WHERE_PREDATA)|(1<<ACL_WHERE_DATA)|
508     (1<<ACL_WHERE_MIME)),
509
510   (1<<ACL_WHERE_NOTSMTP)                           /* no_multiline */
511 };
512
513 /* Structure listing various control arguments, with their characteristics. */
514
515 typedef struct control_def {
516   uschar *name;
517   int    value;                  /* CONTROL_xxx value */
518   BOOL   has_option;             /* Has /option(s) following */
519 } control_def;
520
521 static control_def controls_list[] = {
522 #ifdef EXPERIMENTAL_BRIGHTMAIL
523   { US"bmi_run",                CONTROL_BMI_RUN, FALSE },
524 #endif
525 #ifdef EXPERIMENTAL_DOMAINKEYS
526   { US"dk_verify",              CONTROL_DK_VERIFY, FALSE },
527 #endif
528   { US"caseful_local_part",     CONTROL_CASEFUL_LOCAL_PART, FALSE },
529   { US"caselower_local_part",   CONTROL_CASELOWER_LOCAL_PART, FALSE },
530   { US"enforce_sync",           CONTROL_ENFORCE_SYNC, FALSE },
531   { US"freeze",                 CONTROL_FREEZE, FALSE },
532   { US"no_enforce_sync",        CONTROL_NO_ENFORCE_SYNC, FALSE },
533   { US"no_multiline_responses", CONTROL_NO_MULTILINE, FALSE },
534   { US"queue_only",             CONTROL_QUEUE_ONLY, FALSE },
535 #ifdef WITH_CONTENT_SCAN
536   { US"no_mbox_unspool",        CONTROL_NO_MBOX_UNSPOOL, FALSE },
537 #endif
538   { US"fakedefer",              CONTROL_FAKEDEFER, TRUE },
539   { US"fakereject",             CONTROL_FAKEREJECT, TRUE },
540   { US"submission",             CONTROL_SUBMISSION, TRUE },
541   { US"suppress_local_fixups",  CONTROL_SUPPRESS_LOCAL_FIXUPS, FALSE }
542   };
543
544 /* Support data structures for Client SMTP Authorization. acl_verify_csa()
545 caches its result in a tree to avoid repeated DNS queries. The result is an
546 integer code which is used as an index into the following tables of
547 explanatory strings and verification return codes. */
548
549 static tree_node *csa_cache = NULL;
550
551 enum { CSA_UNKNOWN, CSA_OK, CSA_DEFER_SRV, CSA_DEFER_ADDR,
552  CSA_FAIL_EXPLICIT, CSA_FAIL_DOMAIN, CSA_FAIL_NOADDR, CSA_FAIL_MISMATCH };
553
554 /* The acl_verify_csa() return code is translated into an acl_verify() return
555 code using the following table. It is OK unless the client is definitely not
556 authorized. This is because CSA is supposed to be optional for sending sites,
557 so recipients should not be too strict about checking it - especially because
558 DNS problems are quite likely to occur. It's possible to use $csa_status in
559 further ACL conditions to distinguish ok, unknown, and defer if required, but
560 the aim is to make the usual configuration simple. */
561
562 static int csa_return_code[] = {
563   OK, OK, OK, OK,
564   FAIL, FAIL, FAIL, FAIL
565 };
566
567 static uschar *csa_status_string[] = {
568   US"unknown", US"ok", US"defer", US"defer",
569   US"fail", US"fail", US"fail", US"fail"
570 };
571
572 static uschar *csa_reason_string[] = {
573   US"unknown",
574   US"ok",
575   US"deferred (SRV lookup failed)",
576   US"deferred (target address lookup failed)",
577   US"failed (explicit authorization required)",
578   US"failed (host name not authorized)",
579   US"failed (no authorized addresses)",
580   US"failed (client address mismatch)"
581 };
582
583 /* Enable recursion between acl_check_internal() and acl_check_condition() */
584
585 static int acl_check_internal(int, address_item *, uschar *, int, uschar **,
586          uschar **);
587
588
589 /*************************************************
590 *         Pick out name from list                *
591 *************************************************/
592
593 /* Use a binary chop method
594
595 Arguments:
596   name        name to find
597   list        list of names
598   end         size of list
599
600 Returns:      offset in list, or -1 if not found
601 */
602
603 static int
604 acl_checkname(uschar *name, uschar **list, int end)
605 {
606 int start = 0;
607
608 while (start < end)
609   {
610   int mid = (start + end)/2;
611   int c = Ustrcmp(name, list[mid]);
612   if (c == 0) return mid;
613   if (c < 0) end = mid; else start = mid + 1;
614   }
615
616 return -1;
617 }
618
619
620 /*************************************************
621 *            Read and parse one ACL              *
622 *************************************************/
623
624 /* This function is called both from readconf in order to parse the ACLs in the
625 configuration file, and also when an ACL is encountered dynamically (e.g. as
626 the result of an expansion). It is given a function to call in order to
627 retrieve the lines of the ACL. This function handles skipping comments and
628 blank lines (where relevant).
629
630 Arguments:
631   func        function to get next line of ACL
632   error       where to put an error message
633
634 Returns:      pointer to ACL, or NULL
635               NULL can be legal (empty ACL); in this case error will be NULL
636 */
637
638 acl_block *
639 acl_read(uschar *(*func)(void), uschar **error)
640 {
641 acl_block *yield = NULL;
642 acl_block **lastp = &yield;
643 acl_block *this = NULL;
644 acl_condition_block *cond;
645 acl_condition_block **condp = NULL;
646 uschar *s;
647
648 *error = NULL;
649
650 while ((s = (*func)()) != NULL)
651   {
652   int v, c;
653   BOOL negated = FALSE;
654   uschar *saveline = s;
655   uschar name[64];
656
657   /* Conditions (but not verbs) are allowed to be negated by an initial
658   exclamation mark. */
659
660   while (isspace(*s)) s++;
661   if (*s == '!')
662     {
663     negated = TRUE;
664     s++;
665     }
666
667   /* Read the name of a verb or a condition, or the start of a new ACL, which
668   can be started by a name, or by a macro definition. */
669
670   s = readconf_readname(name, sizeof(name), s);
671   if (*s == ':' || isupper(name[0] && *s == '=')) return yield;
672
673   /* If a verb is unrecognized, it may be another condition or modifier that
674   continues the previous verb. */
675
676   v = acl_checkname(name, verbs, sizeof(verbs)/sizeof(char *));
677   if (v < 0)
678     {
679     if (this == NULL)
680       {
681       *error = string_sprintf("unknown ACL verb in \"%s\"", saveline);
682       return NULL;
683       }
684     }
685
686   /* New verb */
687
688   else
689     {
690     if (negated)
691       {
692       *error = string_sprintf("malformed ACL line \"%s\"", saveline);
693       return NULL;
694       }
695     this = store_get(sizeof(acl_block));
696     *lastp = this;
697     lastp = &(this->next);
698     this->next = NULL;
699     this->verb = v;
700     this->condition = NULL;
701     condp = &(this->condition);
702     if (*s == 0) continue;               /* No condition on this line */
703     if (*s == '!')
704       {
705       negated = TRUE;
706       s++;
707       }
708     s = readconf_readname(name, sizeof(name), s);  /* Condition name */
709     }
710
711   /* Handle a condition or modifier. */
712
713   c = acl_checkname(name, conditions, sizeof(conditions)/sizeof(char *));
714   if (c < 0)
715     {
716     *error = string_sprintf("unknown ACL condition/modifier in \"%s\"",
717       saveline);
718     return NULL;
719     }
720
721   /* The modifiers may not be negated */
722
723   if (negated && cond_modifiers[c])
724     {
725     *error = string_sprintf("ACL error: negation is not allowed with "
726       "\"%s\"", conditions[c]);
727     return NULL;
728     }
729
730   /* ENDPASS may occur only with ACCEPT or DISCARD. */
731
732   if (c == ACLC_ENDPASS &&
733       this->verb != ACL_ACCEPT &&
734       this->verb != ACL_DISCARD)
735     {
736     *error = string_sprintf("ACL error: \"%s\" is not allowed with \"%s\"",
737       conditions[c], verbs[this->verb]);
738     return NULL;
739     }
740
741   cond = store_get(sizeof(acl_condition_block));
742   cond->next = NULL;
743   cond->type = c;
744   cond->u.negated = negated;
745
746   *condp = cond;
747   condp = &(cond->next);
748
749   /* The "set" modifier is different in that its argument is "name=value"
750   rather than just a value, and we can check the validity of the name, which
751   gives us a variable number to insert into the data block. */
752
753   if (c == ACLC_SET)
754     {
755     int offset, max, n;
756     uschar *endptr;
757
758     if (Ustrncmp(s, "acl_", 4) != 0) goto BAD_ACL_VAR;
759     if (s[4] == 'c')
760       {
761       offset = 0;
762       max = ACL_CVARS;
763       }
764     else if (s[4] == 'm')
765       {
766       offset = ACL_CVARS;
767       max = ACL_MVARS;
768       }
769     else goto BAD_ACL_VAR;
770
771     n = Ustrtoul(s + 5, &endptr, 10);
772     if ((*endptr != 0 && *endptr != '=' && !isspace(*endptr)) || n >= max)
773       {
774       BAD_ACL_VAR:
775       *error = string_sprintf("syntax error or unrecognized name after "
776         "\"set\" in ACL modifier \"set %s\"", s);
777       return NULL;
778       }
779
780     cond->u.varnumber = n + offset;
781     s = endptr;
782     while (isspace(*s)) s++;
783     }
784
785   /* For "set", we are now positioned for the data. For the others, only
786   "endpass" has no data */
787
788   if (c != ACLC_ENDPASS)
789     {
790     if (*s++ != '=')
791       {
792       *error = string_sprintf("\"=\" missing after ACL \"%s\" %s", name,
793         cond_modifiers[c]? US"modifier" : US"condition");
794       return NULL;
795       }
796     while (isspace(*s)) s++;
797     cond->arg = string_copy(s);
798     }
799   }
800
801 return yield;
802 }
803
804
805
806 /*************************************************
807 *               Handle warnings                  *
808 *************************************************/
809
810 /* This function is called when a WARN verb's conditions are true. It adds to
811 the message's headers, and/or writes information to the log. In each case, this
812 only happens once (per message for headers, per connection for log).
813
814 Arguments:
815   where          ACL_WHERE_xxxx indicating which ACL this is
816   user_message   message for adding to headers
817   log_message    message for logging, if different
818
819 Returns:         nothing
820 */
821
822 static void
823 acl_warn(int where, uschar *user_message, uschar *log_message)
824 {
825 int hlen;
826
827 if (log_message != NULL && log_message != user_message)
828   {
829   uschar *text;
830   string_item *logged;
831
832   text = string_sprintf("%s Warning: %s",  host_and_ident(TRUE),
833     string_printing(log_message));
834
835   /* If a sender verification has failed, and the log message is "sender verify
836   failed", add the failure message. */
837
838   if (sender_verified_failed != NULL &&
839       sender_verified_failed->message != NULL &&
840       strcmpic(log_message, US"sender verify failed") == 0)
841     text = string_sprintf("%s: %s", text, sender_verified_failed->message);
842
843   /* Search previously logged warnings. They are kept in malloc
844   store so they can be freed at the start of a new message. */
845
846   for (logged = acl_warn_logged; logged != NULL; logged = logged->next)
847     if (Ustrcmp(logged->text, text) == 0) break;
848
849   if (logged == NULL)
850     {
851     int length = Ustrlen(text) + 1;
852     log_write(0, LOG_MAIN, "%s", text);
853     logged = store_malloc(sizeof(string_item) + length);
854     logged->text = (uschar *)logged + sizeof(string_item);
855     memcpy(logged->text, text, length);
856     logged->next = acl_warn_logged;
857     acl_warn_logged = logged;
858     }
859   }
860
861 /* If there's no user message, we are done. */
862
863 if (user_message == NULL) return;
864
865 /* If this isn't a message ACL, we can't do anything with a user message.
866 Log an error. */
867
868 if (where > ACL_WHERE_NOTSMTP)
869   {
870   log_write(0, LOG_MAIN|LOG_PANIC, "ACL \"warn\" with \"message\" setting "
871     "found in a non-message (%s) ACL: cannot specify header lines here: "
872     "message ignored", acl_wherenames[where]);
873   return;
874   }
875
876 /* Treat the user message as a sequence of one or more header lines. */
877
878 hlen = Ustrlen(user_message);
879 if (hlen > 0)
880   {
881   uschar *text, *p, *q;
882
883   /* Add a final newline if not present */
884
885   text = ((user_message)[hlen-1] == '\n')? user_message :
886     string_sprintf("%s\n", user_message);
887
888   /* Loop for multiple header lines, taking care about continuations */
889
890   for (p = q = text; *p != 0; )
891     {
892     uschar *s;
893     int newtype = htype_add_bot;
894     header_line **hptr = &acl_warn_headers;
895
896     /* Find next header line within the string */
897
898     for (;;)
899       {
900       q = Ustrchr(q, '\n');
901       if (*(++q) != ' ' && *q != '\t') break;
902       }
903
904     /* If the line starts with a colon, interpret the instruction for where to
905     add it. This temporarily sets up a new type. */
906
907     if (*p == ':')
908       {
909       if (strncmpic(p, US":after_received:", 16) == 0)
910         {
911         newtype = htype_add_rec;
912         p += 16;
913         }
914       else if (strncmpic(p, US":at_start_rfc:", 14) == 0)
915         {
916         newtype = htype_add_rfc;
917         p += 14;
918         }
919       else if (strncmpic(p, US":at_start:", 10) == 0)
920         {
921         newtype = htype_add_top;
922         p += 10;
923         }
924       else if (strncmpic(p, US":at_end:", 8) == 0)
925         {
926         newtype = htype_add_bot;
927         p += 8;
928         }
929       while (*p == ' ' || *p == '\t') p++;
930       }
931
932     /* See if this line starts with a header name, and if not, add X-ACL-Warn:
933     to the front of it. */
934
935     for (s = p; s < q - 1; s++)
936       {
937       if (*s == ':' || !isgraph(*s)) break;
938       }
939
940     s = string_sprintf("%s%.*s", (*s == ':')? "" : "X-ACL-Warn: ", q - p, p);
941     hlen = Ustrlen(s);
942
943     /* See if this line has already been added */
944
945     while (*hptr != NULL)
946       {
947       if (Ustrncmp((*hptr)->text, s, hlen) == 0) break;
948       hptr = &((*hptr)->next);
949       }
950
951     /* Add if not previously present */
952
953     if (*hptr == NULL)
954       {
955       header_line *h = store_get(sizeof(header_line));
956       h->text = s;
957       h->next = NULL;
958       h->type = newtype;
959       h->slen = hlen;
960       *hptr = h;
961       hptr = &(h->next);
962       }
963
964     /* Advance for next header line within the string */
965
966     p = q;
967     }
968   }
969 }
970
971
972
973 /*************************************************
974 *         Verify and check reverse DNS           *
975 *************************************************/
976
977 /* Called from acl_verify() below. We look up the host name(s) of the client IP
978 address if this has not yet been done. The host_name_lookup() function checks
979 that one of these names resolves to an address list that contains the client IP
980 address, so we don't actually have to do the check here.
981
982 Arguments:
983   user_msgptr  pointer for user message
984   log_msgptr   pointer for log message
985
986 Returns:       OK        verification condition succeeded
987                FAIL      verification failed
988                DEFER     there was a problem verifying
989 */
990
991 static int
992 acl_verify_reverse(uschar **user_msgptr, uschar **log_msgptr)
993 {
994 int rc;
995
996 user_msgptr = user_msgptr;  /* stop compiler warning */
997
998 /* Previous success */
999
1000 if (sender_host_name != NULL) return OK;
1001
1002 /* Previous failure */
1003
1004 if (host_lookup_failed)
1005   {
1006   *log_msgptr = string_sprintf("host lookup failed%s", host_lookup_msg);
1007   return FAIL;
1008   }
1009
1010 /* Need to do a lookup */
1011
1012 HDEBUG(D_acl)
1013   debug_printf("looking up host name to force name/address consistency check\n");
1014
1015 if ((rc = host_name_lookup()) != OK)
1016   {
1017   *log_msgptr = (rc == DEFER)?
1018     US"host lookup deferred for reverse lookup check"
1019     :
1020     string_sprintf("host lookup failed for reverse lookup check%s",
1021       host_lookup_msg);
1022   return rc;    /* DEFER or FAIL */
1023   }
1024
1025 host_build_sender_fullhost();
1026 return OK;
1027 }
1028
1029
1030
1031 /*************************************************
1032 *   Check client IP address matches CSA target   *
1033 *************************************************/
1034
1035 /* Called from acl_verify_csa() below. This routine scans a section of a DNS
1036 response for address records belonging to the CSA target hostname. The section
1037 is specified by the reset argument, either RESET_ADDITIONAL or RESET_ANSWERS.
1038 If one of the addresses matches the client's IP address, then the client is
1039 authorized by CSA. If there are target IP addresses but none of them match
1040 then the client is using an unauthorized IP address. If there are no target IP
1041 addresses then the client cannot be using an authorized IP address. (This is
1042 an odd configuration - why didn't the SRV record have a weight of 1 instead?)
1043
1044 Arguments:
1045   dnsa       the DNS answer block
1046   dnss       a DNS scan block for us to use
1047   reset      option specifing what portion to scan, as described above
1048   target     the target hostname to use for matching RR names
1049
1050 Returns:     CSA_OK             successfully authorized
1051              CSA_FAIL_MISMATCH  addresses found but none matched
1052              CSA_FAIL_NOADDR    no target addresses found
1053 */
1054
1055 static int
1056 acl_verify_csa_address(dns_answer *dnsa, dns_scan *dnss, int reset,
1057                        uschar *target)
1058 {
1059 dns_record *rr;
1060 dns_address *da;
1061
1062 BOOL target_found = FALSE;
1063
1064 for (rr = dns_next_rr(dnsa, dnss, reset);
1065      rr != NULL;
1066      rr = dns_next_rr(dnsa, dnss, RESET_NEXT))
1067   {
1068   /* Check this is an address RR for the target hostname. */
1069
1070   if (rr->type != T_A
1071     #if HAVE_IPV6
1072       && rr->type != T_AAAA
1073       #ifdef SUPPORT_A6
1074         && rr->type != T_A6
1075       #endif
1076     #endif
1077   ) continue;
1078
1079   if (strcmpic(target, rr->name) != 0) continue;
1080
1081   target_found = TRUE;
1082
1083   /* Turn the target address RR into a list of textual IP addresses and scan
1084   the list. There may be more than one if it is an A6 RR. */
1085
1086   for (da = dns_address_from_rr(dnsa, rr); da != NULL; da = da->next)
1087     {
1088     /* If the client IP address matches the target IP address, it's good! */
1089
1090     DEBUG(D_acl) debug_printf("CSA target address is %s\n", da->address);
1091
1092     if (strcmpic(sender_host_address, da->address) == 0) return CSA_OK;
1093     }
1094   }
1095
1096 /* If we found some target addresses but none of them matched, the client is
1097 using an unauthorized IP address, otherwise the target has no authorized IP
1098 addresses. */
1099
1100 if (target_found) return CSA_FAIL_MISMATCH;
1101 else return CSA_FAIL_NOADDR;
1102 }
1103
1104
1105
1106 /*************************************************
1107 *       Verify Client SMTP Authorization         *
1108 *************************************************/
1109
1110 /* Called from acl_verify() below. This routine calls dns_lookup_special()
1111 to find the CSA SRV record corresponding to the domain argument, or
1112 $sender_helo_name if no argument is provided. It then checks that the
1113 client is authorized, and that its IP address corresponds to the SRV
1114 target's address by calling acl_verify_csa_address() above. The address
1115 should have been returned in the DNS response's ADDITIONAL section, but if
1116 not we perform another DNS lookup to get it.
1117
1118 Arguments:
1119   domain    pointer to optional parameter following verify = csa
1120
1121 Returns:    CSA_UNKNOWN    no valid CSA record found
1122             CSA_OK         successfully authorized
1123             CSA_FAIL_*     client is definitely not authorized
1124             CSA_DEFER_*    there was a DNS problem
1125 */
1126
1127 static int
1128 acl_verify_csa(uschar *domain)
1129 {
1130 tree_node *t;
1131 uschar *found, *p;
1132 int priority, weight, port;
1133 dns_answer dnsa;
1134 dns_scan dnss;
1135 dns_record *rr;
1136 int rc, type;
1137 uschar target[256];
1138
1139 /* Work out the domain we are using for the CSA lookup. The default is the
1140 client's HELO domain. If the client has not said HELO, use its IP address
1141 instead. If it's a local client (exim -bs), CSA isn't applicable. */
1142
1143 while (isspace(*domain) && *domain != '\0') ++domain;
1144 if (*domain == '\0') domain = sender_helo_name;
1145 if (domain == NULL) domain = sender_host_address;
1146 if (sender_host_address == NULL) return CSA_UNKNOWN;
1147
1148 /* If we have an address literal, strip off the framing ready for turning it
1149 into a domain. The framing consists of matched square brackets possibly
1150 containing a keyword and a colon before the actual IP address. */
1151
1152 if (domain[0] == '[')
1153   {
1154   uschar *start = Ustrchr(domain, ':');
1155   if (start == NULL) start = domain;
1156   domain = string_copyn(start + 1, Ustrlen(start) - 2);
1157   }
1158
1159 /* Turn domains that look like bare IP addresses into domains in the reverse
1160 DNS. This code also deals with address literals and $sender_host_address. It's
1161 not quite kosher to treat bare domains such as EHLO 192.0.2.57 the same as
1162 address literals, but it's probably the most friendly thing to do. This is an
1163 extension to CSA, so we allow it to be turned off for proper conformance. */
1164
1165 if (string_is_ip_address(domain, NULL) != 0)
1166   {
1167   if (!dns_csa_use_reverse) return CSA_UNKNOWN;
1168   dns_build_reverse(domain, target);
1169   domain = target;
1170   }
1171
1172 /* Find out if we've already done the CSA check for this domain. If we have,
1173 return the same result again. Otherwise build a new cached result structure
1174 for this domain. The name is filled in now, and the value is filled in when
1175 we return from this function. */
1176
1177 t = tree_search(csa_cache, domain);
1178 if (t != NULL) return t->data.val;
1179
1180 t = store_get_perm(sizeof(tree_node) + Ustrlen(domain));
1181 Ustrcpy(t->name, domain);
1182 (void)tree_insertnode(&csa_cache, t);
1183
1184 /* Now we are ready to do the actual DNS lookup(s). */
1185
1186 found = domain;
1187 switch (dns_special_lookup(&dnsa, domain, T_CSA, &found))
1188   {
1189   /* If something bad happened (most commonly DNS_AGAIN), defer. */
1190
1191   default:
1192   return t->data.val = CSA_DEFER_SRV;
1193
1194   /* If we found nothing, the client's authorization is unknown. */
1195
1196   case DNS_NOMATCH:
1197   case DNS_NODATA:
1198   return t->data.val = CSA_UNKNOWN;
1199
1200   /* We got something! Go on to look at the reply in more detail. */
1201
1202   case DNS_SUCCEED:
1203   break;
1204   }
1205
1206 /* Scan the reply for well-formed CSA SRV records. */
1207
1208 for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
1209      rr != NULL;
1210      rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
1211   {
1212   if (rr->type != T_SRV) continue;
1213
1214   /* Extract the numerical SRV fields (p is incremented) */
1215
1216   p = rr->data;
1217   GETSHORT(priority, p);
1218   GETSHORT(weight, p);
1219   GETSHORT(port, p);
1220
1221   DEBUG(D_acl)
1222     debug_printf("CSA priority=%d weight=%d port=%d\n", priority, weight, port);
1223
1224   /* Check the CSA version number */
1225
1226   if (priority != 1) continue;
1227
1228   /* If the domain does not have a CSA SRV record of its own (i.e. the domain
1229   found by dns_special_lookup() is a parent of the one we asked for), we check
1230   the subdomain assertions in the port field. At the moment there's only one
1231   assertion: legitimate SMTP clients are all explicitly authorized with CSA
1232   SRV records of their own. */
1233
1234   if (found != domain)
1235     {
1236     if (port & 1)
1237       return t->data.val = CSA_FAIL_EXPLICIT;
1238     else
1239       return t->data.val = CSA_UNKNOWN;
1240     }
1241
1242   /* This CSA SRV record refers directly to our domain, so we check the value
1243   in the weight field to work out the domain's authorization. 0 and 1 are
1244   unauthorized; 3 means the client is authorized but we can't check the IP
1245   address in order to authenticate it, so we treat it as unknown; values
1246   greater than 3 are undefined. */
1247
1248   if (weight < 2) return t->data.val = CSA_FAIL_DOMAIN;
1249
1250   if (weight > 2) continue;
1251
1252   /* Weight == 2, which means the domain is authorized. We must check that the
1253   client's IP address is listed as one of the SRV target addresses. Save the
1254   target hostname then break to scan the additional data for its addresses. */
1255
1256   (void)dn_expand(dnsa.answer, dnsa.answer + dnsa.answerlen, p,
1257     (DN_EXPAND_ARG4_TYPE)target, sizeof(target));
1258
1259   DEBUG(D_acl) debug_printf("CSA target is %s\n", target);
1260
1261   break;
1262   }
1263
1264 /* If we didn't break the loop then no appropriate records were found. */
1265
1266 if (rr == NULL) return t->data.val = CSA_UNKNOWN;
1267
1268 /* Do not check addresses if the target is ".", in accordance with RFC 2782.
1269 A target of "." indicates there are no valid addresses, so the client cannot
1270 be authorized. (This is an odd configuration because weight=2 target=. is
1271 equivalent to weight=1, but we check for it in order to keep load off the
1272 root name servers.) Note that dn_expand() turns "." into "". */
1273
1274 if (Ustrcmp(target, "") == 0) return t->data.val = CSA_FAIL_NOADDR;
1275
1276 /* Scan the additional section of the CSA SRV reply for addresses belonging
1277 to the target. If the name server didn't return any additional data (e.g.
1278 because it does not fully support SRV records), we need to do another lookup
1279 to obtain the target addresses; otherwise we have a definitive result. */
1280
1281 rc = acl_verify_csa_address(&dnsa, &dnss, RESET_ADDITIONAL, target);
1282 if (rc != CSA_FAIL_NOADDR) return t->data.val = rc;
1283
1284 /* The DNS lookup type corresponds to the IP version used by the client. */
1285
1286 #if HAVE_IPV6
1287 if (Ustrchr(sender_host_address, ':') != NULL)
1288   type = T_AAAA;
1289 else
1290 #endif /* HAVE_IPV6 */
1291   type = T_A;
1292
1293
1294 #if HAVE_IPV6 && defined(SUPPORT_A6)
1295 DNS_LOOKUP_AGAIN:
1296 #endif
1297
1298 switch (dns_lookup(&dnsa, target, type, NULL))
1299   {
1300   /* If something bad happened (most commonly DNS_AGAIN), defer. */
1301
1302   default:
1303   return t->data.val = CSA_DEFER_ADDR;
1304
1305   /* If the query succeeded, scan the addresses and return the result. */
1306
1307   case DNS_SUCCEED:
1308   rc = acl_verify_csa_address(&dnsa, &dnss, RESET_ANSWERS, target);
1309   if (rc != CSA_FAIL_NOADDR) return t->data.val = rc;
1310   /* else fall through */
1311
1312   /* If the target has no IP addresses, the client cannot have an authorized
1313   IP address. However, if the target site uses A6 records (not AAAA records)
1314   we have to do yet another lookup in order to check them. */
1315
1316   case DNS_NOMATCH:
1317   case DNS_NODATA:
1318
1319   #if HAVE_IPV6 && defined(SUPPORT_A6)
1320   if (type == T_AAAA) { type = T_A6; goto DNS_LOOKUP_AGAIN; }
1321   #endif
1322
1323   return t->data.val = CSA_FAIL_NOADDR;
1324   }
1325 }
1326
1327
1328
1329 /*************************************************
1330 *     Handle verification (address & other)      *
1331 *************************************************/
1332
1333 /* This function implements the "verify" condition. It is called when
1334 encountered in any ACL, because some tests are almost always permitted. Some
1335 just don't make sense, and always fail (for example, an attempt to test a host
1336 lookup for a non-TCP/IP message). Others are restricted to certain ACLs.
1337
1338 Arguments:
1339   where        where called from
1340   addr         the recipient address that the ACL is handling, or NULL
1341   arg          the argument of "verify"
1342   user_msgptr  pointer for user message
1343   log_msgptr   pointer for log message
1344   basic_errno  where to put verify errno
1345
1346 Returns:       OK        verification condition succeeded
1347                FAIL      verification failed
1348                DEFER     there was a problem verifying
1349                ERROR     syntax error
1350 */
1351
1352 static int
1353 acl_verify(int where, address_item *addr, uschar *arg,
1354   uschar **user_msgptr, uschar **log_msgptr, int *basic_errno)
1355 {
1356 int sep = '/';
1357 int callout = -1;
1358 int callout_overall = -1;
1359 int callout_connect = -1;
1360 int verify_options = 0;
1361 int rc;
1362 BOOL verify_header_sender = FALSE;
1363 BOOL defer_ok = FALSE;
1364 BOOL callout_defer_ok = FALSE;
1365 BOOL no_details = FALSE;
1366 BOOL success_on_redirect = FALSE;
1367 address_item *sender_vaddr = NULL;
1368 uschar *verify_sender_address = NULL;
1369 uschar *pm_mailfrom = NULL;
1370 uschar *se_mailfrom = NULL;
1371
1372 /* Some of the verify items have slash-separated options; some do not. Diagnose
1373 an error if options are given for items that don't expect them. This code has
1374 now got very message. Refactoring to use a table would be a good idea one day.
1375 */
1376
1377 uschar *slash = Ustrchr(arg, '/');
1378 uschar *list = arg;
1379 uschar *ss = string_nextinlist(&list, &sep, big_buffer, big_buffer_size);
1380
1381 if (ss == NULL) goto BAD_VERIFY;
1382
1383 /* Handle name/address consistency verification in a separate function. */
1384
1385 if (strcmpic(ss, US"reverse_host_lookup") == 0)
1386   {
1387   if (slash != NULL) goto NO_OPTIONS;
1388   if (sender_host_address == NULL) return OK;
1389   return acl_verify_reverse(user_msgptr, log_msgptr);
1390   }
1391
1392 /* TLS certificate verification is done at STARTTLS time; here we just
1393 test whether it was successful or not. (This is for optional verification; for
1394 mandatory verification, the connection doesn't last this long.) */
1395
1396 if (strcmpic(ss, US"certificate") == 0)
1397   {
1398   if (slash != NULL) goto NO_OPTIONS;
1399   if (tls_certificate_verified) return OK;
1400   *user_msgptr = US"no verified certificate";
1401   return FAIL;
1402   }
1403
1404 /* We can test the result of optional HELO verification that might have
1405 occurred earlier. If not, we can attempt the verification now. */
1406
1407 if (strcmpic(ss, US"helo") == 0)
1408   {
1409   if (slash != NULL) goto NO_OPTIONS;
1410   if (!helo_verified && !helo_verify_failed) smtp_verify_helo();
1411   return helo_verified? OK : FAIL;
1412   }
1413
1414 /* Do Client SMTP Authorization checks in a separate function, and turn the
1415 result code into user-friendly strings. */
1416
1417 if (strcmpic(ss, US"csa") == 0)
1418   {
1419   rc = acl_verify_csa(list);
1420   *log_msgptr = *user_msgptr = string_sprintf("client SMTP authorization %s",
1421                                               csa_reason_string[rc]);
1422   csa_status = csa_status_string[rc];
1423   DEBUG(D_acl) debug_printf("CSA result %s\n", csa_status);
1424   return csa_return_code[rc];
1425   }
1426
1427 /* Check that all relevant header lines have the correct syntax. If there is
1428 a syntax error, we return details of the error to the sender if configured to
1429 send out full details. (But a "message" setting on the ACL can override, as
1430 always). */
1431
1432 if (strcmpic(ss, US"header_syntax") == 0)
1433   {
1434   if (slash != NULL) goto NO_OPTIONS;
1435   if (where != ACL_WHERE_DATA && where != ACL_WHERE_NOTSMTP) goto WRONG_ACL;
1436   rc = verify_check_headers(log_msgptr);
1437   if (rc != OK && smtp_return_error_details && *log_msgptr != NULL)
1438     *user_msgptr = string_sprintf("Rejected after DATA: %s", *log_msgptr);
1439   return rc;
1440   }
1441
1442 /* Check that no recipient of this message is "blind", that is, every envelope
1443 recipient must be mentioned in either To: or Cc:. */
1444
1445 if (strcmpic(ss, US"not_blind") == 0)
1446   {
1447   if (slash != NULL) goto NO_OPTIONS;
1448   if (where != ACL_WHERE_DATA && where != ACL_WHERE_NOTSMTP) goto WRONG_ACL;
1449   rc = verify_check_notblind();
1450   if (rc != OK)
1451     {
1452     *log_msgptr = string_sprintf("bcc recipient detected");
1453     if (smtp_return_error_details)
1454       *user_msgptr = string_sprintf("Rejected after DATA: %s", *log_msgptr);
1455     }
1456   return rc;
1457   }
1458
1459 /* The remaining verification tests check recipient and sender addresses,
1460 either from the envelope or from the header. There are a number of
1461 slash-separated options that are common to all of them. */
1462
1463
1464 /* Check that there is at least one verifiable sender address in the relevant
1465 header lines. This can be followed by callout and defer options, just like
1466 sender and recipient. */
1467
1468 if (strcmpic(ss, US"header_sender") == 0)
1469   {
1470   if (where != ACL_WHERE_DATA && where != ACL_WHERE_NOTSMTP) goto WRONG_ACL;
1471   verify_header_sender = TRUE;
1472   }
1473
1474 /* Otherwise, first item in verify argument must be "sender" or "recipient".
1475 In the case of a sender, this can optionally be followed by an address to use
1476 in place of the actual sender (rare special-case requirement). */
1477
1478 else if (strncmpic(ss, US"sender", 6) == 0)
1479   {
1480   uschar *s = ss + 6;
1481   if (where > ACL_WHERE_NOTSMTP)
1482     {
1483     *log_msgptr = string_sprintf("cannot verify sender in ACL for %s "
1484       "(only possible for MAIL, RCPT, PREDATA, or DATA)",
1485       acl_wherenames[where]);
1486     return ERROR;
1487     }
1488   if (*s == 0)
1489     verify_sender_address = sender_address;
1490   else
1491     {
1492     while (isspace(*s)) s++;
1493     if (*s++ != '=') goto BAD_VERIFY;
1494     while (isspace(*s)) s++;
1495     verify_sender_address = string_copy(s);
1496     }
1497   }
1498 else
1499   {
1500   if (strcmpic(ss, US"recipient") != 0) goto BAD_VERIFY;
1501   if (addr == NULL)
1502     {
1503     *log_msgptr = string_sprintf("cannot verify recipient in ACL for %s "
1504       "(only possible for RCPT)", acl_wherenames[where]);
1505     return ERROR;
1506     }
1507   }
1508
1509 /* Remaining items are optional; they apply to sender and recipient
1510 verification, including "header sender" verification. */
1511
1512 while ((ss = string_nextinlist(&list, &sep, big_buffer, big_buffer_size))
1513       != NULL)
1514   {
1515   if (strcmpic(ss, US"defer_ok") == 0) defer_ok = TRUE;
1516   else if (strcmpic(ss, US"no_details") == 0) no_details = TRUE;
1517   else if (strcmpic(ss, US"success_on_redirect") == 0) success_on_redirect = TRUE;
1518
1519   /* These two old options are left for backwards compatibility */
1520
1521   else if (strcmpic(ss, US"callout_defer_ok") == 0)
1522     {
1523     callout_defer_ok = TRUE;
1524     if (callout == -1) callout = CALLOUT_TIMEOUT_DEFAULT;
1525     }
1526
1527   else if (strcmpic(ss, US"check_postmaster") == 0)
1528      {
1529      pm_mailfrom = US"";
1530      if (callout == -1) callout = CALLOUT_TIMEOUT_DEFAULT;
1531      }
1532
1533   /* The callout option has a number of sub-options, comma separated */
1534
1535   else if (strncmpic(ss, US"callout", 7) == 0)
1536     {
1537     callout = CALLOUT_TIMEOUT_DEFAULT;
1538     ss += 7;
1539     if (*ss != 0)
1540       {
1541       while (isspace(*ss)) ss++;
1542       if (*ss++ == '=')
1543         {
1544         int optsep = ',';
1545         uschar *opt;
1546         uschar buffer[256];
1547         while (isspace(*ss)) ss++;
1548
1549         /* This callout option handling code has become a mess as new options
1550         have been added in an ad hoc manner. It should be tidied up into some
1551         kind of table-driven thing. */
1552
1553         while ((opt = string_nextinlist(&ss, &optsep, buffer, sizeof(buffer)))
1554               != NULL)
1555           {
1556           if (strcmpic(opt, US"defer_ok") == 0) callout_defer_ok = TRUE;
1557           else if (strcmpic(opt, US"no_cache") == 0)
1558              verify_options |= vopt_callout_no_cache;
1559           else if (strcmpic(opt, US"random") == 0)
1560              verify_options |= vopt_callout_random;
1561           else if (strcmpic(opt, US"use_sender") == 0)
1562              verify_options |= vopt_callout_recipsender;
1563           else if (strcmpic(opt, US"use_postmaster") == 0)
1564              verify_options |= vopt_callout_recippmaster;
1565           else if (strcmpic(opt, US"postmaster") == 0) pm_mailfrom = US"";
1566           else if (strcmpic(opt, US"fullpostmaster") == 0)
1567             {
1568             pm_mailfrom = US"";
1569             verify_options |= vopt_callout_fullpm;
1570             }
1571
1572           else if (strncmpic(opt, US"mailfrom", 8) == 0)
1573             {
1574             if (!verify_header_sender)
1575               {
1576               *log_msgptr = string_sprintf("\"mailfrom\" is allowed as a "
1577                 "callout option only for verify=header_sender (detected in ACL "
1578                 "condition \"%s\")", arg);
1579               return ERROR;
1580               }
1581             opt += 8;
1582             while (isspace(*opt)) opt++;
1583             if (*opt++ != '=')
1584               {
1585               *log_msgptr = string_sprintf("'=' expected after "
1586                 "\"mailfrom\" in ACL condition \"%s\"", arg);
1587               return ERROR;
1588               }
1589             while (isspace(*opt)) opt++;
1590             se_mailfrom = string_copy(opt);
1591             }
1592
1593           else if (strncmpic(opt, US"postmaster_mailfrom", 19) == 0)
1594             {
1595             opt += 19;
1596             while (isspace(*opt)) opt++;
1597             if (*opt++ != '=')
1598               {
1599               *log_msgptr = string_sprintf("'=' expected after "
1600                 "\"postmaster_mailfrom\" in ACL condition \"%s\"", arg);
1601               return ERROR;
1602               }
1603             while (isspace(*opt)) opt++;
1604             pm_mailfrom = string_copy(opt);
1605             }
1606
1607           else if (strncmpic(opt, US"maxwait", 7) == 0)
1608             {
1609             opt += 7;
1610             while (isspace(*opt)) opt++;
1611             if (*opt++ != '=')
1612               {
1613               *log_msgptr = string_sprintf("'=' expected after \"maxwait\" in "
1614                 "ACL condition \"%s\"", arg);
1615               return ERROR;
1616               }
1617             while (isspace(*opt)) opt++;
1618             callout_overall = readconf_readtime(opt, 0, FALSE);
1619             if (callout_overall < 0)
1620               {
1621               *log_msgptr = string_sprintf("bad time value in ACL condition "
1622                 "\"verify %s\"", arg);
1623               return ERROR;
1624               }
1625             }
1626           else if (strncmpic(opt, US"connect", 7) == 0)
1627             {
1628             opt += 7;
1629             while (isspace(*opt)) opt++;
1630             if (*opt++ != '=')
1631               {
1632               *log_msgptr = string_sprintf("'=' expected after "
1633                 "\"callout_overaall\" in ACL condition \"%s\"", arg);
1634               return ERROR;
1635               }
1636             while (isspace(*opt)) opt++;
1637             callout_connect = readconf_readtime(opt, 0, FALSE);
1638             if (callout_connect < 0)
1639               {
1640               *log_msgptr = string_sprintf("bad time value in ACL condition "
1641                 "\"verify %s\"", arg);
1642               return ERROR;
1643               }
1644             }
1645           else    /* Plain time is callout connect/command timeout */
1646             {
1647             callout = readconf_readtime(opt, 0, FALSE);
1648             if (callout < 0)
1649               {
1650               *log_msgptr = string_sprintf("bad time value in ACL condition "
1651                 "\"verify %s\"", arg);
1652               return ERROR;
1653               }
1654             }
1655           }
1656         }
1657       else
1658         {
1659         *log_msgptr = string_sprintf("'=' expected after \"callout\" in "
1660           "ACL condition \"%s\"", arg);
1661         return ERROR;
1662         }
1663       }
1664     }
1665
1666   /* Option not recognized */
1667
1668   else
1669     {
1670     *log_msgptr = string_sprintf("unknown option \"%s\" in ACL "
1671       "condition \"verify %s\"", ss, arg);
1672     return ERROR;
1673     }
1674   }
1675
1676 if ((verify_options & (vopt_callout_recipsender|vopt_callout_recippmaster)) ==
1677       (vopt_callout_recipsender|vopt_callout_recippmaster))
1678   {
1679   *log_msgptr = US"only one of use_sender and use_postmaster can be set "
1680     "for a recipient callout";
1681   return ERROR;
1682   }
1683
1684 /* Handle sender-in-header verification. Default the user message to the log
1685 message if giving out verification details. */
1686
1687 if (verify_header_sender)
1688   {
1689   int verrno;
1690   rc = verify_check_header_address(user_msgptr, log_msgptr, callout,
1691     callout_overall, callout_connect, se_mailfrom, pm_mailfrom, verify_options,
1692     &verrno);
1693   if (rc != OK)
1694     {
1695     *basic_errno = verrno;
1696     if (smtp_return_error_details)
1697       {
1698       if (*user_msgptr == NULL && *log_msgptr != NULL)
1699         *user_msgptr = string_sprintf("Rejected after DATA: %s", *log_msgptr);
1700       if (rc == DEFER) acl_temp_details = TRUE;
1701       }
1702     }
1703   }
1704
1705 /* Handle a sender address. The default is to verify *the* sender address, but
1706 optionally a different address can be given, for special requirements. If the
1707 address is empty, we are dealing with a bounce message that has no sender, so
1708 we cannot do any checking. If the real sender address gets rewritten during
1709 verification (e.g. DNS widening), set the flag to stop it being rewritten again
1710 during message reception.
1711
1712 A list of verified "sender" addresses is kept to try to avoid doing to much
1713 work repetitively when there are multiple recipients in a message and they all
1714 require sender verification. However, when callouts are involved, it gets too
1715 complicated because different recipients may require different callout options.
1716 Therefore, we always do a full sender verify when any kind of callout is
1717 specified. Caching elsewhere, for instance in the DNS resolver and in the
1718 callout handling, should ensure that this is not terribly inefficient. */
1719
1720 else if (verify_sender_address != NULL)
1721   {
1722   if ((verify_options & (vopt_callout_recipsender|vopt_callout_recippmaster))
1723        != 0)
1724     {
1725     *log_msgptr = US"use_sender or use_postmaster cannot be used for a "
1726       "sender verify callout";
1727     return ERROR;
1728     }
1729
1730   sender_vaddr = verify_checked_sender(verify_sender_address);
1731   if (sender_vaddr != NULL &&               /* Previously checked */
1732       callout <= 0)                         /* No callout needed this time */
1733     {
1734     /* If the "routed" flag is set, it means that routing worked before, so
1735     this check can give OK (the saved return code value, if set, belongs to a
1736     callout that was done previously). If the "routed" flag is not set, routing
1737     must have failed, so we use the saved return code. */
1738
1739     if (testflag(sender_vaddr, af_verify_routed)) rc = OK; else
1740       {
1741       rc = sender_vaddr->special_action;
1742       *basic_errno = sender_vaddr->basic_errno;
1743       }
1744     HDEBUG(D_acl) debug_printf("using cached sender verify result\n");
1745     }
1746
1747   /* Do a new verification, and cache the result. The cache is used to avoid
1748   verifying the sender multiple times for multiple RCPTs when callouts are not
1749   specified (see comments above).
1750
1751   The cache is also used on failure to give details in response to the first
1752   RCPT that gets bounced for this reason. However, this can be suppressed by
1753   the no_details option, which sets the flag that says "this detail has already
1754   been sent". The cache normally contains just one address, but there may be
1755   more in esoteric circumstances. */
1756
1757   else
1758     {
1759     BOOL routed = TRUE;
1760     uschar *save_address_data = deliver_address_data;
1761
1762     sender_vaddr = deliver_make_addr(verify_sender_address, TRUE);
1763     if (no_details) setflag(sender_vaddr, af_sverify_told);
1764     if (verify_sender_address[0] != 0)
1765       {
1766       /* If this is the real sender address, save the unrewritten version
1767       for use later in receive. Otherwise, set a flag so that rewriting the
1768       sender in verify_address() does not update sender_address. */
1769
1770       if (verify_sender_address == sender_address)
1771         sender_address_unrewritten = sender_address;
1772       else
1773         verify_options |= vopt_fake_sender;
1774
1775       if (success_on_redirect)
1776         verify_options |= vopt_success_on_redirect;
1777
1778       /* The recipient, qualify, and expn options are never set in
1779       verify_options. */
1780
1781       rc = verify_address(sender_vaddr, NULL, verify_options, callout,
1782         callout_overall, callout_connect, se_mailfrom, pm_mailfrom, &routed);
1783
1784       HDEBUG(D_acl) debug_printf("----------- end verify ------------\n");
1785
1786       if (rc == OK)
1787         {
1788         if (Ustrcmp(sender_vaddr->address, verify_sender_address) != 0)
1789           {
1790           DEBUG(D_acl) debug_printf("sender %s verified ok as %s\n",
1791             verify_sender_address, sender_vaddr->address);
1792           }
1793         else
1794           {
1795           DEBUG(D_acl) debug_printf("sender %s verified ok\n",
1796             verify_sender_address);
1797           }
1798         }
1799       else *basic_errno = sender_vaddr->basic_errno;
1800       }
1801     else rc = OK;  /* Null sender */
1802
1803     /* Cache the result code */
1804
1805     if (routed) setflag(sender_vaddr, af_verify_routed);
1806     if (callout > 0) setflag(sender_vaddr, af_verify_callout);
1807     sender_vaddr->special_action = rc;
1808     sender_vaddr->next = sender_verified_list;
1809     sender_verified_list = sender_vaddr;
1810
1811     /* Restore the recipient address data, which might have been clobbered by
1812     the sender verification. */
1813
1814     deliver_address_data = save_address_data;
1815     }
1816
1817   /* Put the sender address_data value into $sender_address_data */
1818
1819   sender_address_data = sender_vaddr->p.address_data;
1820   }
1821
1822 /* A recipient address just gets a straightforward verify; again we must handle
1823 the DEFER overrides. */
1824
1825 else
1826   {
1827   address_item addr2;
1828
1829   if (success_on_redirect)
1830     verify_options |= vopt_success_on_redirect;
1831
1832   /* We must use a copy of the address for verification, because it might
1833   get rewritten. */
1834
1835   addr2 = *addr;
1836   rc = verify_address(&addr2, NULL, verify_options|vopt_is_recipient, callout,
1837     callout_overall, callout_connect, se_mailfrom, pm_mailfrom, NULL);
1838   HDEBUG(D_acl) debug_printf("----------- end verify ------------\n");
1839
1840   *log_msgptr = addr2.message;
1841   *user_msgptr = (addr2.user_message != NULL)?
1842     addr2.user_message : addr2.message;
1843   *basic_errno = addr2.basic_errno;
1844
1845   /* Make $address_data visible */
1846   deliver_address_data = addr2.p.address_data;
1847   }
1848
1849 /* We have a result from the relevant test. Handle defer overrides first. */
1850
1851 if (rc == DEFER && (defer_ok ||
1852    (callout_defer_ok && *basic_errno == ERRNO_CALLOUTDEFER)))
1853   {
1854   HDEBUG(D_acl) debug_printf("verify defer overridden by %s\n",
1855     defer_ok? "defer_ok" : "callout_defer_ok");
1856   rc = OK;
1857   }
1858
1859 /* If we've failed a sender, set up a recipient message, and point
1860 sender_verified_failed to the address item that actually failed. */
1861
1862 if (rc != OK && verify_sender_address != NULL)
1863   {
1864   if (rc != DEFER)
1865     {
1866     *log_msgptr = *user_msgptr = US"Sender verify failed";
1867     }
1868   else if (*basic_errno != ERRNO_CALLOUTDEFER)
1869     {
1870     *log_msgptr = *user_msgptr = US"Could not complete sender verify";
1871     }
1872   else
1873     {
1874     *log_msgptr = US"Could not complete sender verify callout";
1875     *user_msgptr = smtp_return_error_details? sender_vaddr->user_message :
1876       *log_msgptr;
1877     }
1878
1879   sender_verified_failed = sender_vaddr;
1880   }
1881
1882 /* Verifying an address messes up the values of $domain and $local_part,
1883 so reset them before returning if this is a RCPT ACL. */
1884
1885 if (addr != NULL)
1886   {
1887   deliver_domain = addr->domain;
1888   deliver_localpart = addr->local_part;
1889   }
1890 return rc;
1891
1892 /* Syntax errors in the verify argument come here. */
1893
1894 BAD_VERIFY:
1895 *log_msgptr = string_sprintf("expected \"sender[=address]\", \"recipient\", "
1896   "\"helo\", \"header_syntax\", \"header_sender\" or "
1897   "\"reverse_host_lookup\" at start of ACL condition "
1898   "\"verify %s\"", arg);
1899 return ERROR;
1900
1901 /* Options supplied when not allowed come here */
1902
1903 NO_OPTIONS:
1904 *log_msgptr = string_sprintf("unexpected '/' found in \"%s\" "
1905   "(this verify item has no options)", arg);
1906 return ERROR;
1907
1908 /* Calls in the wrong ACL come here */
1909
1910 WRONG_ACL:
1911 *log_msgptr = string_sprintf("cannot check header contents in ACL for %s "
1912   "(only possible in ACL for DATA)", acl_wherenames[where]);
1913 return ERROR;
1914 }
1915
1916
1917
1918
1919 /*************************************************
1920 *        Check argument for control= modifier    *
1921 *************************************************/
1922
1923 /* Called from acl_check_condition() below
1924
1925 Arguments:
1926   arg         the argument string for control=
1927   pptr        set to point to the terminating character
1928   where       which ACL we are in
1929   log_msgptr  for error messages
1930
1931 Returns:      CONTROL_xxx value
1932 */
1933
1934 static int
1935 decode_control(uschar *arg, uschar **pptr, int where, uschar **log_msgptr)
1936 {
1937 int len;
1938 control_def *d;
1939
1940 for (d = controls_list;
1941      d < controls_list + sizeof(controls_list)/sizeof(control_def);
1942      d++)
1943   {
1944   len = Ustrlen(d->name);
1945   if (Ustrncmp(d->name, arg, len) == 0) break;
1946   }
1947
1948 if (d >= controls_list + sizeof(controls_list)/sizeof(control_def) ||
1949    (arg[len] != 0 && (!d->has_option || arg[len] != '/')))
1950   {
1951   *log_msgptr = string_sprintf("syntax error in \"control=%s\"", arg);
1952   return CONTROL_ERROR;
1953   }
1954
1955 *pptr = arg + len;
1956 return d->value;
1957 }
1958
1959
1960
1961 /*************************************************
1962 *            Handle rate limiting                *
1963 *************************************************/
1964
1965 /* Called by acl_check_condition() below to calculate the result
1966 of the ACL ratelimit condition.
1967
1968 Note that the return value might be slightly unexpected: if the
1969 sender's rate is above the limit then the result is OK. This is
1970 similar to the dnslists condition, and is so that you can write
1971 ACL clauses like: defer ratelimit = 15 / 1h
1972
1973 Arguments:
1974   arg         the option string for ratelimit=
1975   log_msgptr  for error messages
1976
1977 Returns:       OK        - Sender's rate is above limit
1978                FAIL      - Sender's rate is below limit
1979                DEFER     - Problem opening ratelimit database
1980                ERROR     - Syntax error in options.
1981 */
1982
1983 static int
1984 acl_ratelimit(uschar *arg, uschar **log_msgptr)
1985 {
1986 double limit, period;
1987 uschar *ss, *key;
1988 int sep = '/';
1989 BOOL have_key = FALSE, leaky = FALSE, strict = FALSE;
1990 BOOL per_byte = FALSE, per_cmd = FALSE, per_conn = FALSE, per_mail = FALSE;
1991 int old_pool, rc;
1992 tree_node **anchor, *t;
1993 open_db dbblock, *dbm;
1994 dbdata_ratelimit *dbd;
1995 struct timeval tv;
1996
1997 /* Parse the first two options and record their values in expansion
1998 variables. These variables allow the configuration to have informative
1999 error messages based on rate limits obtained from a table lookup. */
2000
2001 /* First is the maximum number of messages per period and maximum burst
2002 size, which must be greater than or equal to zero. Zero is useful for
2003 rate measurement as opposed to rate limiting. */
2004
2005 sender_rate_limit = string_nextinlist(&arg, &sep, NULL, 0);
2006 if (sender_rate_limit == NULL)
2007   limit = -1.0;
2008 else
2009   {
2010   limit = Ustrtod(sender_rate_limit, &ss);
2011   if (tolower(*ss) == 'k') { limit *= 1024.0; ss++; }
2012   else if (tolower(*ss) == 'm') { limit *= 1024.0*1024.0; ss++; }
2013   else if (tolower(*ss) == 'g') { limit *= 1024.0*1024.0*1024.0; ss++; }
2014   }
2015 if (limit < 0.0 || *ss != 0)
2016   {
2017   *log_msgptr = string_sprintf("syntax error in argument for "
2018     "\"ratelimit\" condition: \"%s\" is not a positive number",
2019     sender_rate_limit);
2020   return ERROR;
2021   }
2022
2023 /* We use the rest of the argument list following the limit as the
2024 lookup key, because it doesn't make sense to use the same stored data
2025 if the period or options are different. */
2026
2027 key = arg;
2028
2029 /* Second is the rate measurement period and exponential smoothing time
2030 constant. This must be strictly greater than zero, because zero leads to
2031 run-time division errors. */
2032
2033 sender_rate_period = string_nextinlist(&arg, &sep, NULL, 0);
2034 if (sender_rate_period == NULL) period = -1.0;
2035 else period = readconf_readtime(sender_rate_period, 0, FALSE);
2036 if (period <= 0.0)
2037   {
2038   *log_msgptr = string_sprintf("syntax error in argument for "
2039     "\"ratelimit\" condition: \"%s\" is not a time value",
2040     sender_rate_period);
2041   return ERROR;
2042   }
2043
2044 /* Parse the other options. Should we check if the per_* options are being
2045 used in ACLs where they don't make sense, e.g. per_mail in the connect ACL? */
2046
2047 while ((ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size))
2048        != NULL)
2049   {
2050   if (strcmpic(ss, US"leaky") == 0) leaky = TRUE;
2051   else if (strcmpic(ss, US"strict") == 0) strict = TRUE;
2052   else if (strcmpic(ss, US"per_byte") == 0) per_byte = TRUE;
2053   else if (strcmpic(ss, US"per_cmd") == 0) per_cmd = TRUE;
2054   else if (strcmpic(ss, US"per_conn") == 0) per_conn = TRUE;
2055   else if (strcmpic(ss, US"per_mail") == 0) per_mail = TRUE;
2056   else if (strcmpic(ss, US"per_rcpt") == 0) per_cmd = TRUE; /* alias */
2057   else have_key = TRUE;
2058   }
2059 if (leaky + strict > 1 || per_byte + per_cmd + per_conn + per_mail > 1)
2060   {
2061   *log_msgptr = US"conflicting options for \"ratelimit\" condition";
2062   return ERROR;
2063   }
2064
2065 /* Default option values */
2066 if (!strict) leaky = TRUE;
2067 if (!per_byte && !per_cmd && !per_conn) per_mail = TRUE;
2068
2069 /* If there is no explicit key, use the sender_host_address. If there is no
2070 sender_host_address (e.g. -bs or acl_not_smtp) then we simply omit it. */
2071
2072 if (!have_key && sender_host_address != NULL)
2073   key = string_sprintf("%s / %s", key, sender_host_address);
2074
2075 HDEBUG(D_acl) debug_printf("ratelimit condition limit=%.0f period=%.0f key=%s\n",
2076   limit, period, key);
2077
2078 /* See if we have already computed the rate by looking in the relevant tree. For
2079 per-connection rate limiting, store tree nodes and dbdata in the permanent pool
2080 so that they survive across resets. */
2081
2082 anchor = NULL;
2083 old_pool = store_pool;
2084
2085 if (per_conn)
2086   {
2087   anchor = &ratelimiters_conn;
2088   store_pool = POOL_PERM;
2089   }
2090 else if (per_mail || per_byte)
2091   anchor = &ratelimiters_mail;
2092 else if (per_cmd)
2093   anchor = &ratelimiters_cmd;
2094
2095 if (anchor != NULL && (t = tree_search(*anchor, key)) != NULL)
2096   {
2097   dbd = t->data.ptr;
2098   /* The following few lines duplicate some of the code below. */
2099   if (dbd->rate < limit) rc = FAIL;
2100     else rc = OK;
2101   store_pool = old_pool;
2102   sender_rate = string_sprintf("%.1f", dbd->rate);
2103   HDEBUG(D_acl)
2104     debug_printf("ratelimit found pre-computed rate %s\n", sender_rate);
2105   return rc;
2106   }
2107
2108 /* We aren't using a pre-computed rate, so get a previously recorded
2109 rate from the database, update it, and write it back. If there's no
2110 previous rate for this key, create one. */
2111
2112 dbm = dbfn_open(US"ratelimit", O_RDWR, &dbblock, TRUE);
2113 if (dbm == NULL)
2114   {
2115   store_pool = old_pool;
2116   sender_rate = NULL;
2117   HDEBUG(D_acl) debug_printf("ratelimit database not available\n");
2118   *log_msgptr = US"ratelimit database not available";
2119   return DEFER;
2120   }
2121 dbd = dbfn_read(dbm, key);
2122
2123 gettimeofday(&tv, NULL);
2124
2125 if (dbd == NULL)
2126   {
2127   HDEBUG(D_acl) debug_printf("ratelimit initializing new key's data\n");
2128   dbd = store_get(sizeof(dbdata_ratelimit));
2129   dbd->time_stamp = tv.tv_sec;
2130   dbd->time_usec = tv.tv_usec;
2131   dbd->rate = 0.0;
2132   }
2133 else
2134   {
2135   /* The smoothed rate is computed using an exponentially weighted moving
2136   average adjusted for variable sampling intervals. The standard EWMA for
2137   a fixed sampling interval is:  f'(t) = (1 - a) * f(t) + a * f'(t - 1)
2138   where f() is the measured value and f'() is the smoothed value.
2139
2140   Old data decays out of the smoothed value exponentially, such that data n
2141   samples old is multiplied by a^n. The exponential decay time constant p
2142   is defined such that data p samples old is multiplied by 1/e, which means
2143   that a = exp(-1/p). We can maintain the same time constant for a variable
2144   sampling interval i by using a = exp(-i/p).
2145
2146   The rate we are measuring is messages per period, suitable for directly
2147   comparing with the limit. The average rate between now and the previous
2148   message is period / interval, which we feed into the EWMA as the sample.
2149
2150   It turns out that the number of messages required for the smoothed rate
2151   to reach the limit when they are sent in a burst is equal to the limit.
2152   This can be seen by analysing the value of the smoothed rate after N
2153   messages sent at even intervals. Let k = (1 - a) * p/i
2154
2155     rate_1 = (1 - a) * p/i + a * rate_0
2156            = k + a * rate_0
2157     rate_2 = k + a * rate_1
2158            = k + a * k + a^2 * rate_0
2159     rate_3 = k + a * k + a^2 * k + a^3 * rate_0
2160     rate_N = rate_0 * a^N + k * SUM(x=0..N-1)(a^x)
2161            = rate_0 * a^N + k * (1 - a^N) / (1 - a)
2162            = rate_0 * a^N + p/i * (1 - a^N)
2163
2164   When N is large, a^N -> 0 so rate_N -> p/i as desired.
2165
2166     rate_N = p/i + (rate_0 - p/i) * a^N
2167     a^N = (rate_N - p/i) / (rate_0 - p/i)
2168     N * -i/p = log((rate_N - p/i) / (rate_0 - p/i))
2169     N = p/i * log((rate_0 - p/i) / (rate_N - p/i))
2170
2171   Numerical analysis of the above equation, setting the computed rate to
2172   increase from rate_0 = 0 to rate_N = limit, shows that for large sending
2173   rates, p/i, the number of messages N = limit. So limit serves as both the
2174   maximum rate measured in messages per period, and the maximum number of
2175   messages that can be sent in a fast burst. */
2176
2177   double this_time = (double)tv.tv_sec
2178                    + (double)tv.tv_usec / 1000000.0;
2179   double prev_time = (double)dbd->time_stamp
2180                    + (double)dbd->time_usec / 1000000.0;
2181
2182   /* We must avoid division by zero, and deal gracefully with the clock going
2183   backwards. If we blunder ahead when time is in reverse then the computed
2184   rate will be bogus. To be safe we clamp interval to a very small number. */
2185
2186   double interval = this_time - prev_time <= 0.0 ? 1e-9
2187                   : this_time - prev_time;
2188
2189   double i_over_p = interval / period;
2190   double a = exp(-i_over_p);
2191
2192   dbd->time_stamp = tv.tv_sec;
2193   dbd->time_usec = tv.tv_usec;
2194
2195   /* If we are measuring the rate in bytes per period, multiply the
2196   measured rate by the message size. If we don't know the message size
2197   then it's safe to just use a value of zero and let the recorded rate
2198   decay as if nothing happened. */
2199
2200   if (per_byte)
2201     dbd->rate = (message_size < 0 ? 0.0 : (double)message_size)
2202               * (1 - a) / i_over_p + a * dbd->rate;
2203   else
2204     dbd->rate = (1 - a) / i_over_p + a * dbd->rate;
2205   }
2206
2207 /* Clients sending at the limit are considered to be over the limit. This
2208 matters for edge cases such the first message sent by a client (which gets
2209 the initial rate of 0.0) when the rate limit is zero (i.e. the client should
2210 be completely blocked). */
2211
2212 if (dbd->rate < limit) rc = FAIL;
2213   else rc = OK;
2214
2215 /* Update the state if the rate is low or if we are being strict. If we
2216 are in leaky mode and the sender's rate is too high, we do not update
2217 the recorded rate in order to avoid an over-aggressive sender's retry
2218 rate preventing them from getting any email through. */
2219
2220 if (rc == FAIL || !leaky)
2221   dbfn_write(dbm, key, dbd, sizeof(dbdata_ratelimit));
2222 dbfn_close(dbm);
2223
2224 /* Store the result in the tree for future reference, if necessary. */
2225
2226 if (anchor != NULL)
2227   {
2228   t = store_get(sizeof(tree_node) + Ustrlen(key));
2229   t->data.ptr = dbd;
2230   Ustrcpy(t->name, key);
2231   (void)tree_insertnode(anchor, t);
2232   }
2233
2234 /* We create the formatted version of the sender's rate very late in
2235 order to ensure that it is done using the correct storage pool. */
2236
2237 store_pool = old_pool;
2238 sender_rate = string_sprintf("%.1f", dbd->rate);
2239
2240 HDEBUG(D_acl)
2241   debug_printf("ratelimit computed rate %s\n", sender_rate);
2242
2243 return rc;
2244 }
2245
2246
2247
2248 /*************************************************
2249 *   Handle conditions/modifiers on an ACL item   *
2250 *************************************************/
2251
2252 /* Called from acl_check() below.
2253
2254 Arguments:
2255   verb         ACL verb
2256   cb           ACL condition block - if NULL, result is OK
2257   where        where called from
2258   addr         the address being checked for RCPT, or NULL
2259   level        the nesting level
2260   epp          pointer to pass back TRUE if "endpass" encountered
2261                  (applies only to "accept" and "discard")
2262   user_msgptr  user message pointer
2263   log_msgptr   log message pointer
2264   basic_errno  pointer to where to put verify error
2265
2266 Returns:       OK        - all conditions are met
2267                DISCARD   - an "acl" condition returned DISCARD - only allowed
2268                              for "accept" or "discard" verbs
2269                FAIL      - at least one condition fails
2270                FAIL_DROP - an "acl" condition returned FAIL_DROP
2271                DEFER     - can't tell at the moment (typically, lookup defer,
2272                              but can be temporary callout problem)
2273                ERROR     - ERROR from nested ACL or expansion failure or other
2274                              error
2275 */
2276
2277 static int
2278 acl_check_condition(int verb, acl_condition_block *cb, int where,
2279   address_item *addr, int level, BOOL *epp, uschar **user_msgptr,
2280   uschar **log_msgptr, int *basic_errno)
2281 {
2282 uschar *user_message = NULL;
2283 uschar *log_message = NULL;
2284 uschar *p;
2285 int rc = OK;
2286 #ifdef WITH_CONTENT_SCAN
2287 int sep = '/';
2288 #endif
2289
2290 for (; cb != NULL; cb = cb->next)
2291   {
2292   uschar *arg;
2293   int control_type;
2294
2295   /* The message and log_message items set up messages to be used in
2296   case of rejection. They are expanded later. */
2297
2298   if (cb->type == ACLC_MESSAGE)
2299     {
2300     user_message = cb->arg;
2301     continue;
2302     }
2303
2304   if (cb->type == ACLC_LOG_MESSAGE)
2305     {
2306     log_message = cb->arg;
2307     continue;
2308     }
2309
2310   /* The endpass "condition" just sets a flag to show it occurred. This is
2311   checked at compile time to be on an "accept" or "discard" item. */
2312
2313   if (cb->type == ACLC_ENDPASS)
2314     {
2315     *epp = TRUE;
2316     continue;
2317     }
2318
2319   /* For other conditions and modifiers, the argument is expanded now for some
2320   of them, but not for all, because expansion happens down in some lower level
2321   checking functions in some cases. */
2322
2323   if (cond_expand_at_top[cb->type])
2324     {
2325     arg = expand_string(cb->arg);
2326     if (arg == NULL)
2327       {
2328       if (expand_string_forcedfail) continue;
2329       *log_msgptr = string_sprintf("failed to expand ACL string \"%s\": %s",
2330         cb->arg, expand_string_message);
2331       return search_find_defer? DEFER : ERROR;
2332       }
2333     }
2334   else arg = cb->arg;
2335
2336   /* Show condition, and expanded condition if it's different */
2337
2338   HDEBUG(D_acl)
2339     {
2340     int lhswidth = 0;
2341     debug_printf("check %s%s %n",
2342       (!cond_modifiers[cb->type] && cb->u.negated)? "!":"",
2343       conditions[cb->type], &lhswidth);
2344
2345     if (cb->type == ACLC_SET)
2346       {
2347       int n = cb->u.varnumber;
2348       int t = (n < ACL_CVARS)? 'c' : 'm';
2349       if (n >= ACL_CVARS) n -= ACL_CVARS;
2350       debug_printf("acl_%c%d ", t, n);
2351       lhswidth += 7;
2352       }
2353
2354     debug_printf("= %s\n", cb->arg);
2355
2356     if (arg != cb->arg)
2357       debug_printf("%.*s= %s\n", lhswidth,
2358       US"                             ", CS arg);
2359     }
2360
2361   /* Check that this condition makes sense at this time */
2362
2363   if ((cond_forbids[cb->type] & (1 << where)) != 0)
2364     {
2365     *log_msgptr = string_sprintf("cannot %s %s condition in %s ACL",
2366       cond_modifiers[cb->type]? "use" : "test",
2367       conditions[cb->type], acl_wherenames[where]);
2368     return ERROR;
2369     }
2370
2371   /* Run the appropriate test for each condition, or take the appropriate
2372   action for the remaining modifiers. */
2373
2374   switch(cb->type)
2375     {
2376     /* A nested ACL that returns "discard" makes sense only for an "accept" or
2377     "discard" verb. */
2378
2379     case ACLC_ACL:
2380     rc = acl_check_internal(where, addr, arg, level+1, user_msgptr, log_msgptr);
2381     if (rc == DISCARD && verb != ACL_ACCEPT && verb != ACL_DISCARD)
2382       {
2383       *log_msgptr = string_sprintf("nested ACL returned \"discard\" for "
2384         "\"%s\" command (only allowed with \"accept\" or \"discard\")",
2385         verbs[verb]);
2386       return ERROR;
2387       }
2388     break;
2389
2390     case ACLC_AUTHENTICATED:
2391     rc = (sender_host_authenticated == NULL)? FAIL :
2392       match_isinlist(sender_host_authenticated, &arg, 0, NULL, NULL, MCL_STRING,
2393         TRUE, NULL);
2394     break;
2395
2396 #ifdef EXPERIMENTAL_BRIGHTMAIL
2397     case ACLC_BMI_OPTIN:
2398       {
2399       int old_pool = store_pool;
2400       store_pool = POOL_PERM;
2401       bmi_current_optin = string_copy(arg);
2402       store_pool = old_pool;
2403       }
2404     break;
2405 #endif
2406
2407     case ACLC_CONDITION:
2408     if (Ustrspn(arg, "0123456789") == Ustrlen(arg))     /* Digits, or empty */
2409       rc = (Uatoi(arg) == 0)? FAIL : OK;
2410     else
2411       rc = (strcmpic(arg, US"no") == 0 ||
2412             strcmpic(arg, US"false") == 0)? FAIL :
2413            (strcmpic(arg, US"yes") == 0 ||
2414             strcmpic(arg, US"true") == 0)? OK : DEFER;
2415     if (rc == DEFER)
2416       *log_msgptr = string_sprintf("invalid \"condition\" value \"%s\"", arg);
2417     break;
2418
2419     case ACLC_CONTROL:
2420     control_type = decode_control(arg, &p, where, log_msgptr);
2421
2422     /* Check if this control makes sense at this time */
2423
2424     if ((control_forbids[control_type] & (1 << where)) != 0)
2425       {
2426       *log_msgptr = string_sprintf("cannot use \"control=%s\" in %s ACL",
2427         controls[control_type], acl_wherenames[where]);
2428       return ERROR;
2429       }
2430
2431     switch(control_type)
2432       {
2433 #ifdef EXPERIMENTAL_BRIGHTMAIL
2434       case CONTROL_BMI_RUN:
2435       bmi_run = 1;
2436       break;
2437 #endif
2438 #ifdef EXPERIMENTAL_DOMAINKEYS
2439       case CONTROL_DK_VERIFY:
2440       dk_do_verify = 1;
2441       break;
2442 #endif
2443       case CONTROL_ERROR:
2444       return ERROR;
2445
2446       case CONTROL_CASEFUL_LOCAL_PART:
2447       deliver_localpart = addr->cc_local_part;
2448       break;
2449
2450       case CONTROL_CASELOWER_LOCAL_PART:
2451       deliver_localpart = addr->lc_local_part;
2452       break;
2453
2454       case CONTROL_ENFORCE_SYNC:
2455       smtp_enforce_sync = TRUE;
2456       break;
2457
2458       case CONTROL_NO_ENFORCE_SYNC:
2459       smtp_enforce_sync = FALSE;
2460       break;
2461
2462 #ifdef WITH_CONTENT_SCAN
2463       case CONTROL_NO_MBOX_UNSPOOL:
2464       no_mbox_unspool = TRUE;
2465       break;
2466 #endif
2467
2468       case CONTROL_NO_MULTILINE:
2469       no_multiline_responses = TRUE;
2470       break;
2471
2472       case CONTROL_FAKEDEFER:
2473       case CONTROL_FAKEREJECT:
2474       fake_response = (control_type == CONTROL_FAKEDEFER) ? DEFER : FAIL;
2475       if (*p == '/')
2476         {
2477         uschar *pp = p + 1;
2478         while (*pp != 0) pp++;
2479         fake_response_text = expand_string(string_copyn(p+1, pp-p-1));
2480         p = pp;
2481         }
2482        else
2483         {
2484         /* Explicitly reset to default string */
2485         fake_response_text = US"Your message has been rejected but is being kept for evaluation.\nIf it was a legitimate message, it may still be delivered to the target recipient(s).";
2486         }
2487       break;
2488
2489       case CONTROL_FREEZE:
2490       deliver_freeze = TRUE;
2491       deliver_frozen_at = time(NULL);
2492       break;
2493
2494       case CONTROL_QUEUE_ONLY:
2495       queue_only_policy = TRUE;
2496       break;
2497
2498       case CONTROL_SUBMISSION:
2499       originator_name = US"";
2500       submission_mode = TRUE;
2501       while (*p == '/')
2502         {
2503         if (Ustrncmp(p, "/sender_retain", 14) == 0)
2504           {
2505           p += 14;
2506           active_local_sender_retain = TRUE;
2507           active_local_from_check = FALSE;
2508           }
2509         else if (Ustrncmp(p, "/domain=", 8) == 0)
2510           {
2511           uschar *pp = p + 8;
2512           while (*pp != 0 && *pp != '/') pp++;
2513           submission_domain = string_copyn(p+8, pp-p-8);
2514           p = pp;
2515           }
2516         /* The name= option must be last, because it swallows the rest of
2517         the string. */
2518         else if (Ustrncmp(p, "/name=", 6) == 0)
2519           {
2520           uschar *pp = p + 6;
2521           while (*pp != 0) pp++;
2522           submission_name = string_copy(parse_fix_phrase(p+6, pp-p-6,
2523             big_buffer, big_buffer_size));
2524           p = pp;
2525           }
2526         else break;
2527         }
2528       if (*p != 0)
2529         {
2530         *log_msgptr = string_sprintf("syntax error in \"control=%s\"", arg);
2531         return ERROR;
2532         }
2533       break;
2534
2535       case CONTROL_SUPPRESS_LOCAL_FIXUPS:
2536       suppress_local_fixups = TRUE;
2537       break;
2538       }
2539     break;
2540
2541 #ifdef WITH_CONTENT_SCAN
2542     case ACLC_DECODE:
2543     rc = mime_decode(&arg);
2544     break;
2545 #endif
2546
2547     case ACLC_DELAY:
2548       {
2549       int delay = readconf_readtime(arg, 0, FALSE);
2550       if (delay < 0)
2551         {
2552         *log_msgptr = string_sprintf("syntax error in argument for \"delay\" "
2553           "modifier: \"%s\" is not a time value", arg);
2554         return ERROR;
2555         }
2556       else
2557         {
2558         HDEBUG(D_acl) debug_printf("delay modifier requests %d-second delay\n",
2559           delay);
2560         if (host_checking)
2561           {
2562           HDEBUG(D_acl)
2563             debug_printf("delay skipped in -bh checking mode\n");
2564           }
2565
2566         /* It appears to be impossible to detect that a TCP/IP connection has
2567         gone away without reading from it. This means that we cannot shorten
2568         the delay below if the client goes away, because we cannot discover
2569         that the client has closed its end of the connection. (The connection
2570         is actually in a half-closed state, waiting for the server to close its
2571         end.) It would be nice to be able to detect this state, so that the
2572         Exim process is not held up unnecessarily. However, it seems that we
2573         can't. The poll() function does not do the right thing, and in any case
2574         it is not always available.
2575
2576         NOTE: If ever this state of affairs changes, remember that we may be
2577         dealing with stdin/stdout here, in addition to TCP/IP connections.
2578         Whatever is done must work in both cases. To detected the stdin/stdout
2579         case, check for smtp_in or smtp_out being NULL. */
2580
2581         else
2582           {
2583           while (delay > 0) delay = sleep(delay);
2584           }
2585         }
2586       }
2587     break;
2588
2589 #ifdef WITH_OLD_DEMIME
2590     case ACLC_DEMIME:
2591       rc = demime(&arg);
2592     break;
2593 #endif
2594
2595 #ifdef EXPERIMENTAL_DOMAINKEYS
2596   case ACLC_DK_DOMAIN_SOURCE:
2597     if (dk_verify_block == NULL) { rc = FAIL; break; };
2598     /* check header source of domain against given string */
2599     switch (dk_verify_block->address_source) {
2600       case DK_EXIM_ADDRESS_FROM_FROM:
2601         rc = match_isinlist(US"from", &arg, 0, NULL,
2602                             NULL, MCL_STRING, TRUE, NULL);
2603       break;
2604       case DK_EXIM_ADDRESS_FROM_SENDER:
2605         rc = match_isinlist(US"sender", &arg, 0, NULL,
2606                             NULL, MCL_STRING, TRUE, NULL);
2607       break;
2608       case DK_EXIM_ADDRESS_NONE:
2609         rc = match_isinlist(US"none", &arg, 0, NULL,
2610                             NULL, MCL_STRING, TRUE, NULL);
2611       break;
2612     }
2613   break;
2614   case ACLC_DK_POLICY:
2615     if (dk_verify_block == NULL) { rc = FAIL; break; };
2616     /* check policy against given string, default FAIL */
2617     rc = FAIL;
2618     if (dk_verify_block->signsall)
2619       rc = match_isinlist(US"signsall", &arg, 0, NULL,
2620                           NULL, MCL_STRING, TRUE, NULL);
2621     if (dk_verify_block->testing)
2622       rc = match_isinlist(US"testing", &arg, 0, NULL,
2623                           NULL, MCL_STRING, TRUE, NULL);
2624   break;
2625   case ACLC_DK_SENDER_DOMAINS:
2626     if (dk_verify_block == NULL) { rc = FAIL; break; };
2627     if (dk_verify_block->domain != NULL)
2628       rc = match_isinlist(dk_verify_block->domain, &arg, 0, &domainlist_anchor,
2629                           NULL, MCL_DOMAIN, TRUE, NULL);
2630     else rc = FAIL;
2631   break;
2632   case ACLC_DK_SENDER_LOCAL_PARTS:
2633     if (dk_verify_block == NULL) { rc = FAIL; break; };
2634     if (dk_verify_block->local_part != NULL)
2635       rc = match_isinlist(dk_verify_block->local_part, &arg, 0, &localpartlist_anchor,
2636                           NULL, MCL_LOCALPART, TRUE, NULL);
2637     else rc = FAIL;
2638   break;
2639   case ACLC_DK_SENDERS:
2640     if (dk_verify_block == NULL) { rc = FAIL; break; };
2641     if (dk_verify_block->address != NULL)
2642       rc = match_address_list(dk_verify_block->address, TRUE, TRUE, &arg, NULL, -1, 0, NULL);
2643     else rc = FAIL;
2644   break;
2645   case ACLC_DK_STATUS:
2646     if (dk_verify_block == NULL) { rc = FAIL; break; };
2647     if (dk_verify_block->result > 0) {
2648       switch(dk_verify_block->result) {
2649         case DK_EXIM_RESULT_BAD_FORMAT:
2650           rc = match_isinlist(US"bad format", &arg, 0, NULL,
2651                               NULL, MCL_STRING, TRUE, NULL);
2652         break;
2653         case DK_EXIM_RESULT_NO_KEY:
2654           rc = match_isinlist(US"no key", &arg, 0, NULL,
2655                               NULL, MCL_STRING, TRUE, NULL);
2656         break;
2657         case DK_EXIM_RESULT_NO_SIGNATURE:
2658           rc = match_isinlist(US"no signature", &arg, 0, NULL,
2659                               NULL, MCL_STRING, TRUE, NULL);
2660         break;
2661         case DK_EXIM_RESULT_REVOKED:
2662           rc = match_isinlist(US"revoked", &arg, 0, NULL,
2663                               NULL, MCL_STRING, TRUE, NULL);
2664         break;
2665         case DK_EXIM_RESULT_NON_PARTICIPANT:
2666           rc = match_isinlist(US"non-participant", &arg, 0, NULL,
2667                               NULL, MCL_STRING, TRUE, NULL);
2668         break;
2669         case DK_EXIM_RESULT_GOOD:
2670           rc = match_isinlist(US"good", &arg, 0, NULL,
2671                               NULL, MCL_STRING, TRUE, NULL);
2672         break;
2673         case DK_EXIM_RESULT_BAD:
2674           rc = match_isinlist(US"bad", &arg, 0, NULL,
2675                               NULL, MCL_STRING, TRUE, NULL);
2676         break;
2677       }
2678     }
2679   break;
2680 #endif
2681
2682     case ACLC_DNSLISTS:
2683     rc = verify_check_dnsbl(&arg);
2684     break;
2685
2686     case ACLC_DOMAINS:
2687     rc = match_isinlist(addr->domain, &arg, 0, &domainlist_anchor,
2688       addr->domain_cache, MCL_DOMAIN, TRUE, &deliver_domain_data);
2689     break;
2690
2691     /* The value in tls_cipher is the full cipher name, for example,
2692     TLSv1:DES-CBC3-SHA:168, whereas the values to test for are just the
2693     cipher names such as DES-CBC3-SHA. But program defensively. We don't know
2694     what may in practice come out of the SSL library - which at the time of
2695     writing is poorly documented. */
2696
2697     case ACLC_ENCRYPTED:
2698     if (tls_cipher == NULL) rc = FAIL; else
2699       {
2700       uschar *endcipher = NULL;
2701       uschar *cipher = Ustrchr(tls_cipher, ':');
2702       if (cipher == NULL) cipher = tls_cipher; else
2703         {
2704         endcipher = Ustrchr(++cipher, ':');
2705         if (endcipher != NULL) *endcipher = 0;
2706         }
2707       rc = match_isinlist(cipher, &arg, 0, NULL, NULL, MCL_STRING, TRUE, NULL);
2708       if (endcipher != NULL) *endcipher = ':';
2709       }
2710     break;
2711
2712     /* Use verify_check_this_host() instead of verify_check_host() so that
2713     we can pass over &host_data to catch any looked up data. Once it has been
2714     set, it retains its value so that it's still there if another ACL verb
2715     comes through here and uses the cache. However, we must put it into
2716     permanent store in case it is also expected to be used in a subsequent
2717     message in the same SMTP connection. */
2718
2719     case ACLC_HOSTS:
2720     rc = verify_check_this_host(&arg, sender_host_cache, NULL,
2721       (sender_host_address == NULL)? US"" : sender_host_address, &host_data);
2722     if (host_data != NULL) host_data = string_copy_malloc(host_data);
2723     break;
2724
2725     case ACLC_LOCAL_PARTS:
2726     rc = match_isinlist(addr->cc_local_part, &arg, 0,
2727       &localpartlist_anchor, addr->localpart_cache, MCL_LOCALPART, TRUE,
2728       &deliver_localpart_data);
2729     break;
2730
2731     case ACLC_LOGWRITE:
2732       {
2733       int logbits = 0;
2734       uschar *s = arg;
2735       if (*s == ':')
2736         {
2737         s++;
2738         while (*s != ':')
2739           {
2740           if (Ustrncmp(s, "main", 4) == 0)
2741             { logbits |= LOG_MAIN; s += 4; }
2742           else if (Ustrncmp(s, "panic", 5) == 0)
2743             { logbits |= LOG_PANIC; s += 5; }
2744           else if (Ustrncmp(s, "reject", 6) == 0)
2745             { logbits |= LOG_REJECT; s += 6; }
2746           else
2747             {
2748             logbits = LOG_MAIN|LOG_PANIC;
2749             s = string_sprintf(":unknown log name in \"%s\" in "
2750               "\"logwrite\" in %s ACL", arg, acl_wherenames[where]);
2751             }
2752           if (*s == ',') s++;
2753           }
2754         s++;
2755         }
2756       while (isspace(*s)) s++;
2757       if (logbits == 0) logbits = LOG_MAIN;
2758       log_write(0, logbits, "%s", string_printing(s));
2759       }
2760     break;
2761
2762 #ifdef WITH_CONTENT_SCAN
2763     case ACLC_MALWARE:
2764       {
2765       /* Seperate the regular expression and any optional parameters. */
2766       uschar *ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size);
2767       /* Run the malware backend. */
2768       rc = malware(&ss);
2769       /* Modify return code based upon the existance of options. */
2770       while ((ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size))
2771             != NULL) {
2772         if (strcmpic(ss, US"defer_ok") == 0 && rc == DEFER)
2773           {
2774           /* FAIL so that the message is passed to the next ACL */
2775           rc = FAIL;
2776           }
2777         }
2778       }
2779     break;
2780
2781     case ACLC_MIME_REGEX:
2782       rc = mime_regex(&arg);
2783     break;
2784 #endif
2785
2786     case ACLC_RATELIMIT:
2787       rc = acl_ratelimit(arg, log_msgptr);
2788     break;
2789
2790     case ACLC_RECIPIENTS:
2791     rc = match_address_list(addr->address, TRUE, TRUE, &arg, NULL, -1, 0,
2792       &recipient_data);
2793     break;
2794
2795 #ifdef WITH_CONTENT_SCAN
2796    case ACLC_REGEX:
2797       rc = regex(&arg);
2798     break;
2799 #endif
2800
2801     case ACLC_SENDER_DOMAINS:
2802       {
2803       uschar *sdomain;
2804       sdomain = Ustrrchr(sender_address, '@');
2805       sdomain = (sdomain == NULL)? US"" : sdomain + 1;
2806       rc = match_isinlist(sdomain, &arg, 0, &domainlist_anchor,
2807         sender_domain_cache, MCL_DOMAIN, TRUE, NULL);
2808       }
2809     break;
2810
2811     case ACLC_SENDERS:
2812     rc = match_address_list(sender_address, TRUE, TRUE, &arg,
2813       sender_address_cache, -1, 0, &sender_data);
2814     break;
2815
2816     /* Connection variables must persist forever */
2817
2818     case ACLC_SET:
2819       {
2820       int old_pool = store_pool;
2821       if (cb->u.varnumber < ACL_CVARS) store_pool = POOL_PERM;
2822       acl_var[cb->u.varnumber] = string_copy(arg);
2823       store_pool = old_pool;
2824       }
2825     break;
2826
2827 #ifdef WITH_CONTENT_SCAN
2828     case ACLC_SPAM:
2829       {
2830       /* Seperate the regular expression and any optional parameters. */
2831       uschar *ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size);
2832       /* Run the spam backend. */
2833       rc = spam(&ss);
2834       /* Modify return code based upon the existance of options. */
2835       while ((ss = string_nextinlist(&arg, &sep, big_buffer, big_buffer_size))
2836             != NULL) {
2837         if (strcmpic(ss, US"defer_ok") == 0 && rc == DEFER)
2838           {
2839           /* FAIL so that the message is passed to the next ACL */
2840           rc = FAIL;
2841           }
2842         }
2843       }
2844     break;
2845 #endif
2846
2847 #ifdef EXPERIMENTAL_SPF
2848     case ACLC_SPF:
2849       rc = spf_process(&arg, sender_address);
2850     break;
2851 #endif
2852
2853     /* If the verb is WARN, discard any user message from verification, because
2854     such messages are SMTP responses, not header additions. The latter come
2855     only from explicit "message" modifiers. However, put the user message into
2856     $acl_verify_message so it can be used in subsequent conditions or modifiers
2857     (until something changes it). */
2858
2859     case ACLC_VERIFY:
2860     rc = acl_verify(where, addr, arg, user_msgptr, log_msgptr, basic_errno);
2861     acl_verify_message = *user_msgptr;
2862     if (verb == ACL_WARN) *user_msgptr = NULL;
2863     break;
2864
2865     default:
2866     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "internal ACL error: unknown "
2867       "condition %d", cb->type);
2868     break;
2869     }
2870
2871   /* If a condition was negated, invert OK/FAIL. */
2872
2873   if (!cond_modifiers[cb->type] && cb->u.negated)
2874     {
2875     if (rc == OK) rc = FAIL;
2876       else if (rc == FAIL || rc == FAIL_DROP) rc = OK;
2877     }
2878
2879   if (rc != OK) break;   /* Conditions loop */
2880   }
2881
2882
2883 /* If the result is the one for which "message" and/or "log_message" are used,
2884 handle the values of these options. Most verbs have but a single return for
2885 which the messages are relevant, but for "discard", it's useful to have the log
2886 message both when it succeeds and when it fails. Also, for an "accept" that
2887 appears in a QUIT ACL, we want to handle the user message. Since only "accept"
2888 and "warn" are permitted in that ACL, we don't need to test the verb.
2889
2890 These modifiers act in different ways:
2891
2892 "message" is a user message that will be included in an SMTP response. Unless
2893 it is empty, it overrides any previously set user message.
2894
2895 "log_message" is a non-user message, and it adds to any existing non-user
2896 message that is already set.
2897
2898 If there isn't a log message set, we make it the same as the user message. */
2899
2900 if (((rc == FAIL_DROP)? FAIL : rc) == msgcond[verb] ||
2901     (verb == ACL_DISCARD && rc == OK) ||
2902     (where == ACL_WHERE_QUIT))
2903   {
2904   uschar *expmessage;
2905
2906   /* If the verb is "warn", messages generated by conditions (verification or
2907   nested ACLs) are discarded. Only messages specified at this level are used.
2908   However, the value of an existing message is available in $acl_verify_message
2909   during expansions. */
2910
2911   uschar *old_user_msgptr = *user_msgptr;
2912   uschar *old_log_msgptr = (*log_msgptr != NULL)? *log_msgptr : old_user_msgptr;
2913
2914   if (verb == ACL_WARN) *log_msgptr = *user_msgptr = NULL;
2915
2916   if (user_message != NULL)
2917     {
2918     acl_verify_message = old_user_msgptr;
2919     expmessage = expand_string(user_message);
2920     if (expmessage == NULL)
2921       {
2922       if (!expand_string_forcedfail)
2923         log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand ACL message \"%s\": %s",
2924           user_message, expand_string_message);
2925       }
2926     else if (expmessage[0] != 0) *user_msgptr = expmessage;
2927     }
2928
2929   if (log_message != NULL)
2930     {
2931     acl_verify_message = old_log_msgptr;
2932     expmessage = expand_string(log_message);
2933     if (expmessage == NULL)
2934       {
2935       if (!expand_string_forcedfail)
2936         log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand ACL message \"%s\": %s",
2937           log_message, expand_string_message);
2938       }
2939     else if (expmessage[0] != 0)
2940       {
2941       *log_msgptr = (*log_msgptr == NULL)? expmessage :
2942         string_sprintf("%s: %s", expmessage, *log_msgptr);
2943       }
2944     }
2945
2946   /* If no log message, default it to the user message */
2947
2948   if (*log_msgptr == NULL) *log_msgptr = *user_msgptr;
2949   }
2950
2951 acl_verify_message = NULL;
2952 return rc;
2953 }
2954
2955
2956
2957
2958
2959 /*************************************************
2960 *        Get line from a literal ACL             *
2961 *************************************************/
2962
2963 /* This function is passed to acl_read() in order to extract individual lines
2964 of a literal ACL, which we access via static pointers. We can destroy the
2965 contents because this is called only once (the compiled ACL is remembered).
2966
2967 This code is intended to treat the data in the same way as lines in the main
2968 Exim configuration file. That is:
2969
2970   . Leading spaces are ignored.
2971
2972   . A \ at the end of a line is a continuation - trailing spaces after the \
2973     are permitted (this is because I don't believe in making invisible things
2974     significant). Leading spaces on the continued part of a line are ignored.
2975
2976   . Physical lines starting (significantly) with # are totally ignored, and
2977     may appear within a sequence of backslash-continued lines.
2978
2979   . Blank lines are ignored, but will end a sequence of continuations.
2980
2981 Arguments: none
2982 Returns:   a pointer to the next line
2983 */
2984
2985
2986 static uschar *acl_text;          /* Current pointer in the text */
2987 static uschar *acl_text_end;      /* Points one past the terminating '0' */
2988
2989
2990 static uschar *
2991 acl_getline(void)
2992 {
2993 uschar *yield;
2994
2995 /* This loop handles leading blank lines and comments. */
2996
2997 for(;;)
2998   {
2999   while (isspace(*acl_text)) acl_text++;   /* Leading spaces/empty lines */
3000   if (*acl_text == 0) return NULL;         /* No more data */
3001   yield = acl_text;                        /* Potential data line */
3002
3003   while (*acl_text != 0 && *acl_text != '\n') acl_text++;
3004
3005   /* If we hit the end before a newline, we have the whole logical line. If
3006   it's a comment, there's no more data to be given. Otherwise, yield it. */
3007
3008   if (*acl_text == 0) return (*yield == '#')? NULL : yield;
3009
3010   /* After reaching a newline, end this loop if the physical line does not
3011   start with '#'. If it does, it's a comment, and the loop continues. */
3012
3013   if (*yield != '#') break;
3014   }
3015
3016 /* This loop handles continuations. We know we have some real data, ending in
3017 newline. See if there is a continuation marker at the end (ignoring trailing
3018 white space). We know that *yield is not white space, so no need to test for
3019 cont > yield in the backwards scanning loop. */
3020
3021 for(;;)
3022   {
3023   uschar *cont;
3024   for (cont = acl_text - 1; isspace(*cont); cont--);
3025
3026   /* If no continuation follows, we are done. Mark the end of the line and
3027   return it. */
3028
3029   if (*cont != '\\')
3030     {
3031     *acl_text++ = 0;
3032     return yield;
3033     }
3034
3035   /* We have encountered a continuation. Skip over whitespace at the start of
3036   the next line, and indeed the whole of the next line or lines if they are
3037   comment lines. */
3038
3039   for (;;)
3040     {
3041     while (*(++acl_text) == ' ' || *acl_text == '\t');
3042     if (*acl_text != '#') break;
3043     while (*(++acl_text) != 0 && *acl_text != '\n');
3044     }
3045
3046   /* We have the start of a continuation line. Move all the rest of the data
3047   to join onto the previous line, and then find its end. If the end is not a
3048   newline, we are done. Otherwise loop to look for another continuation. */
3049
3050   memmove(cont, acl_text, acl_text_end - acl_text);
3051   acl_text_end -= acl_text - cont;
3052   acl_text = cont;
3053   while (*acl_text != 0 && *acl_text != '\n') acl_text++;
3054   if (*acl_text == 0) return yield;
3055   }
3056
3057 /* Control does not reach here */
3058 }
3059
3060
3061
3062
3063
3064 /*************************************************
3065 *        Check access using an ACL               *
3066 *************************************************/
3067
3068 /* This function is called from address_check. It may recurse via
3069 acl_check_condition() - hence the use of a level to stop looping. The ACL is
3070 passed as a string which is expanded. A forced failure implies no access check
3071 is required. If the result is a single word, it is taken as the name of an ACL
3072 which is sought in the global ACL tree. Otherwise, it is taken as literal ACL
3073 text, complete with newlines, and parsed as such. In both cases, the ACL check
3074 is then run. This function uses an auxiliary function for acl_read() to call
3075 for reading individual lines of a literal ACL. This is acl_getline(), which
3076 appears immediately above.
3077
3078 Arguments:
3079   where        where called from
3080   addr         address item when called from RCPT; otherwise NULL
3081   s            the input string; NULL is the same as an empty ACL => DENY
3082   level        the nesting level
3083   user_msgptr  where to put a user error (for SMTP response)
3084   log_msgptr   where to put a logging message (not for SMTP response)
3085
3086 Returns:       OK         access is granted
3087                DISCARD    access is apparently granted...
3088                FAIL       access is denied
3089                FAIL_DROP  access is denied; drop the connection
3090                DEFER      can't tell at the moment
3091                ERROR      disaster
3092 */
3093
3094 static int
3095 acl_check_internal(int where, address_item *addr, uschar *s, int level,
3096   uschar **user_msgptr, uschar **log_msgptr)
3097 {
3098 int fd = -1;
3099 acl_block *acl = NULL;
3100 uschar *acl_name = US"inline ACL";
3101 uschar *ss;
3102
3103 /* Catch configuration loops */
3104
3105 if (level > 20)
3106   {
3107   *log_msgptr = US"ACL nested too deep: possible loop";
3108   return ERROR;
3109   }
3110
3111 if (s == NULL)
3112   {
3113   HDEBUG(D_acl) debug_printf("ACL is NULL: implicit DENY\n");
3114   return FAIL;
3115   }
3116
3117 /* At top level, we expand the incoming string. At lower levels, it has already
3118 been expanded as part of condition processing. */
3119
3120 if (level == 0)
3121   {
3122   ss = expand_string(s);
3123   if (ss == NULL)
3124     {
3125     if (expand_string_forcedfail) return OK;
3126     *log_msgptr = string_sprintf("failed to expand ACL string \"%s\": %s", s,
3127       expand_string_message);
3128     return ERROR;
3129     }
3130   }
3131 else ss = s;
3132
3133 while (isspace(*ss))ss++;
3134
3135 /* If we can't find a named ACL, the default is to parse it as an inline one.
3136 (Unless it begins with a slash; non-existent files give rise to an error.) */
3137
3138 acl_text = ss;
3139
3140 /* Handle the case of a string that does not contain any spaces. Look for a
3141 named ACL among those read from the configuration, or a previously read file.
3142 It is possible that the pointer to the ACL is NULL if the configuration
3143 contains a name with no data. If not found, and the text begins with '/',
3144 read an ACL from a file, and save it so it can be re-used. */
3145
3146 if (Ustrchr(ss, ' ') == NULL)
3147   {
3148   tree_node *t = tree_search(acl_anchor, ss);
3149   if (t != NULL)
3150     {
3151     acl = (acl_block *)(t->data.ptr);
3152     if (acl == NULL)
3153       {
3154       HDEBUG(D_acl) debug_printf("ACL \"%s\" is empty: implicit DENY\n", ss);
3155       return FAIL;
3156       }
3157     acl_name = string_sprintf("ACL \"%s\"", ss);
3158     HDEBUG(D_acl) debug_printf("using ACL \"%s\"\n", ss);
3159     }
3160
3161   else if (*ss == '/')
3162     {
3163     struct stat statbuf;
3164     fd = Uopen(ss, O_RDONLY, 0);
3165     if (fd < 0)
3166       {
3167       *log_msgptr = string_sprintf("failed to open ACL file \"%s\": %s", ss,
3168         strerror(errno));
3169       return ERROR;
3170       }
3171
3172     if (fstat(fd, &statbuf) != 0)
3173       {
3174       *log_msgptr = string_sprintf("failed to fstat ACL file \"%s\": %s", ss,
3175         strerror(errno));
3176       return ERROR;
3177       }
3178
3179     acl_text = store_get(statbuf.st_size + 1);
3180     acl_text_end = acl_text + statbuf.st_size + 1;
3181
3182     if (read(fd, acl_text, statbuf.st_size) != statbuf.st_size)
3183       {
3184       *log_msgptr = string_sprintf("failed to read ACL file \"%s\": %s",
3185         ss, strerror(errno));
3186       return ERROR;
3187       }
3188     acl_text[statbuf.st_size] = 0;
3189     (void)close(fd);
3190
3191     acl_name = string_sprintf("ACL \"%s\"", ss);
3192     HDEBUG(D_acl) debug_printf("read ACL from file %s\n", ss);
3193     }
3194   }
3195
3196 /* Parse an ACL that is still in text form. If it came from a file, remember it
3197 in the ACL tree, having read it into the POOL_PERM store pool so that it
3198 persists between multiple messages. */
3199
3200 if (acl == NULL)
3201   {
3202   int old_pool = store_pool;
3203   if (fd >= 0) store_pool = POOL_PERM;
3204   acl = acl_read(acl_getline, log_msgptr);
3205   store_pool = old_pool;
3206   if (acl == NULL && *log_msgptr != NULL) return ERROR;
3207   if (fd >= 0)
3208     {
3209     tree_node *t = store_get_perm(sizeof(tree_node) + Ustrlen(ss));
3210     Ustrcpy(t->name, ss);
3211     t->data.ptr = acl;
3212     (void)tree_insertnode(&acl_anchor, t);
3213     }
3214   }
3215
3216 /* Now we have an ACL to use. It's possible it may be NULL. */
3217
3218 while (acl != NULL)
3219   {
3220   int cond;
3221   int basic_errno = 0;
3222   BOOL endpass_seen = FALSE;
3223
3224   *log_msgptr = *user_msgptr = NULL;
3225   acl_temp_details = FALSE;
3226
3227   if (where == ACL_WHERE_QUIT &&
3228       acl->verb != ACL_ACCEPT &&
3229       acl->verb != ACL_WARN)
3230     {
3231     *log_msgptr = string_sprintf("\"%s\" is not allowed in a QUIT ACL",
3232       verbs[acl->verb]);
3233     return ERROR;
3234     }
3235
3236   HDEBUG(D_acl) debug_printf("processing \"%s\"\n", verbs[acl->verb]);
3237
3238   /* Clear out any search error message from a previous check before testing
3239   this condition. */
3240
3241   search_error_message = NULL;
3242   cond = acl_check_condition(acl->verb, acl->condition, where, addr, level,
3243     &endpass_seen, user_msgptr, log_msgptr, &basic_errno);
3244
3245   /* Handle special returns: DEFER causes a return except on a WARN verb;
3246   ERROR always causes a return. */
3247
3248   switch (cond)
3249     {
3250     case DEFER:
3251     HDEBUG(D_acl) debug_printf("%s: condition test deferred\n", verbs[acl->verb]);
3252     if (basic_errno != ERRNO_CALLOUTDEFER)
3253       {
3254       if (search_error_message != NULL && *search_error_message != 0)
3255         *log_msgptr = search_error_message;
3256       if (smtp_return_error_details) acl_temp_details = TRUE;
3257       }
3258     else
3259       {
3260       acl_temp_details = TRUE;
3261       }
3262     if (acl->verb != ACL_WARN) return DEFER;
3263     break;
3264
3265     default:      /* Paranoia */
3266     case ERROR:
3267     HDEBUG(D_acl) debug_printf("%s: condition test error\n", verbs[acl->verb]);
3268     return ERROR;
3269
3270     case OK:
3271     HDEBUG(D_acl) debug_printf("%s: condition test succeeded\n",
3272       verbs[acl->verb]);
3273     break;
3274
3275     case FAIL:
3276     HDEBUG(D_acl) debug_printf("%s: condition test failed\n", verbs[acl->verb]);
3277     break;
3278
3279     /* DISCARD and DROP can happen only from a nested ACL condition, and
3280     DISCARD can happen only for an "accept" or "discard" verb. */
3281
3282     case DISCARD:
3283     HDEBUG(D_acl) debug_printf("%s: condition test yielded \"discard\"\n",
3284       verbs[acl->verb]);
3285     break;
3286
3287     case FAIL_DROP:
3288     HDEBUG(D_acl) debug_printf("%s: condition test yielded \"drop\"\n",
3289       verbs[acl->verb]);
3290     break;
3291     }
3292
3293   /* At this point, cond for most verbs is either OK or FAIL or (as a result of
3294   a nested ACL condition) FAIL_DROP. However, for WARN, cond may be DEFER, and
3295   for ACCEPT and DISCARD, it may be DISCARD after a nested ACL call. */
3296
3297   switch(acl->verb)
3298     {
3299     case ACL_ACCEPT:
3300     if (cond == OK || cond == DISCARD) return cond;
3301     if (endpass_seen)
3302       {
3303       HDEBUG(D_acl) debug_printf("accept: endpass encountered - denying access\n");
3304       return cond;
3305       }
3306     break;
3307
3308     case ACL_DEFER:
3309     if (cond == OK)
3310       {
3311       acl_temp_details = TRUE;
3312       return DEFER;
3313       }
3314     break;
3315
3316     case ACL_DENY:
3317     if (cond == OK) return FAIL;
3318     break;
3319
3320     case ACL_DISCARD:
3321     if (cond == OK || cond == DISCARD) return DISCARD;
3322     if (endpass_seen)
3323       {
3324       HDEBUG(D_acl) debug_printf("discard: endpass encountered - denying access\n");
3325       return cond;
3326       }
3327     break;
3328
3329     case ACL_DROP:
3330     if (cond == OK) return FAIL_DROP;
3331     break;
3332
3333     case ACL_REQUIRE:
3334     if (cond != OK) return cond;
3335     break;
3336
3337     case ACL_WARN:
3338     if (cond == OK)
3339       acl_warn(where, *user_msgptr, *log_msgptr);
3340     else if (cond == DEFER && (log_extra_selector & LX_acl_warn_skipped) != 0)
3341       log_write(0, LOG_MAIN, "%s Warning: ACL \"warn\" statement skipped: "
3342         "condition test deferred%s%s", host_and_ident(TRUE),
3343         (*log_msgptr == NULL)? US"" : US": ",
3344         (*log_msgptr == NULL)? US"" : *log_msgptr);
3345     *log_msgptr = *user_msgptr = NULL;  /* In case implicit DENY follows */
3346     break;
3347
3348     default:
3349     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "internal ACL error: unknown verb %d",
3350       acl->verb);
3351     break;
3352     }
3353
3354   /* Pass to the next ACL item */
3355
3356   acl = acl->next;
3357   }
3358
3359 /* We have reached the end of the ACL. This is an implicit DENY. */
3360
3361 HDEBUG(D_acl) debug_printf("end of %s: implicit DENY\n", acl_name);
3362 return FAIL;
3363 }
3364
3365
3366 /*************************************************
3367 *        Check access using an ACL               *
3368 *************************************************/
3369
3370 /* This is the external interface for ACL checks. It sets up an address and the
3371 expansions for $domain and $local_part when called after RCPT, then calls
3372 acl_check_internal() to do the actual work.
3373
3374 Arguments:
3375   where        ACL_WHERE_xxxx indicating where called from
3376   recipient    RCPT address for RCPT check, else NULL
3377   s            the input string; NULL is the same as an empty ACL => DENY
3378   user_msgptr  where to put a user error (for SMTP response)
3379   log_msgptr   where to put a logging message (not for SMTP response)
3380
3381 Returns:       OK         access is granted by an ACCEPT verb
3382                DISCARD    access is granted by a DISCARD verb
3383                FAIL       access is denied
3384                FAIL_DROP  access is denied; drop the connection
3385                DEFER      can't tell at the moment
3386                ERROR      disaster
3387 */
3388
3389 int
3390 acl_check(int where, uschar *recipient, uschar *s, uschar **user_msgptr,
3391   uschar **log_msgptr)
3392 {
3393 int rc;
3394 address_item adb;
3395 address_item *addr = NULL;
3396
3397 *user_msgptr = *log_msgptr = NULL;
3398 sender_verified_failed = NULL;
3399 ratelimiters_cmd = NULL;
3400
3401 if (where == ACL_WHERE_RCPT)
3402   {
3403   adb = address_defaults;
3404   addr = &adb;
3405   addr->address = recipient;
3406   if (deliver_split_address(addr) == DEFER)
3407     {
3408     *log_msgptr = US"defer in percent_hack_domains check";
3409     return DEFER;
3410     }
3411   deliver_domain = addr->domain;
3412   deliver_localpart = addr->local_part;
3413   }
3414
3415 rc = acl_check_internal(where, addr, s, 0, user_msgptr, log_msgptr);
3416
3417 deliver_domain = deliver_localpart = deliver_address_data =
3418   sender_address_data = NULL;
3419
3420 /* A DISCARD response is permitted only for message ACLs, excluding the PREDATA
3421 ACL, which is really in the middle of an SMTP command. */
3422
3423 if (rc == DISCARD)
3424   {
3425   if (where > ACL_WHERE_NOTSMTP || where == ACL_WHERE_PREDATA)
3426     {
3427     log_write(0, LOG_MAIN|LOG_PANIC, "\"discard\" verb not allowed in %s "
3428       "ACL", acl_wherenames[where]);
3429     return ERROR;
3430     }
3431   return DISCARD;
3432   }
3433
3434 /* A DROP response is not permitted from MAILAUTH */
3435
3436 if (rc == FAIL_DROP && where == ACL_WHERE_MAILAUTH)
3437   {
3438   log_write(0, LOG_MAIN|LOG_PANIC, "\"drop\" verb not allowed in %s "
3439     "ACL", acl_wherenames[where]);
3440   return ERROR;
3441   }
3442
3443 /* Before giving an error response, take a look at the length of any user
3444 message, and split it up into multiple lines if possible. */
3445
3446 if (rc != OK && *user_msgptr != NULL && Ustrlen(*user_msgptr) > 75)
3447   {
3448   uschar *s = *user_msgptr = string_copy(*user_msgptr);
3449   uschar *ss = s;
3450
3451   for (;;)
3452     {
3453     int i = 0;
3454     while (i < 75 && *ss != 0 && *ss != '\n') ss++, i++;
3455     if (*ss == 0) break;
3456     if (*ss == '\n')
3457       s = ++ss;
3458     else
3459       {
3460       uschar *t = ss + 1;
3461       uschar *tt = NULL;
3462       while (--t > s + 35)
3463         {
3464         if (*t == ' ')
3465           {
3466           if (t[-1] == ':') { tt = t; break; }
3467           if (tt == NULL) tt = t;
3468           }
3469         }
3470
3471       if (tt == NULL)          /* Can't split behind - try ahead */
3472         {
3473         t = ss + 1;
3474         while (*t != 0)
3475           {
3476           if (*t == ' ' || *t == '\n')
3477             { tt = t; break; }
3478           t++;
3479           }
3480         }
3481
3482       if (tt == NULL) break;   /* Can't find anywhere to split */
3483       *tt = '\n';
3484       s = ss = tt+1;
3485       }
3486     }
3487   }
3488
3489 return rc;
3490 }
3491
3492 /* End of acl.c */